EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230725
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (Text av betydelse för EES)Text av betydelse för EES.
Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (Text av betydelse för EES)Text av betydelse för EES.
02018R0389 — SV — 25.07.2023 — 001.001
Den här texten är endast avsedd som ett dokumentationshjälpmedel och har ingen rättslig verkan. EU-institutionerna tar inget ansvar för innehållet. De autentiska versionerna av motsvarande rättsakter, inklusive ingresserna, publiceras i Europeiska unionens officiella tidning och finns i EUR-Lex. De officiella texterna är direkt tillgängliga via länkarna i det här dokumentet
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (EGT L 069 13.3.2018, s. 23) |
Ändrad genom:
|
|
Officiella tidningen |
||
nr |
sida |
datum |
||
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2022/2360 av den 3 augusti 2022 |
L 312 |
1 |
5.12.2022 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2018/389
av den 27 november 2017
om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder
(Text av betydelse för EES)
KAPITEL 1
ALLMÄNA BESTÄMMELSER
Artikel 1
Syfte
Denna förordning fastställer de krav som betaltjänstleverantörer ska efterleva i fråga om att genomföra säkerhetsåtgärder, så att det blir möjligt för dem att göra följande:
Tillämpa förfarandet för sträng kundautentisering i enlighet med artikel 97 i direktiv (EU) 2015/2366.
Göra undantag från tillämpningen av säkerhetskraven för sträng kundautentisering, om särskilda och begränsade villkor uppfylls som baseras på betalningstransaktionens risk, belopp och upprepning och vilken betalningskanal som används vid genomförandet av transaktionen.
Skydda betaltjänstanvändarens personliga säkerhetsbehörighetsuppgifters konfidentialitet och integritet.
Upprätta gemensamma och säkra öppna standarder för kommunikation mellan kontoförvaltande betaltjänstleverantörer, leverantörer av betalningsinitieringstjänster, leverantörer av kontoinformationstjänster, betalare, betalningsmottagare och andra leverantörer av betaltjänster med avseende på tillhandahållande och användning av betaltjänster vid tillämpningen av avdelning IV i direktiv (EU) 2015/2366.
Artikel 2
Allmänna autentiseringskrav
Dessa mekanismer ska baseras på en analys av betalningstransaktioner som beaktar element som är typiska för betaltjänstanvändaren vid normal användning av personliga säkerhetsbehörighetsuppgifter.
Betaltjänstleverantörerna ska säkerställa att transaktionsövervakningsmekanismerna åtminstone beaktar alla följande riskbaserade faktorer:
Förteckningar över element som komprometterats eller stulits.
Transaktionsbeloppet för varje betalning.
Kända bedrägeriscenarier i samband med tillhandahållande av betaltjänster.
Tecken på infektion av sabotageprogram i något skede av autentiseringsförfarandet.
Om inloggningsutrustningen eller programvaran tillhandahålls av betaltjänstleverantören, en loggfil över användningen av den inloggningsutrustning eller programvara som tillhandahålls betaltjänstanvändaren samt avvikande användning av inloggningsutrustningen eller programvaran.
Artikel 3
Granskning av säkerhetsåtgärder
Betaltjänstleverantörer som utnyttjar det undantag som avses i artikel 18 ska dock genomgå en revision av sina metoder, sin modell och de rapporterade bedrägerifrekvenserna minst en gång per år. Den revisor som genomför denna revision ska ha expertis inom IT-säkerhet och betalningar och vara operativt oberoende inom betaltjänstleverantören eller i förhållande till denna. Under det första år som undantaget i artikel 18 tillämpas, och minst vart tredje år därefter, eller oftare på den behöriga myndighetens begäran, ska revisionen genomföras av en oberoende och kvalificerad extern revisor.
Behöriga myndigheterna ska på begäran få tillgång till hela rapporten.
KAPITEL II
SÄKERHETSÅTGÄRDER FÖR TILLÄMPNING AV STRÄNG KUNDAUTENTISERING
Artikel 4
Autentiseringskod
Autentiseringskoden ska endast godtas en gång av betaltjänstleverantören när betalaren använder autentiseringskoden för att få tillgång till sina betalkonton online, för att initiera en elektronisk betalningstransaktion eller för att genomföra någon åtgärd, på distans, som kan innebära en risk för betalningsbedrägeri eller andra missbruk.
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna anta säkerhetsåtgärder som säkerställer att alla följande krav uppfylls:
Ingen information om något av de element som avses i punkt 1 kan inhämtas från den autentiseringskod som lämnats ut.
Det är inte möjligt att generera en ny autentiseringskod på grundval av kännedom om någon annan autentiseringskod som genererats i ett tidigare skede.
Autentiseringskoden kan inte förfalskas.
Betaltjänstleverantörerna ska säkerställa att autentisering genom generering av en autentiseringskod innehåller alla följande åtgärder:
Om generering av en autentiseringskod för tillämpning av punkt 1 – vid autentisering för fjärråtkomst, elektroniska betalningar på distans eller någon annan åtgärd, på distans, som kan innebära en risk för betalningsbedrägeri – misslyckas, ska det inte vara möjligt att avgöra vilket av de element som avses i den punkten som var felaktigt.
Högst fem misslyckade autentiseringsförsök i rad under en fastställd tidsperiod får ske innan de åtgärder som avses i artikel 97.1 i direktiv (EU) 2015/2366 tillfälligt blockeras.
Under kommunikationssessionerna finns ett skydd, i enlighet med kraven i kapitel V, mot att uppgifter som överförs under autentiseringen kapas eller manipuleras av icke auktoriserade parter.
Betalaren får vara inaktiv i högst fem minuter från det att denne autentiserats och fått tillgång till sitt betalkonto online.
Betalaren ska förvarnas innan blockeringen blir permanent.
Om blockeringen har gjorts permanent ska ett säkert förfarande upprättas genom vilket betalaren åter kan börja använda de blockerade elektroniska betalningsinstrumenten.
Artikel 5
Dynamiska kopplingar
Betaltjänstleverantörer som tillämpar sträng kundautentisering i enlighet med artikel 97.2 i direktiv (EU) 2015/2366 ska, utöver kraven i artikel 4 i denna förordning, anta säkerhetsåtgärder som uppfyller alla följande krav:
Betalaren informeras om betalningstransaktionens belopp och betalningsmottagaren.
Den autentiseringskod som genereras är specifik för betalningstransaktionens belopp och den betalningsmottagare som betalaren godkände då transaktionen initierades.
Den autentiseringskod som betaltjänstleverantören godkänner motsvarar det ursprungliga specifika betalningstransaktionsbelopp och betalningsmottagarens identitet, som godkänts av betalaren.
Eventuella ändringar av belopp eller betalningsmottagare leder till att den genererade autentiseringskoden ogiltigförklaras.
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna anta säkerhetsåtgärder som ska säkerställa konfidentialiteten, autenticiteten och integriteten hos följande:
Transaktionsbeloppet och betalningsmottagaren under alla autentiseringsfaser.
Den information som visas för betalaren under alla autentiseringsfaser, inbegripet generering, överföring och användning av autentiseringskoden.
Vid tillämpning av punkt 1 b och om betaltjänstleverantörerna tillämpar sträng kundautentisering i enlighet med artikel 97.2 i direktiv (EU) 2015/2366 ska följande autentiseringskrav gälla:
Vad gäller kortbaserade betalningstransaktioner där betalaren har godkänt ett exakt belopp av de medel som ska blockeras i enlighet med artikel 75.1 i det direktivet, ska autentiseringskoden vara specifik för det belopp som betalaren har godkänt för blockering och som godkändes av betalaren när transaktionen initierades.
För betalningstransaktioner där betalaren har godkänt att en uppsättning elektroniska betalningstransaktioner på distans genomförs till en eller flera betalningsmottagare ska autentiseringskoden vara specifik för betalningstransaktionernas totalbelopp och för de specificerade betalningsmottagarna.
Artikel 6
Krav beträffande de element som kategoriseras som kunskap
Artikel 7
Krav beträffande de element som kategoriseras som innehav
Artikel 8
Krav beträffande utrustning och programvara kopplad till element som kategoriseras som unik egenskap
Artikel 9
Elementens oberoende
Vid tillämpning av punkt 2 ska de riskreducerande åtgärderna innehålla följande:
Användning av separerade säkra exekveringsmiljöer med hjälp av den programvara som finns installerad i anordningen med flera funktioner.
Mekanismer för att säkerställa att programvaran eller utrustningen inte har ändrats av betalaren eller av en tredjepart.
Om ändringar har gjorts, mekanismer för att begränsa konsekvenserna av dem.
KAPITEL III
UNDANTAG FRÅN STRÄNG KUNDAUTENTISERING
Artikel 10
Tillgång till betalkontoinformation direkt hos den kontoförvaltande betaltjänstleverantören
Betaltjänstleverantörer ska ha möjlighet att inte tillämpa stark kundautentisering under förutsättning att kraven i artikel 2 är uppfyllda, om en betaltjänstanvändare har direkt online-tillgång till sitt betalkonto och om tillgången är begränsad till någon av följande uppgifter online utan att känsliga betalningsuppgifter lämnas ut:
Saldot för ett eller flera specifika betalkonton.
Betalningstransaktionerna de senaste 90 dagarna till och från ett eller flera specifika betalkonton.
Med avvikelse från punkt 1 ska betaltjänstleverantörer inte undantas från tillämpning av stark kundautentisering om något av följande villkor uppfylls:
Det är första gången betaltjänstanvändaren får online-tillgång till de uppgifter som anges i punkt 1.
Det har gått mer än 180 dagar sedan betaltjänstanvändaren senaste gången hade online-tillgång till de uppgifter som anges i punkt 1 och stark kundautentisering tillämpades.
Artikel 10a
Tillgång till betalkontoinformation via en leverantör av kontoinformationstjänster
Betaltjänstleverantörer ska inte tillämpa stark kundautentisering om en betaltjänstanvändare har online-tillgång till sitt betalkonto via en leverantör av kontoinformationstjänster, förutsatt att tillgången är begränsad till någon av följande uppgifter online utan att känsliga betalningsuppgifter lämnas ut:
Saldot för ett eller flera specifika betalkonton.
Betalningstransaktionerna de senaste 90 dagarna till och från ett eller flera specifika betalkonton.
Med avvikelse från punkt 1 ska betaltjänstleverantörer tillämpa stark kundautentisering om något av följande villkor uppfylls:
Det är första gången betaltjänstanvändaren får online-tillgång till de uppgifter som anges i punkt 1 via leverantören av kontoinformationstjänster.
Det har gått mer än 180 dagar sedan betaltjänstanvändaren senaste gången hade online-tillgång till de uppgifter som anges i punkt 1 via leverantören av kontoinformationstjänster och stark kundautentisering tillämpades.
Artikel 11
Kontaktfria betalningar vid försäljningsställe
Förutsatt att kraven i artikel 2 uppfylls behöver betaltjänstleverantörerna inte tillämpa sträng kundautentisering om betalaren initierar en kontaktfri elektronisk betalningstransaktion, under förutsättning att följande villkor uppfylls:
Värdet på den enskilda kontaktfria elektroniska betalningstransaktionen är högst 50 euro.
Det ackumulerade värdet av tidigare kontakfria elektroniska betalningstransaktioner som initierats med hjälp av betalningsinstrument med kontaktfri funktion sedan dagen då sträng kundautentisering senast tillämpades är högst 150 euro.
Högst fem på varandra följande kontaktfria elektroniska betalningstransaktioner har initierats via betalningsinstrument med kontaktfri funktion sedan dagen då sträng kundautentisering senast tillämpades.
Artikel 12
Obemannade terminaler för transport- och parkeringsavgifter
Förutsatt att kraven i artikel 2 uppfylls behöver betaltjänstleverantörerna inte tillämpa sträng kundautentisering om betalaren initierar en elektronisk betalningstransaktion vid en obemannad betalningsterminal för att betala en transport- eller parkeringsavgift.
Artikel 13
Betrodda betalningsmottagare
Artikel 14
Återkommande transaktioner
Artikel 15
Kreditöverföringar mellan konton som innehas av samma fysiska eller juridiska person
Förutsatt att kraven i artikel 2 uppfylls behöver betaltjänstleverantörer inte tillämpa sträng kundautentisering om betalaren initierar en kreditöverföring under omständigheter då betalaren och betalningsmottagaren är samma fysiska eller juridiska person och båda betalkontona innehas av samma kontoförvaltande betaltjänstleverantör.
Artikel 16
Transaktioner av begränsat värde
Förutsatt att de allmänna autentiseringskraven uppfylls behöver betaltjänstleverantörerna inte tillämpa sträng kundautentisering om betalaren initierar en elektronisk betalningstransaktion på distans, under förutsättning att följande villkor uppfylls:
Värdet av den elektroniska betalningstransaktionen på distans är högst 30 euro.
Det ackumulerade värdet av tidigare elektroniska betalningstransaktioner på distans som initierats av betalaren sedan den senaste tillämpningen av sträng kundautentisering är högst 100 euro.
Högst fem på varandra följande enskilda elektroniska betalningstransaktioner på distans har initierats av betalaren sedan den senaste tillämpningen av sträng kundautentisering.
Artikel 17
Säkra processer och protokoll för företagsbetalningar
Betaltjänstleverantörer behöver inte tillämpa sträng kundautentisering när det gäller juridiska personer som initierar elektroniska betalningstransaktioner genom användning av specifika betalningsprocesser eller protokoll som endast görs tillgängliga för betalare som inte är konsumenter, om de behöriga myndigheterna har förvissat sig om att dessa förfaranden eller protokoll garanterar åtminstone samma säkerhetsnivå som den som föreskrivs i direktiv (EU) 2015/2366.
Artikel 18
Transaktionsriskanalys
En sådan elektronisk betalningstransaktion som avses i punkt 1 ska anses utgöra en lågrisktransaktion om samtliga följande villkor uppfylls:
Bedrägerifrekvensen, för den aktuella typen av transaktion, som rapporterats av betaltjänstleverantören och som beräknats i enlighet med artikel 19 är lika med eller lägre än de bedrägerifrekvenser som fastställts som referens i tabellen i bilagan, för ”elektroniska kortbaserade betalningar på distans” respektive ”kreditöverföringar på distans”.
Transaktionsbeloppet överskrider inte det relevanta tröskelvärde för undantag som anges i tabellen i bilagan.
Betaltjänstleverantörerna har efter att ha genomfört en riskanalys i realtid inte konstaterat
avvikande betalnings- eller beteendemönster hos betalaren,
avvikande uppgifter avseende betalarens inloggningsutrustning/-programvara,
infektion av sabotageprogram i något av autentiseringsskedena,
kända bedrägeriscenarier i samband med tillhandahållandet av betaltjänster,
att betalarens lokalisering avviker från det normala,
att betalningsmottageren befinner sig på en plats som anses innebära hög risk.
Betaltjänstleverantörer som avser att undanta elektroniska betalningstransaktioner på distans från sträng kundautentisering med hänvisning till att de utgör lågrisktransaktioner, ska minst beakta följande riskbaserade faktorer:
Den enskilda betaltjänstanvändarens tidigare utgiftsmönster.
Betalningstransaktionshistoriken hos var och en av betaltjänstleverantörens betaltjänstanvändare.
Var betalaren och betalningsmottagaren befinner sig vid tidpunkten för betalningstransaktionen om inloggningsutrustningen eller programvaran tillhandahålls av betaltjänstleverantören.
Avvikande betalningsmönster konstateras hos betaltjänstanvändaren i förhållande till dennes betalningstransaktionshistorik.
Betaltjänstleverantörens bedömning ska kombinera alla dessa riskbaserade faktorer för att få fram ett riskvärde för varje enskild transaktion som avgör om en specifik betalning ska tillåtas utan sträng kundautentisering.
Artikel 19
Beräkning av bedrägerifrekvens
Den övergripande bedrägerifrekvensen för varje typ av transaktion ska beräknas som det totala värdet av icke auktoriserade eller bedrägliga transaktioner på distans, oavsett om medlen har återvunnits eller ej, dividerat med det totala värdet av alla transaktioner på distans inom respektive transaktionstyp, oavsett om de är autentiserade med tillämpning av sträng kundautentisering eller genomförda enligt de undantag som avses i artiklarna 13–18, på löpande basis en gång i kvartalet (90 dagar).
Artikel 20
Upphävande av undantag som baseras på transaktionsriskanalys
Artikel 21
Övervakning
För att utnyttja undantagen i artiklarna 10–18 ska betaltjänstleverantörerna minst en gång i kvartalet dokumentera och övervaka följande uppgifter för varje typ av transaktion fördelat på betalningstransaktioner på distans och övriga betalningstransaktioner:
Det totala värdet av icke auktoriserade eller bedrägliga betalningstransaktioner i enlighet med artikel 64.2 i direktiv (EU) 2015/2366, det totala värdet av alla betalningstransaktioner och de bedrägerifrekvenser som följer av dem, inbegripet en uppdelning av betalningstransaktioner som initierats genom sträng kundautentisering och enligt vart och ett av undantagen.
Det genomsnittliga transaktionsvärdet, inbegripet en uppdelning av betalningstransaktioner som initierats genom sträng kundautentisering och enligt vart och ett av undantagen.
Antalet betalningstransaktioner där något av undantagen tillämpats och deras andel i förhållande till det totala antalet betalningstransaktioner.
KAPITEL IV
BETALTJÄNSTANVÄNDARES PERSONLIGA SÄKERHETSBEHÖRIGHETSUPPGIFTERS KONFIDENTIALITET OCH INTEGRITET
Artikel 22
Allmänna krav
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna säkerställa att alla följande krav uppfylls:
Personliga säkerhetsbehörighetsuppgifter maskeras när de visas och kan inte läsas i sin helhet när de anges av betaltjänstanvändaren under autentiseringen.
Personliga säkerhetsbehörighetsuppgifter i dataformat, samt kryptografiskt material som avser kryptering av de personliga säkerhetsbehörighetsuppgifterna, lagras inte i klartext.
Skydd finns mot icke auktoriserat utlämnande av hemligt kryptografiskt material.
Artikel 23
Skapande och överföring av säkerhetsbehörighetsuppgifter
Betaltjänstleverantörerna ska säkerställa att skapandet av personliga säkerhetsbehörighetsuppgifter sker i en säker miljö.
De ska minska riskerna för icke auktoriserad användning av personliga säkerhetsbehörighetsuppgifter och därpå följande användning av autentiseringsutrustning och programvara, stöld eller kopiering, innan de levereras till betalaren.
Artikel 24
Anknytning till betaltjänstanvändaren
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna säkerställa att alla följande krav uppfylls:
Anknytningen mellan betaltjänstanvändarens identitet och de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen och programvaran sker i en säker miljö på betaltjänstleverantörens ansvar, som minst ska omfatta betaltjänstanvändarens lokaler, den internetmiljö som betaltjänstleverantören tillhandahåller eller liknande säkra webbplatser som betaltjänstleverantören använder samt dess bankomattjänster, med beaktande av de risker som förknippas med sådan utrustning och sådana underliggande komponenter som använts under associeringsförfarandet som inte faller under betaltjänstleverantörens ansvar.
Anknytning på distans mellan betaltjänstanvändarens identitet och de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen och programvaran sker med hjälp av sträng kundautentisering.
Artikel 25
Leverans av säkerhetsbehörighetsuppgifter, autentiseringsutrustning och programvara
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna åtminstone tillämpa alla följande åtgärder:
Effektiva och säkra leveransmekanismer som säkerställer att de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen och programvaran levereras till rätt betaltjänstanvändare.
Mekanismer som gör det möjligt för betaltjänstleverantören att kontrollera autenticiteten på den autentiseringsprogramvara som levereras till betaltjänstanvändaren via internet.
Om leveransen av de personliga säkerhetsbehörighetsuppgifterna genomförs utanför betaltjänstleverantörens lokaler eller på distans, arrangemang som säkerställer att
ingen icke auktoriserad part kan få tillgång till mer än en komponent av de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen eller programvaran, om dessa levereras via samma kanal,
aktivering av de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen eller programvaran krävs innan de kan börja användas.
Arrangemang som säkerställer att aktiveringen sker i en säker miljö i enlighethet med de associeringsförfaranden som avses i artikel 24 i fall då de personliga säkerhetsbehörighetsuppgifterna, autentiseringsutrustningen eller programvaran måste aktiveras innan de används för första gången.
Artikel 26
Förnyelse av personliga säkerhetsbehörighetsuppgifter
Betaltjänstleverantörerna ska säkerställa att förnyelse eller återaktivering av personliga säkerhetsbehörighetsuppgifter följer förfarandena för upprättande, anknytning och leverans av säkerhetsbehörighetsuppgifter och autentiseringsutrustning i enlighet med artiklarna 23, 24 och 25.
Artikel 27
Radering, avaktivering och återkallande
Betaltjänstleverantörerna ska säkerställa att de har effektiva förfaranden för att kunna genomföra alla följande säkerhetsåtgärder:
Säker radering, avaktivering eller återkallande av personliga säkerhetsbehörighetsuppgifter, autentiseringsutrustning och programvara.
Om betaltjänstleverantören distribuerar återanvändbar autentiseringsutrustning och programvara ska säker återanvändning av utrustning eller programvara vara inrättad, dokumenterad och genomförd innan den görs tillgänglig för andra betaltjänstanvändare.
Avaktivering eller återkallande av information som avser personliga säkerhetsbehörighetsuppgifter som lagras i betaltjänstleverantörens system och databaser och, i tillämpliga fall i offentliga transaktionsregister.
KAPITEL V
GEMENSAMMA OCH SÄKRA ÖPPNA KOMMUNIKATIONSSTANDARDER
Artikel 28
Krav för identifiering
Artikel 29
Spårbarhet
Vid tillämpning av punkt 1 ska betaltjänstleverantörerna säkerställa att alla kommunikationssessioner som upprättas med betaltjänstanvändaren, andra betaltjänstleverantörer och andra företag, inbegripet säljföretag, bygger på följande:
En unik identifieringskod för sessionen.
Säkerhetsmekanismer för detaljerad loggning av transaktionen, inbegripet transaktionsnummer, tidsstämplar och all relevant transaktionsdata.
Tidsstämplar som ska baseras på ett enhetligt tidsreferenssystem och som ska synkroniseras efter en officiell tidssignal.
Artikel 30
Allmänna krav beträffande inloggningsgränssnitt
Kontoförvaltande betaltjänstleverantörer som erbjuder en betalare ett betakonto som finns tillgängligt online ska ha minst ett gränssnitt som uppfyller följande krav:
Leverantörer av kontoinformationstjänster, leverantörer av betalningsinitieringstjänster och betaltjänstleverantörer som ger ut kortbaserade betalningsinstrument har möjlighet att identifiera sig för den kontoförvaltande betaltjänstleverantören.
Kontoförvaltande betaltjänstleverantörer har möjlighet att på ett säkert sätt kommunicera för att begära och erhålla information om en eller flera specifika betalkonton och tillhörande betalningstransaktioner.
Leverantörer av betalningsinitieringstjänster har möjlighet att på ett säkert sätt kommunicera för att initiera ett betalningsuppdrag från betalarens betalkonto och erhålla all information om initieringen av betaltransaktioner och all information som finns tillgänglig för de kontoförvaltande betaltjänstleverantörerna avseende utförandet av betalningstransaktionen.
Gränssnittet ska minst uppfylla samtliga följande krav:
En leverantör av betalningsinitieringstjänster eller en leverantör av kontoinformationstjänster ska kunna ge den kontoförvaltande betaltjänstleverantören instruktioner om att inleda autentiseringen på grundval av betaltjänstanvändarens godkännande.
Kommunikationssessioner mellan den berörda kontoförvaltande betaltjänstleverantören, leverantören av kontoinformationstjänster, leverantören av betalningsinitieringstjänster och betaltjänstanvändaren ska upprättas och underhållas genom autentiseringen.
Integriteten och konfidentialiteten hos de personliga säkerhetsbehörighetsuppgifter och autentiseringskoder som överförs av eller genom leverantören av betalningsinitieringstjänster eller leverantören av kontoinformationstjänster ska säkerställas.
De kontoförvaltande betaltjänstleverantörerna ska också säkerställa att de tekniska specifikationerna för alla gränssnitt dokumenteras och närmare beskriva en uppsättning rutiner, protokoll och verktyg som leverantörerna av betalningsinitieringstjänster, leverantörerna av kontoinformationstjänster och betaltjänstleverantörerna som ger ut kortbaserade betalningsinstrument behöver för att deras programvara och applikationer ska vara driftskompatibla med den kontoförvaltande betaltjänstleverantörens system.
De kontoförvaltande betaltjänstleverantörerna ska åtminstone – och senast sex månader före den tillämpningsdag som avses i artikel 38.2, eller före måldatumet för marknadslansering av inloggningsgränssnittet om lanseringen äger rum efter den dag som avses i artikel 38.2 – kostnadsfritt göra dokumentationen tillgänglig på begäran av auktoriserade leverantörer av betalningsinitieringstjänster, leverantörer av kontoinformationstjänster och betaltjänstleverantörer som ger ut kortbaserade betalningsinstrument eller leverantörer av betaltjänster som hos sina behöriga myndigheter har ansökt om relevant auktorisation, och ska göra en sammanfattning av dokumentationen allmänt tillgänglig på sina webbplatser.
Betaltjänstleverantörerna ska dokumentera krissituationer då ändringar genomförts och på begäran ge behöriga myndigheter tillgång till denna dokumentation.
Inga känsliga uppgifter får emellertid delas genom testfunktionen.
Artikel 31
Valmöjlighet beträffande inloggningsgränssnittet
De kontoförvaltande betaltjänstleverantörerna ska fastställa de gränssnitt som avses i artikel 30 genom att antingen använda ett särskilt gränssnitt eller genom att låta de betaltjänstleverantörer som avses i artikel 30.1 använda sig av gränssnitten för autentisering av och kommunikation med betaltjänstleverantörerens betaltjänstanvändare.
Artikel 32
Skyldigheter beträffande särskilda gränssnitt
Artikel 33
Beredskapsåtgärder för särskilda gränssnitt
I detta syfte ska de kontoförvaltande betaltjänstleverantörerna säkerställa att de betaltjänstleverantörer som avses i artikel 30.1 kan identifieras och att de kan förlita sig på de autentiseringsförfaranden som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändaren. Om de betaltjänstleverantörer som avses i artikel 30.1 använder sig av det gränssnitt som avses i punkt 4 ska de
vidta nödvändiga åtgärder för att säkerställa att de inte kommer åt, lagrar eller använder uppgifter för andra syften än tillhandahållande av den tjänst som betaltjänstanvändaren efterfrågat,
fortsätta att efterleva skyldigheterna i artiklarna 66.3 respektive 67.2 i direktiv (EU) 2015/2366,
logga de uppgifter som de fått tillgång till genom det gränssnitt som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändarna och, på begäran och utan onödigt dröjsmål, lämna loggfilerna till sina behöriga myndigheter,
för sina behöriga nationella myndigheter, på begäran och utan onödigt dröjsmål, vederbörligen motivera användningen av det gränssnitt som gjorts tillgängligt för betaltjänstanvändarna så att dessa ska kunna komma åt sina betalkonton online direkt,
vederbörligen informera den kontoförvaltande betaltjänstleverantören.
De behöriga myndigheterna ska, efter samråd med EBA för att säkerställa enhetlig tillämpning av följande villkor, undanta de kontoförvaltande betaltjänstleverantörer som har valt att använda ett särskilt gränssnitt, från skyldigheten att upprätta den beredskapsmekanism som beskrivs i punkt 4, förutsatt att det särskilda gränssnittet uppfyller alla följande villkor:
Det efterlever alla skyldigheter beträffande särskilda gränssnitt som fastställs i artikel 32.
Det har utformats och testats i enlighet med artikel 30.5 på ett tillfredsställande sätt för de betaltjänstleverantörer som avses däri.
Det har använts i stor utsträckning under minst tre månader av betaltjänstleverantörerna för kontoinformationstjänster, betalningsinitieringstjänster och för att bekräfta tillgängliga medel vid kortbaserade betalningar.
Eventuella problem som rör det särskilda gränssnittet har lösts utan onödigt dröjsmål.
Artikel 34
Certifikat
I den här förordningen ska de kvalificerade certifikat för elektroniska stämplar eller för autentisering av webbplatser som avses i punkt 1, på ett språk som är brukligt i internationella finanskretsar, innefatta ytterligare särskilda egenskaper med avseende på följande:
Betaltjänstleverantörens roll, som kan innefatta något av eller allt följande:
Kontoförvaltning.
Betalningsinitiering.
Kontoinformation.
Utfärdande av kortbaserade betalningsinstrument.
Namnet på den behöriga myndighet hos vilken betaltjänstleverantören är registrerad.
Artikel 35
Säkra kommunikationssessioner
Om leverantörer av kontoinformationstjänster, leverantörer av betalningsinitieringstjänster och betaltjänstleverantörer ger ut kortbaserade betalningsinstrument tillsammans med den kontoförvaltande betaltjänstleverantören ska otvetydiga hänvisningar till följande finnas:
Betaltjänstanvändaren eller betaltjänstanvändarna och tillhörande kommunikationssessioner, så att åtskillnad kan göras mellan flera begäranden från samma betaltjänstanvändare.
För betalningsinitieringstjänster, den unikt identifierade betalningstransaktion som initierats.
För bekräftelse av tillgängliga medel, den unikt identifierade begäran avseende det belopp som krävs för att den kortbaserade transaktionen ska kunna utföras.
Om de personliga säkerhetsbehörighetsuppgifterna förlorar sin konfidentialitet under dessa leverantörers ansvar ska de utan onödigt dröjsmål informera de betaltjänstanvändare som de är associerade med samt den som har utfärdat de personliga säkerhetsbehörighetsuppgifterna.
Artikel 36
Utbyte av uppgifter
De kontoförvaltande betaltjänstleverantörerna ska uppfylla följande krav:
De ska förse leverantörerna av kontoinformationstjänster med samma information från specifika betalkonton och tillhörande betalningstransaktioner som tillhandahållits betaltjänstanvändaren vid direkt begäran om tillgång till kontoinformation, under förutsättning att denna information inte innehåller känsliga uppgifter.
De ska omedelbart efter mottagande av betalningsuppdraget förse leverantörer av betalningsinitieringstjänster med samma information om initiering och utförande av betalningstransaktionen som lämnats eller tillgängliggjorts för betaltjänstanvändaren när denne direkt initierat transaktionen.
De ska på begäran omedelbart förse betaltjänstleverantörerna med en bekräftelse i ett enkelt ja eller nej-format om huruvida det belopp som krävs för att utföra betalningstransaktionen är tillgängligt på betalarens betalkonto.
Om den kontoförvaltande betaltjänstleverantören erbjuder ett särskilt gränssnitt i enlighet med artikel 32 ska gränssnittet se till att meddelanden om oförutsedda händelser eller fel kan kommuniceras av alla betaltjänstleverantörer som upptäcker händelsen eller felet till andra kontoförvaltande betaltjänstleverantörer som deltar i kommunikationssessionen.
Leverantörer av kontoinformationstjänster ska ha tillgång till information från specifika betalkonton och tillhörande betalningstransaktioner som innehas av kontoförvaltande betaltjänstleverantörer i syfte att utföra kontoinformationstjänsten under någon av följande omständigheter:
När betaltjänstanvändaren aktivt begär sådan information.
Om betaltjänstanvändaren inte aktivt begär informationen, högst fyra gånger under en 24-timmarsperiod, såvida inte fler tillfällen överenskommits mellan betaltjänstleverantören och den kontoförvaltande betaltjänstleverantören, med betaltjänstanvändarens godkännande.
KAPITEL VI
SLUTBESTÄMMELSER
Artikel 37
Översyn
Utan att det påverkar tillämpningen av artikel 98.5 i direktiv (EU) 2015/2366 ska EBA senast 14 mars 2021 se över de bedrägerifrekvenser som avses i bilagan till denna förordning samt de undantag som beviljats enligt artikel 33.6 avseende särskilda gränssnitt och, om så är lämpligt, lägga fram förslag till uppdateringar av dessa för kommissionen i enlighet med artikel 10 i förordning (EU) nr 1093/2010.
Artikel 38
Ikraftträdande
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
BILAGA
|
Bedrägerifrekvens som fastställts som referens (%) för: |
|
Tröskelvärde för undantag |
Elektroniska kortbaserade betalningar på distans |
Elektronisk kreditöverföring på distans |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).