Betalingstjenestedirektivet: endringer til utfyllende bestemmelser om unntaket på 90 dager for kontotilgang på nett

Tittel

(Utkast) Delegert kommisjonsforordning (EU) .../... av 3. august 2022 om endring av de reguleringstekniske standarder i delegeret forordning (EU) 2018/389 med hensyn til unntaket på 90 dager for kontotilgang

(Draft) Commission Delegated Regulation (EU) .../... of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access

Siste nytt

Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 3.8.2022

Nærmere omtale

BAKGRUNN (fra kommisjonsforordningen, dansk utgave)

(1) Artikel 10 i Kommissionens delegerede forordning (EU) 2018/389 indeholder en undtagelse fra kravet i artikel 97 i direktiv (EU) 2015/2366 om at anvende en stærk kundeautentifikation, når en betalingstjenestebruger får adgang til saldoen og de seneste transaktioner på en betalingskonto uden offentliggørelse af følsomme betalingsdata. I så fald kan betalingstjenesteudbydere undlade at anvende en stærk kundeautentifikation for at få adgang til kontooplysningerne, forudsat at der blev anvendt stærk kundeautentifikation, da kontooplysningerne blev tilgået første gang, og mindst hver 90. dag derefter.

(2) Anvendelsen af denne undtagelse har ført til meget forskellig praksis i forbindelse med anvendelsen af delegeret forordning (EU) 2018/389, hvor nogle kontoførende betalingstjenesteudbydere anmoder om stærk kundeautentifikation hver 90. dag, andre med kortere intervaller, og nogle har ikke anvendt undtagelsen og anmoder om stærk kundeautentifikation for hver enkelt kontoadgang. Denne forskel har ført til uønskede dårlige kundeerfaringer, når der anvendes kontooplysningstjenester, og til en negativ indvirkning på kontooplysningstjenesteudbyderes tjenester.

(3) For at sikre en passende balance mellem målene i direktiv (EU) 2015/2366 om at øge sikkerheden, fremme innovationen og styrke konkurrencen på det indre marked er det nødvendigt yderligere at præcisere anvendelsen af undtagelsen i artikel 10 i delegeret forordning (EU) 2018/389 i tilfælde, hvor kontooplysningerne tilgås via en kontooplysningstjenesteudbyder. I et sådant tilfælde bør betalingstjenesteudbydere derfor ikke have mulighed for at vælge, om de vil anvende stærk kundeautentifikation, og undtagelsen bør gøres obligatorisk og underlægges betingelser, hvis formål er at sikre, at sikkerheden i forbindelse med betalingstjenestebrugernes data er opfyldt.

(4) Undtagelsen bør begrænses til adgang til saldoen og de seneste transaktioner på en betalingskonto uden offentliggørelse af følsomme betalingsoplysninger. Undtagelsen bør kun finde anvendelse, hvis betalingstjenesteudbydere allerede har anvendt stærk kundeautentifikation til den første adgang gennem den pågældende kontooplysningstjenesteudbyder, og den bør fornyes regelmæssigt.

(5) Af hensyn til sikkerheden i forbindelse med betalingstjenestebrugeres data bør betalingstjenesteudbydere til enhver tid have mulighed for at anvende stærk kundeautentifikation, hvis de har objektivt begrundede og behørigt dokumenterede årsager vedrørende uautoriseret eller svigagtig adgang. Dette kan være tilfældet, hvis der gennem den kontoførende betalingstjenesteudbyders mekanismer til overvågning af transaktioner opdages en forhøjet risiko for uautoriseret eller svigagtig adgang. Med henblik på at sikre en konsekvent anvendelse af undtagelsen bør kontoførende betalingstjenesteudbydere i sådanne tilfælde dokumentere og på behørig vis over for deres nationale kompetente myndighed på dennes anmodning begrunde anvendelsen af stærk kundeautentifikation.

(6) I tilfælde, hvor betalingstjenestebrugeren har direkte adgang til kontooplysningerne, bør betalingstjenesteudbyderne fortsat have mulighed for at vælge, om de vil anvende stærk kundeautentifikation. Dette skyldes, at der i sådanne tilfælde ikke er konstateret særlige problemer, der kræver en ændring af den undtagelse, der er fastsat i artikel 10 i delegeret forordning (EU) 2018/389, i modsætning til tilfældet med adgang gennem en kontooplysningstjenesteudbyder.

(7) For at sikre lige vilkår for alle betalingstjenesteudbydere og i overensstemmelse med målene i direktiv (EU) 2015/2366 om at muliggøre udviklingen af brugervenlige og innovative tjenester er det rimeligt at fastsætte den samme 180-dages tidsfrist for både fornyelse af stærk kundeautentifikation med henblik på adgang til kontooplysningerne direkte hos den kontoførende betalingstjenesteudbyder og gennem en kontooplysningstjenesteudbyder. Fornyelse af stærk kundeautentifikation med den nuværende hyppighed kan forårsage uønskede dårlige kundeerfaringer og forhindre kontooplysningstjenesteudbydere i at tilbyde deres tjenester og brugerne i at modtage disse tjenester.

(8) Kontoførende betalingstjenesteudbydere, der tilbyder en særlig grænseflade, og som har indført en beredskabsmekanisme, jf. artikel 33, stk. 4, i delegeret forordning (EU) 2018/389, bør ikke være forpligtet til at gennemføre den nye obligatoriske undtagelse i deres direkte kundegrænseflader med henblik på beredskabsmekanismen, forudsat at de ikke anvender undtagelsen i artikel 10 i delegeret forordning (EU) 2018/389 på deres direkte kundegrænseflader. Det ville være uforholdsmæssigt at kræve, at kontoførende betalingstjenesteudbydere, der tilbyder en særlig grænseflade, på hvilken de skal gennemføre den nye obligatoriske undtagelse, også skal gennemføre undtagelsen i deres direkte kundegrænseflader med henblik på beredskabsmekanismen.

(9) For at sikre, at betalingstjenesteudbydere har tilstrækkelig tid til at foretage de nødvendige ændringer af deres systemer, bør kontoførende betalingstjenesteudbydere stille ændringer af de tekniske specifikationer for deres grænseflader til rådighed for betalingstjenesteudbyderne for at kunne overholde denne forordning, mindst 2 måneder før sådanne ændringer gennemføres.

(10) Delegeret forordning (EU) 2018/389 bør derfor ændres.

(11) Denne forordning er baseret på de udkast til reguleringsmæssige tekniske standarder, som Den Europæiske Banktilsynsmyndighed har forelagt Kommissionen.

(12) EBA har afholdt åbne offentlige høringer om det udkast til reguleringsmæssige tekniske standarder, som ligger til grund for denne forordning, analyseret de potentielle omkostninger og fordele herved samt anmodet interessentgruppen for banker, der er nedsat i henhold artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010, om rådgivning.

(13) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav formelle bemærkninger den 7. juni 2022.

(14) For at muliggøre en gnidningsløs overgang til de nye krav, der er fastsat i denne forordning, bør betalingstjenesteudbydere, der har anvendt den undtagelse, der er fastsat i artikel 10 i delegeret forordning (EU) 2018/389 før datoen for nærværende forordnings anvendelse, have mulighed for fortsat at anvende den pågældende undtagelse i op til 90 dage fra det sidste tidspunkt, hvor der blev anvendt stærk kundeautentifikation —

Nøkkelinformasjon

EU



eu-flagg
Kommisjonens framlegg
Dato
03.08.2022

Norge



norge-flagg
Ansvarlig departement
Finansdepartementet