Kommissionens delegerade förordning (EU) 2022/2360 av den 3 augusti 2022 om ändring av de tekniska tillsynsstandarder som fastställs i delegerad förordning (EU) 2018/389 vad gäller 90-dagarsundantaget för kontotillgång (Text av betydelse för EES)

5.12.2022

Europeiska unionens officiella tidning

L 312/1

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2022/2360

av den 3 augusti 2022

om ändring av de tekniska tillsynsstandarder som fastställs i delegerad förordning (EU) 2018/389 vad gäller 90-dagarsundantaget för kontotillgång

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (1), särskilt artikel 98.4 andra stycket, och

av följande skäl:

(1)

Genom artikel 10 i kommissionens delegerade förordning (EU) 2018/389 (2) möjliggörs undantag från kravet i artikel 97 i direktiv (EU) 2015/2366 på att tillämpa stark kundautentisering om en betaltjänstanvändare endast har tillgång till ett betalkontos saldo och senaste transaktioner, utan att känsliga betalningsuppgifter lämnas ut. I sådana fall behöver betaltjänstleverantörer inte tillämpa stark kundautentisering för tillgång till kontoinformationen, förutsatt att stark kundautentisering tillämpades vid den första tillgången till kontoinformationen, och därefter minst var 90:e dag.

(2)

Användningen av detta undantag har lett till att delegerad förordning (EU) 2018/389 har tillämpats på vitt skilda sätt, där vissa kontoförvaltande betaltjänstleverantörer begär stark kundautentisering var 90:e dag, andra oftare, och vissa har inte tillämpat undantaget alls utan begärt stark kundautentisering vid varje kontoåtkomst. Denna skillnad har lett till oönskade störningar i konsumentupplevelsen vid användning av kontoinformationstjänster och till en negativ inverkan på de tjänster som tillhandahålls av leverantörer av kontoinformationstjänster.

(3)

För att säkerställa en lämplig balans mellan målen i direktiv (EU) 2015/2366, nämligen att öka säkerheten, underlätta innovation och öka konkurrensen på den inre marknaden, är det nödvändigt att ytterligare specificera tillämpningen av det undantag som anges i artikel 10 i delegerad förordning (EU) 2018/389 för de fall då tillgång till kontoinformationen ges via en leverantör av kontoinformationstjänster. I dessa fall bör betaltjänstleverantörer därför inte tillåtas välja om de vill tillämpa stark kundautentisering eller inte, och undantaget bör göras obligatoriskt, under villkor som syftar till att säkerställa att betaltjänstanvändarnas uppgifter är säkra och skyddade.

(4)

Undantaget bör begränsas till tillgång till ett betalkontos saldo och senaste transaktioner, utan att känsliga betalningsuppgifter lämnas ut. Undantaget bör endast gälla om stark kundautentisering redan tillämpats av betaltjänstleverantörer för den första tillgången via respektive leverantör av kontoinformationstjänster, och bör förnyas regelbundet.

(5)

För att säkerställa att betaltjänstanvändarnas uppgifter är säkra och skyddade bör betaltjänstleverantörer när som helst ha rätt att tillämpa stark kundautentisering om de har objektivt motiverade och vederbörligen styrkta skäl som rör icke auktoriserad eller bedräglig tillgång. Detta kan vara fallet om den kontoförvaltande betaltjänstleverantörens mekanismer för transaktionsövervakning upptäcker en förhöjd risk för icke auktoriserad eller bedräglig tillgång. För att säkerställa en enhetlig tillämpning av undantaget bör kontoförvaltande betaltjänstleverantörer i sådana fall dokumentera och vederbörligen motivera skälen för att tillämpa stark kundautentisering för sin nationella behöriga myndighet på dess begäran.

(6)

Om betaltjänstanvändaren har direkt tillgång till kontoinformationen bör betaltjänstleverantörerna även fortsättningsvis kunna välja om de vill tillämpa stark kundautentisering eller inte. Skälet är att det i dessa fall inte har konstaterats några särskilda problem som kräver en ändring av undantaget i artikel 10 i delegerad förordning (EU) 2018/389, till skillnad från tillgång via en leverantör av kontoinformationstjänster.

(7)

För att säkerställa lika villkor för alla betaltjänstleverantörer, och i linje med målen i direktiv (EU) 2015/2366 om att möjliggöra utveckling av användarvänliga och innovativa tjänster, är det en god avvägning att fastställa en och samma tidsfrist på 180 dagar för att förnya stark kundautentisering både för att få tillgång till kontoinformationen direkt hos den kontoförvaltande betaltjänstleverantören och för att få tillgång via en leverantör av kontoinformationstjänster. Nuvarande tidsintervall för att förnya stark kundautentisering skulle kunna orsaka oönskade störningar i konsumentupplevelsen och hindra leverantörer av kontoinformationstjänster från att erbjuda sina tjänster, och användare från att utnyttja dem.

(8)

Kontoförvaltande betaltjänstleverantörer som erbjuder ett särskilt gränssnitt och som har infört en beredskapsmekanism enligt artikel 33.4 i delegerad förordning (EU) 2018/389 bör inte vara skyldiga att genomföra det nya obligatoriska undantaget i sina direkta kundgränssnitt med avseende på beredskapsmekanismen, förutsatt att de inte tillämpar undantaget i artikel 10 i delegerad förordning (EU) 2018/389 i sina direkta kundgränssnitt. Det skulle vara oproportionerligt att kräva att kontoförvaltande betaltjänstleverantörer som erbjuder ett särskilt gränssnitt där de måste genomföra det nya obligatoriska undantaget även genomför undantaget i sina direkta kundgränssnitt med avseende på beredskapsmekanismen.

(9)

För att säkerställa att betaltjänstleverantörerna har tillräckligt med tid för att göra nödvändiga systemändringar bör kontoförvaltande betaltjänstleverantörer ge betaltjänstleverantörerna tillgång till de ändringar av de tekniska specifikationerna för deras gränssnitt som gjorts för att följa denna förordning minst två månader innan sådana ändringar genomförs.

(10)	Delegerad förordning (EU) 2018/389 bör därför ändras i enlighet med detta.

(11)	Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som Europeiska bankmyndigheten har lagt fram för kommissionen.

(12)

Europeiska bankmyndigheten har genomfört öppna offentliga samråd om förslaget till tekniska tillsynsstandarder som denna förordning bygger på, analyserat de möjliga kostnaderna och fördelarna samt begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010 (3).

(13)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav formella kommentarer den 7 juni 2022.

(14)

För att möjliggöra en smidig övergång till de nya kraven i denna förordning bör betaltjänstleverantörer som har tillämpat undantaget i artikel 10 i delegerad förordning (EU) 2018/389 före den dag då denna förordning börjar tillämpas ha rätt att fortsätta att tillämpa det undantaget upp till 90 dagar från den sista tidpunkt då stark kundautentisering tillämpades.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Ändringar av delegerad förordning (EU) 2018/389

Delegerad förordning (EU) 2018/389 ska ändras på följande sätt:

Artikel 10 ska ersättas med följande:

”Artikel 10

Tillgång till betalkontoinformation direkt hos den kontoförvaltande betaltjänstleverantören

1. Betaltjänstleverantörer ska ha möjlighet att inte tillämpa stark kundautentisering under förutsättning att kraven i artikel 2 är uppfyllda, om en betaltjänstanvändare har direkt online-tillgång till sitt betalkonto och om tillgången är begränsad till någon av följande uppgifter online utan att känsliga betalningsuppgifter lämnas ut:

a)	Saldot för ett eller flera specifika betalkonton.

b)	Betalningstransaktionerna de senaste 90 dagarna till och från ett eller flera specifika betalkonton.

2. Med avvikelse från punkt 1 ska betaltjänstleverantörer inte undantas från tillämpning av stark kundautentisering om något av följande villkor uppfylls:

a)	Det är första gången betaltjänstanvändaren får online-tillgång till de uppgifter som anges i punkt 1.

b)	Det har gått mer än 180 dagar sedan betaltjänstanvändaren senaste gången hade online-tillgång till de uppgifter som anges i punkt 1 och stark kundautentisering tillämpades.”

Följande artikel ska införas som artikel 10a:

”Artikel 10a

Tillgång till betalkontoinformation via en leverantör av kontoinformationstjänster

1. Betaltjänstleverantörer ska inte tillämpa stark kundautentisering om en betaltjänstanvändare har online-tillgång till sitt betalkonto via en leverantör av kontoinformationstjänster, förutsatt att tillgången är begränsad till någon av följande uppgifter online utan att känsliga betalningsuppgifter lämnas ut:

a)	Saldot för ett eller flera specifika betalkonton.

b)	Betalningstransaktionerna de senaste 90 dagarna till och från ett eller flera specifika betalkonton.

2. Med avvikelse från punkt 1 ska betaltjänstleverantörer tillämpa stark kundautentisering om något av följande villkor uppfylls:

a)	Det är första gången betaltjänstanvändaren får online-tillgång till de uppgifter som anges i punkt 1 via leverantören av kontoinformationstjänster.

b)	Det har gått mer än 180 dagar sedan betaltjänstanvändaren senaste gången hade online-tillgång till de uppgifter som anges i punkt 1 via leverantören av kontoinformationstjänster och stark kundautentisering tillämpades.

3. Med avvikelse från punkt 1 ska betaltjänstleverantörer ha möjlighet att tillämpa stark kundautentisering om en betaltjänstanvändare har online-tillgång till sitt betalkonto via en leverantör av kontoinformationstjänster och betaltjänstleverantören har objektivt motiverade och vederbörligen styrkta skäl som rör icke auktoriserad eller bedräglig tillgång till betalkontot. I sådana fall ska betaltjänstleverantören dokumentera och vederbörligen motivera skälen för att tillämpa stark kundautentisering för sin behöriga nationella myndighet på dess begäran.

4. Kontoförvaltande betaltjänstleverantörer som erbjuder ett särskilt gränssnitt enligt artikel 31 ska inte vara skyldiga att tillämpa det undantag som fastställs i punkt 1 i den här artikeln med avseende på den beredskapsmekanism som avses i artikel 33.4, om de inte tillämpar det undantag som fastställs i artikel 10 i det direkta gränssnitt som används för autentisering och kommunikation med betaltjänstanvändarna.”

I artikel 30 ska följande punkt införas som punkt 4a:

”4a Med avvikelse från punkt 4 ska kontoförvaltande betaltjänstleverantörer ge de betaltjänstleverantörer som avses i denna artikel tillgång till de ändringar av de tekniska specifikationerna för deras gränssnitt som gjorts för att uppfylla kraven i artikel 10a minst 2 månader innan sådana ändringar genomförs.”

Artikel 2

Övergångsbestämmelser

1. Betaltjänstleverantörer som tillämpat undantaget i artikel 10 i delegerad förordning (EU) 2018/389 före den 25 juli 2023 ska ha möjlighet att fortsätta att tillämpa det undantaget då tillgång begärs via en leverantör av kontoinformationstjänster, fram till utgången av perioden för undantaget.

2. Med avvikelse från punkt 1 ska artikel 10a, som införs genom denna förordning, tillämpas när en ny stark kundautentisering tillämpas då tillgång begärs via en leverantör av kontoinformationstjänster före utgången av perioden för det undantag som avses i punkt 1.

Artikel 3

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 25 juli 2023.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 3 augusti 2022.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 337, 23.12.2015, s. 35.

(2) Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (EUT L 69, 13.3.2018, s. 23).

(3) Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).