ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 27ης Νοεμβρίου 2017 για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής 'Ένωσης,
Έχοντας υπόψη την οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ (1), και ιδίως το άρθρο 98 παράγραφος 4 δεύτερο εδάφιο,
Εκτιμώντας τα ακόλουθα:
(1) Οι υπηρεσίες πληρωμών που προσφέρονται ηλεκτρονικά θα πρέπει να πραγματοποιούνται με ασφάλεια, υιοθετώντας τεχνολογίες ικανές να εγγυώνται την ασφαλή εξακρίβωση της ταυτότητας του χρήστη και να μειώνουν, στον μεγαλύτερο δυνατό βαθμό, τον κίνδυνο απάτης. Η διαδικασία εξακρίβωσης θα πρέπει να περιλαμβάνει, κατά κανόνα, μηχανισμούς παρακολούθησης των συναλλαγών που θα εντοπίζουν απόπειρες χρήσης των απολεσθέντων, κλαπέντων ή υπεξαιρεθέντων εξατομικευμένων διαπιστευτηρίων ασφαλείας χρήστη υπηρεσιών πληρωμών, και επιπλέον θα πρέπει να διασφαλίζει ότι ο χρήστης υπηρεσιών πληρωμών είναι ο νόμιμος χρήστης και άρα συναινεί στη μεταφορά χρηματικών ποσών και την πρόσβαση στις πληροφορίες λογαριασμού του διά της συνήθους χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας. Είναι ακόμη αναγκαίο να διευκρινιστούν οι απαιτήσεις της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που θα πρέπει να εφαρμόζονται κάθε φορά που ένας πληρωτής έχει πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά, διενεργεί την έναρξη πράξης πληρωμής ηλεκτρονικά ή εκτελεί οποιαδήποτε ενέργεια, μέσω εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλης παραβίασης, ζητώντας τη δημιουργία αναγνωριστικού κωδικού ο οποίος θα πρέπει να είναι ανθεκτικός στον κίνδυνο να πλαστογραφηθεί στο σύνολό του ή διαμέσου της δημοσιοποίησης οποιουδήποτε εκ των στοιχείων βάσει των οποίων δημιουργήθηκε.
(2) Καθώς οι μέθοδοι απάτης μεταβάλλονται διαρκώς, οι απαιτήσεις της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη θα πρέπει να ευνοούν την εξεύρεση καινοτόμων τεχνικών λύσεων αντιμετώπισης των νέων απειλών για την ασφάλεια των ηλεκτρονικών πληρωμών που συνεχώς εμφανίζονται. Προκειμένου να διασφαλιστεί η αδιάλειπτη και αποτελεσματική εφαρμογή των απαιτήσεων που πρόκειται να θεσπιστούν, είναι επιπλέον σκόπιμο να απαιτείται τεκμηρίωση, περιοδική δοκιμή, αξιολόγηση και έλεγχος των μέτρων ασφαλείας για την εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και των εξαιρέσεων από αυτήν, των μέτρων προστασίας της εμπιστευτικότητας και της ακεραιότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των μέτρων θέσπισης κοινών και ασφαλών ανοικτών προτύπων επικοινωνίας από επιχειρησιακά ανεξάρτητους ελεγκτές με εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και τις πληρωμές. Για να είναι σε θέση οι αρμόδιες αρχές να παρακολουθούν την ποιότητα της επανεξέτασης των εν λόγω μέτρων, οι αξιολογήσεις αυτές θα πρέπει να καθίστανται διαθέσιμες στις αρχές κατόπιν αιτήματός τους.
(3) Καθώς ο κίνδυνος απάτης είναι μεγαλύτερος για τις πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως, είναι αναγκαία η θέσπιση πρόσθετων εγγυήσεων για την αυστηρή εξακρίβωση της ταυτότητας του πελάτη κατά τη διενέργεια των εν λόγω συναλλαγών, ώστε να διασφαλίζεται ότι τα στοιχεία συνδέουν δυναμικά τη συναλλαγή με συγκεκριμένο ποσό και δικαιούχο που καθορίζονται από τον πληρωτή κατά την έναρξη της συναλλαγής.
(4) Η δυναμική σύνδεση είναι δυνατή μέσω της δημιουργίας αναγνωριστικών κωδικών η οποία διέπεται από αυστηρές απαιτήσεις ασφαλείας. Για να διατηρηθεί η τεχνολογική ουδετερότητα, δεν θα πρέπει να απαιτείται συγκεκριμένη τεχνολογία για την εφαρμογή αναγνωριστικών κωδικών. Συνεπώς, οι αναγνωριστικοί κωδικοί θα πρέπει να βασίζονται σε λύσεις όπως η δημιουργία και η επικύρωση κωδικών διέλευσης μιας χρήσης, ψηφιακών υπογραφών ή άλλων μέσων επικύρωσης που στηρίζονται στην κρυπτογράφηση τα οποία χρησιμοποιούν κλειδιά ή υλικά κρυπτογράφησης αποθηκευμένα στα στοιχεία εξακρίβωσης, υπό την προϋπόθεση ότι πληρούνται οι απαιτήσεις ασφαλείας.
(5) Αναγκαία είναι η θέσπιση συγκεκριμένων απαιτήσεων για τις περιπτώσεις στις οποίες το τελικό ποσό δεν είναι γνωστό κατά τη στιγμή που ο πληρωτής διενεργεί την έναρξη πράξης ηλεκτρονικής πληρωμής εξ αποστάσεως, έτσι ώστε να διασφαλίζεται ότι η αυστηρή εξακρίβωση της ταυτότητας του πελάτη αφορά συγκεκριμένα το ανώτατο ποσό για το οποίο δίνει τη συγκατάθεσή του ο πληρωτής κατά τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366.
(6) Για να διασφαλιστεί η εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, είναι επιπλέον αναγκαίο να απαιτούνται επαρκή χαρακτηριστικά ασφαλείας για τα στοιχεία της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν γνώση (στοιχείο το οποίο μόνο ο χρήστης γνωρίζει), όπως μήκος ή πολυπλοκότητα, για τα στοιχεία που αφορούν κατοχή (στοιχείο το οποίο μόνο ο χρήστης κατέχει), όπως προδιαγραφές αλγόριθμου, μήκος κλειδιού και εντροπία πληροφοριών, και για τις συσκευές και τα λογισμικά ανάγνωσης στοιχείων που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη (στοιχείο το οποίο ο χρήστης είναι), όπως προδιαγραφές αλγόριθμου, βιομετρικό αισθητήρα και χαρακτηριστικά προστασίας υποδειγμάτων, συγκεκριμένα δε με σκοπό τον περιορισμό του κινδύνου αποκάλυψης των στοιχείων αυτών, δημοσιοποίησής τους σε μη εξουσιοδοτημένα πρόσωπα και χρήσης τους από τα τελευταία. Είναι ακόμη αναγκαίο να θεσπιστούν απαιτήσεις που θα διασφαλίζουν την ανεξαρτησία των εν λόγω στοιχείων, έτσι ώστε η παραβίαση ενός να μην θέτει σε κίνδυνο την αξιοπιστία των υπολοίπων, συγκεκριμένα δε όταν κάποιο από τα στοιχεία αυτά χρησιμοποιείται μέσω συσκευής πολλαπλών χρήσεων, ειδικότερα συσκευής όπως η ταμπλέτα ή το κινητό τηλέφωνο που μπορούν να χρησιμοποιηθούν τόσο για να δοθεί η εντολή πραγματοποίησης της πληρωμής όσο και κατά τη διαδικασία εξακρίβωσης.
(7) Οι απαιτήσεις αυστηρής εξακρίβωσης της ταυτότητας του πελάτη εφαρμόζονται στις πληρωμές των οποίων η έναρξη διενεργείται από τον πληρωτή, ανεξάρτητα από το αν ο πληρωτής είναι φυσικό πρόσωπο ή νομική οντότητα.
(8) Λόγω της συγκεκριμένης φύσης τους, οι πληρωμές που πραγματοποιούνται με τη χρήση ανώνυμων μέσων πληρωμής δεν υπόκεινται στην υποχρέωση αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Στις περιπτώσεις στις οποίες η ανωνυμία των μέσων αυτών αίρεται για συμβατικούς ή νομικούς λόγους, οι πληρωμές διέπονται από τις απαιτήσεις ασφαλείας που απορρέουν από την οδηγία (ΕΕ) 2015/2366 και από τα παρόντα ρυθμιστικά τεχνικά πρότυπα.
(9) Σύμφωνα με την οδηγία (ΕΕ) 2015/2366, προβλέπονται εξαιρέσεις από την αρχή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη με κριτήρια το επίπεδο κινδύνου, το ύψος του ποσού, την επανεμφάνιση της συναλλαγής και τον δίαυλο πληρωμής που χρησιμοποιήθηκε για την εκτέλεση της πράξης πληρωμής.
(10) Οι ενέργειες που συνεπάγονται πρόσβαση στο υπόλοιπο και στις πρόσφατες κινήσεις του λογαριασμού πληρωμών χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών, οι επαναλαμβανόμενες πληρωμές προς τους ίδιους δικαιούχους οι οποίοι έχουν οριστεί ή επικυρωθεί παλαιότερα από τον πληρωτή μέσω της χρήσης της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, και οι πληρωμές προς και από το ίδιο φυσικό ή νομικό πρόσωπο που διατηρεί λογαριασμούς στον ίδιο πάροχο υπηρεσιών πληρωμών παρουσιάζουν κίνδυνο χαμηλού επιπέδου, επιτρέποντας έτσι στους παρόχους υπηρεσιών πληρωμών να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη. Βεβαίως, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών, οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμών με κάρτα και οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού θα πρέπει, σύμφωνα με τα άρθρα 65, 66 και 67 της οδηγίας (ΕΕ) 2015/2366, να ζητούν και να λαμβάνουν από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης μόνο τις αναγκαίες και ουσιώδεις πληροφορίες λογαριασμού για την παροχή δεδομένης υπηρεσίας πληρωμής με τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών. Η εν λόγω συγκατάθεση είναι δυνατό να δίδεται μεμονωμένα για κάθε αίτημα παροχής πληροφοριών ή για κάθε πληρωμή της οποίας πρόκειται να διενεργηθεί η έναρξη ή, για τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, ως εντολή για καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής κατά τα οριζόμενα στη συμβατική συμφωνία με τον χρήστη υπηρεσιών πληρωμών.
(11) Τυχόν εξαιρέσεις για ανέπαφες πληρωμές μικρής αξίας σε σημεία πώλησης, οι οποίες λαμβάνουν επίσης υπόψη έναν μέγιστο αριθμό διαδοχικών συναλλαγών ή συγκεκριμένη καθορισμένη μέγιστη αξία διαδοχικών συναλλαγών, χωρίς να εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, επιτρέπουν την ανάπτυξη εύχρηστων υπηρεσιών πληρωμών χαμηλού κινδύνου και θα πρέπει, συνεπώς, να προβλέπονται. Σκόπιμο είναι επίσης να προβλεφθεί εξαίρεση για την περίπτωση της διενέργειας έναρξης πράξεων πληρωμής ηλεκτρονικά σε μη στελεχωμένα τερματικά όπου δεν είναι πάντοτε εύκολο ενδεχομένως να γίνει χρήση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη για λειτουργικούς λόγους (π.χ., για να αποφευχθούν οι ουρές και πιθανά ατυχήματα στους σταθμούς διοδίων ή για άλλους κινδύνους που σχετίζονται με την ασφάλεια ή την προστασία).
(12) Ομοίως προς την εξαίρεση για ανέπαφες πληρωμές μικρής αξίας στο σημείο πώλησης, είναι αναγκαίο να επιτευχθεί η κατάλληλη ισορροπία ανάμεσα στο συμφέρον για την ενίσχυση της ασφάλειας των εξ αποστάσεως πληρωμών και στις ανάγκες για εύχρηστες και προσβάσιμες πληρωμές στον τομέα του ηλεκτρονικού εμπορίου. Σε συμφωνία με αυτές τις αρχές, θα πρέπει να καθορίζονται με σύνεση τα όρια κάτω από τα οποία δεν απαιτείται η εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, έτσι ώστε να καλύπτονται μόνο οι ηλεκτρονικές αγορές μικρής αξίας. Με ακόμη μεγαλύτερη σύνεση θα πρέπει να καθορίζονται τα κατώτατα όρια για τις ηλεκτρονικές αγορές, λαμβάνοντας υπόψη ότι η μη φυσική παρουσία του προσώπου κατά την πραγματοποίηση της αγοράς ενέχει ελαφρώς μεγαλύτερο κίνδυνο ασφάλειας.
(13) Οι απαιτήσεις αυστηρής εξακρίβωσης της ταυτότητας του πελάτη εφαρμόζονται στις πληρωμές των οποίων η έναρξη διενεργείται από τον πληρωτή, ανεξάρτητα από το αν ο πληρωτής είναι φυσικό πρόσωπο ή νομική οντότητα. Η έναρξη πολλών εταιρικών πληρωμών διενεργείται μέσω ειδικών διαδικασιών ή πρωτοκόλλων που διασφαλίζουν τα υψηλά επίπεδα ασφάλειας πληρωμών τα οποία επιδιώκει να επιτύχει η οδηγία (ΕΕ) 2015/2366 μέσω της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Όταν οι αρμόδιες αρχές κρίνουν ότι αυτές οι διαδικασίες και τα πρωτόκολλα πληρωμής που διατίθενται μόνο σε πληρωτές οι οποίοι δεν είναι καταναλωτές επιτυγχάνουν τους στόχους της οδηγίας (ΕΕ) 2015/2366 ως προς την ασφάλεια, οι πάροχοι υπηρεσιών πληρωμών δύνανται να εξαιρούνται, σε σχέση με τις εν λόγω διαδικασίες και πρωτόκολλα, από τις απαιτήσεις περί αυστηρής εξακρίβωσης της ταυτότητας του πελάτη.
(14) Στην περίπτωση ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο βάσει της οποίας μια πράξη πληρωμής κατατάσσεται στην κατηγορία χαμηλού κινδύνου, είναι επιπλέον σκόπιμο να θεσπιστεί εξαίρεση για τον πάροχο υπηρεσιών πληρωμών που δεν σκοπεύει να εφαρμόσει αυστηρή εξακρίβωση της ταυτότητας του πελάτη μέσω της υιοθέτησης αποτελεσματικών απαιτήσεων συναρτήσει του κινδύνου η οποία να εγγυάται την ασφάλεια των κεφαλαίων και των προσωπικών δεδομένων του χρήστη υπηρεσιών πληρωμών. Οι εν λόγω απαιτήσεις συναρτήσει του κινδύνου θα πρέπει να λαμβάνουν υπόψη τους συνδυαστικά τα βαθμολογικά αποτελέσματα της ανάλυσης κινδύνου, που επιβεβαιώνουν ότι δεν εντοπίζεται μη συνηθισμένη χρέωση ή μη συνηθισμένη συμπεριφορά του πληρωτή, μαζί με άλλους παράγοντες κινδύνου όπως, μεταξύ άλλων, πληροφορίες για την τοποθεσία του πληρωτή και του δικαιούχου με κατώτατα χρηματικά όρια βάσει ποσοστών απάτης τα οποία υπολογίζονται για εξ αποστάσεως πληρωμές. Όταν, βάσει της ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο, μια πληρωμή δεν μπορεί να θεωρηθεί ότι συνιστά κίνδυνο χαμηλού επιπέδου, ο πάροχος υπηρεσιών πληρωμών θα πρέπει να επαναφέρει τη διαδικασία αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Η μέγιστη αξία μιας τέτοιας εξαίρεσης συναρτήσει του κινδύνου θα πρέπει να καθορίζεται με τρόπο που να διασφαλίζει πολύ χαμηλό αντίστοιχο ποσοστό απάτης, σε σύγκριση επιπλέον με τα ποσοστά απάτης επί του συνόλου των πράξεων πληρωμής του παρόχου υπηρεσιών πληρωμών, περιλαμβανομένων εκείνων των οποίων η γνησιότητα έχει εξακριβωθεί μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, εντός συγκεκριμένου χρονικού διαστήματος και σε κυλιόμενη βάση.
(15) Με γνώμονα τη διασφάλιση της αποτελεσματικής επιβολής, οι πάροχοι υπηρεσιών πληρωμών που επιθυμούν να επωφεληθούν από τις εξαιρέσεις από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη θα πρέπει να παρακολουθούν και να υποβάλλουν τακτικά στις αρμόδιες αρχές και στην Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ), κατόπιν αιτήματός τους, για κάθε τύπο πράξης πληρωμής, την αξία των δόλιων ή μη εγκεκριμένων πράξεων πληρωμών και τα παρατηρηθέντα ποσοστά απάτης για όλες τις πράξεις πληρωμής τους, ανεξάρτητα από το αν η γνησιότητά τους εξακριβώνεται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή αν εκτελούνται δυνάμει συναφούς εξαίρεσης.
(16) Η συλλογή αυτών των νέων ιστορικών αποδεικτικών στοιχείων για τα ποσοστά απάτης των πράξεων ηλεκτρονικής πληρωμής θα συμβάλει επίσης στην αποτελεσματική επανεξέταση από την ΕΑΤ των κατώτατων ορίων εξαίρεσης από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη βάσει ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο. Η ΕΑΤ θα πρέπει να επανεξετάζει και να υποβάλλει στην Επιτροπή επικαιροποιημένα σχέδια των παρόντων ρυθμιστικών τεχνικών προτύπων υποβάλλοντας, εφόσον απαιτείται, σχέδια των νέων κατώτατων ορίων και των αντίστοιχων ποσοστών απάτης με γνώμονα την ενίσχυση της ασφάλειας των ηλεκτρονικών πληρωμών εξ αποστάσεως, σύμφωνα με το άρθρο 98 παράγραφος 5 της οδηγίας (ΕΕ) 2015/2366 και με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2).
(17) Στους παρόχους υπηρεσιών πληρωμών που χρησιμοποιούν οποιαδήποτε από τις προς θέσπιση εξαιρέσεις θα πρέπει να παρέχεται ανά πάσα στιγμή η δυνατότητα να επιλέξουν να εφαρμόσουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη στις ενέργειες και τις πράξεις πληρωμής που αναφέρονται στις προαναφερόμενες διατάξεις.
(18) Τα μέτρα που προστατεύουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των συσκευών και των λογισμικών εξακρίβωσης, θα πρέπει να περιορίζουν τους κινδύνους που συνδέονται με περιπτώσεις απάτης μέσω μη εγκεκριμένης ή δόλιας χρήσης μέσων πληρωμών και μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πληρωμών. Για τον σκοπό αυτόν, είναι αναγκαίο να καθοριστούν απαιτήσεις για την ασφαλή δημιουργία και παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και για τη συσχέτισή τους με τον χρήστη υπηρεσιών πληρωμών, και να προβλεφθούν προϋποθέσεις για την ανανέωση και απενεργοποίηση των εν λόγω διαπιστευτηρίων.
(19) Προκειμένου να εξασφαλιστεί η αποτελεσματική και ασφαλής επικοινωνία μεταξύ των σχετικών φορέων στο πλαίσιο των υπηρεσιών πληροφοριών λογαριασμού, των υπηρεσιών εκκίνησης πληρωμών και της επιβεβαίωσης σχετικά με τη διαθεσιμότητα κεφαλαίων, είναι αναγκαίο να προσδιοριστούν οι απαιτήσεις των κοινών και ασφαλών ανοικτών προτύπων επικοινωνίας τα οποία πρέπει να πληρούν όλοι οι σχετικοί πάροχοι υπηρεσιών πληρωμών. Η οδηγία (ΕΕ) 2015/2366 προβλέπει την πρόσβαση των παρόχων υπηρεσιών πληροφοριών λογαριασμού στις πληροφορίες λογαριασμών πληρωμών και τη χρήση των πληροφοριών αυτών από τους εν λόγω παρόχους. Επομένως, ο παρών κανονισμός δεν επιφέρει τροποποιήσεις στους κανόνες πρόσβασης σε άλλους λογαριασμούς πέραν των λογαριασμών πληρωμών.
(20) Κάθε πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που διαθέτει λογαριασμούς πληρωμών προσβάσιμους ηλεκτρονικά θα πρέπει να παρέχει τουλάχιστον μία διεπαφή πρόσβασης που να επιτρέπει την ασφαλή επικοινωνία με τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα. Η διεπαφή θα πρέπει να επιτρέπει στους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να ταυτοποιούνται στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. Θα πρέπει ακόμη να επιτρέπει στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών εκκίνησης πληρωμών να επαφίενται στις διαδικασίες εξακρίβωσης που παρέχει ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη της υπηρεσίας πληρωμών. Προκειμένου να διασφαλιστεί η ουδετερότητα της τεχνολογίας και του επιχειρηματικού μοντέλου, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να είναι ελεύθεροι να αποφασίζουν αν θα παρέχουν διεπαφή που θα χρησιμοποιείται μόνον για την επικοινωνία με τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών, και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής, ή αν θα επιτρέπουν, όσον αφορά την εν λόγω επικοινωνία, τη χρήση της διεπαφής για την ταυτοποίηση των χρηστών υπηρεσιών πληρωμών των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού και την επικοινωνία μαζί τους.
(21) Προκειμένου να δοθεί η δυνατότητα στους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να αναπτύξουν τις δικές τους τεχνικές λύσεις, οι τεχνικές προδιαγραφές της διεπαφής θα πρέπει να είναι επαρκώς τεκμηριωμένες και να διατίθενται στο κοινό. Επιπλέον, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να παρέχει λειτουργική δυνατότητα η οποία να επιτρέπει στους παρόχους υπηρεσιών πληρωμών να δοκιμάζουν τις τεχνικές λύσεις τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής των παρόντων ρυθμιστικών προτύπων ή, εάν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία εφαρμογής των παρόντων προτύπων, πριν από την ημερομηνία διάθεσης της διεπαφής στην αγορά. Προκειμένου να διασφαλιστεί η διαλετουργικότητα των διαφόρων τεχνολογικών λύσεων επικοινωνίας, η διεπαφή θα πρέπει να χρησιμοποιεί πρότυπα επικοινωνίας που έχουν αναπτυχθεί από διεθνείς ή ευρωπαϊκούς οργανισμούς τυποποίησης.
(22) Η ποιότητα των υπηρεσιών που θα παρέχουν οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών θα εξαρτάται από την εύρυθμη λειτουργία των διεπαφών που θα θέσουν σε εφαρμογή ή θα προσαρμόσουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. Είναι συνεπώς σημαντικό, σε περίπτωση μη συμμόρφωσης των εν λόγω διεπαφών με τις διατάξεις που περιλαμβάνονται στα παρόντα πρότυπα, να λαμβάνονται μέτρα για τη διασφάλιση της επιχειρησιακής συνέχειας προς όφελος των χρηστών των εν λόγω υπηρεσιών. Είναι ευθύνη των εθνικών αρμόδιων αρχών να διασφαλίζουν τη μη αναστολή ή τη μη παρακώλυση των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών.
(23) Όπου η πρόσβαση σε λογαριασμούς πληρωμών παρέχεται μέσω ειδικής διεπαφής, προκειμένου να διασφαλιστεί το δικαίωμα των χρηστών υπηρεσιών πληρωμών να χρησιμοποιούν τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τις υπηρεσίες πληροφοριών που επιτρέπουν την πρόσβαση σε πληροφορίες λογαριασμού, κατά τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366, είναι αναγκαίο να απαιτείται από τις ειδικές διεπαφές να έχουν το ίδιο επίπεδο διαθεσιμότητας και επίδοσης με τη διεπαφή που διατίθεται στον χρήστη υπηρεσιών πληρωμών. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει επίσης να ορίσουν διαφανείς κύριους δείκτες επίδοσης και στόχους παροχής υπηρεσιών για τη διαθεσιμότητα και την επίδοση των ειδικών διεπαφών οι οποίοι να είναι τουλάχιστον εξίσου αυστηροί με τους δείκτες και τους στόχους της διεπαφής που χρησιμοποιούν για τους χρήστες υπηρεσιών πληρωμών τους. Οι ειδικές διεπαφές θα πρέπει να υποβάλλονται σε δοκιμές από τους παρόχους υπηρεσιών πληρωμών που θα τις χρησιμο¬ποιούν, και θα πρέπει επιπλέον να υποβάλλονται σε προσομοιώσεις ακραίων καταστάσεων και να παρακολουθούνται από τις αρμόδιες αρχές.
(24) Προκειμένου να διασφαλιστεί η συνεχής και αδιάλειπτη παροχή των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών πληρωμών οι οποίοι βασίζονται στην ειδική διεπαφή σε περίπτωση προβλημάτων διαθεσιμότητας ή ανεπαρκούς επίδοσης, είναι αναγκαίο να εφαρμόζεται, υπό αυστηρές προϋποθέσεις, εφεδρικός μηχανισμός ο οποίος θα επιτρέπει στους εν λόγω παρόχους να χρησιμοποιούν τη διεπαφή που διατηρεί ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για την ταυτοποίηση των δικών του χρηστών υπηρεσιών πληρωμών και την επικοινωνία μαζί τους. Ορισμένοι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα εξαιρούνται από την υποχρέωση εφαρμογής τέτοιου εφεδρικού μηχανισμού μέσω των διεπαφών τους αλληλεπίδρασης με τους πελάτες όταν οι αρμόδιες αρχές τους κρίνουν ότι οι ειδικές διεπαφές συμμορφώνονται με συγκεκριμένες προϋποθέσεις που διασφαλίζουν τον απρόσκοπτο ανταγωνισμό. Σε περίπτωση που οι εξαιρεθείσες ειδικές διεπαφές δεν συμμορφώνονται με τις απαιτούμενες προϋποθέσεις, οι οικείες αρμόδιες αρχές ανακαλούν τις χορηγηθείσες εξαιρέσεις.
(25) Προκειμένου να είναι σε θέση οι αρμόδιες αρχές να εποπτεύουν και να παρακολουθούν αποτελεσματικά την εφαρμογή και τη διαχείριση των διεπαφών επικοινωνίας, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να παρέχουν περίληψη της σχετικής τεκμηρίωσης που διατίθεται στον δικτυακό τους τόπο, και να υποβάλλουν, κατόπιν αιτήματος, στις αρμόδιες αρχές την τεκμηρίωση που αφορά τις λύσεις σε καταστάσεις έκτακτης ανάγκης. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει ακόμη να διαθέτουν στο κοινό τα στατιστικά στοιχεία για τη διαθεσιμότητα και την επίδοση των εν λόγω διεπαφών.
(26) Προκειμένου να διασφαλιστεί η εμπιστευτικότητα και η ακεραιότητα των δεδομένων, είναι αναγκαίο να υπάρξει μέριμνα για την ασφάλεια των κύκλων επικοινωνίας ανάμεσα στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα. Συγκεκριμένα, είναι αναγκαίο να απαιτείται η εφαρμογή ασφαλούς κρυπτογράφησης κατά την ανταλλαγή δεδομένων ανάμεσα στους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών, τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα και τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.
(27) Για τη βελτίωση της εμπιστοσύνης των χρηστών και τη διασφάλιση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, θα πρέπει να ληφθεί υπόψη η χρήση μέσων ηλεκτρονικής ταυτοποίησης και υπηρεσιών εμπιστοσύνης κατά τα προβλεπόμενα στον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), συγκεκριμένα δε σε σχέση με τα κοινοποιημένα συστήματα ηλεκτρονικής ταυτοποίησης.
(28) Προκειμένου να διασφαλιστεί η ευθυγράμμιση των ημερομηνιών εφαρμογής, ο παρών κανονισμός θα πρέπει να εφαρμοστεί από την ίδια ημερομηνία κατά την οποία τα κράτη μέλη οφείλουν να εφαρμόσουν τα μέτρα ασφαλείας που αναφέρονται στα άρθρα 65, 66, 67 και 97 της οδηγίας (ΕΕ) 2015/2366.
(29) Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλε η Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ) στην Επιτροπή.
(30) Η ΕΑΤ διεξήγαγε ανοικτές και διαφανείς δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσε τα ενδεχόμενα συναφή κόστη και οφέλη και ζήτησε τη γνώμη της ομάδας τραπεζικών συμφεροντούχων, που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010.
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
ΚΕΦΑΛΑΙΟ I
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο
Ο παρών κανονισμός καθορίζει τις απαιτήσεις προς τις οποίες οφείλουν να συμμορφώνονται οι πάροχοι υπηρεσιών πληρωμών για τον σκοπό της εφαρμογής μέτρων ασφαλείας που τους επιτρέπουν να πράττουν τα ακόλουθα:
α) να εφαρμόζουν τη διαδικασία αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 της οδηγίας (ΕΕ) 2015/2366·
β) να εφαρμόζουν τις εξαιρέσεις που προβλέπονται σε σχέση με την εφαρμογή των απαιτήσεων ασφαλείας της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, υπό συγκεκριμένες και περιορισμένες προϋποθέσεις που βασίζονται στο επίπεδο κινδύνου, στο ύψος του ποσού και την επανεμφάνιση της πράξης πληρωμής, καθώς και στον δίαυλο πληρωμής που χρησιμοποιήθηκε για την εκτέλεσή της·
γ) να προστατεύουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας των χρηστών υπηρεσιών πληρωμών·
δ) να καθορίζουν κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών εκκίνησης πληρωμής, παρόχων υπηρεσιών πληροφοριών λογαριασμού, πληρωτών, δικαιούχων και άλλων παρόχων υπηρεσιών πληρωμών σχετικά με την παροχή και τη χρήση υπηρεσιών πληρωμών, κατ' εφαρμογή του τίτλου IV της οδηγίας (ΕΕ) 2015/2366.
Άρθρο 2
Γενικές απαιτήσεις εξακρίβωσης
1. Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν μηχανισμούς παρακολούθησης συναλλαγών που τους επιτρέπουν να εντοπίζουν μη εγκεκριμένες ή δόλιες πράξεις πληρωμής, για τον σκοπό της εφαρμογής των μέτρων ασφαλείας που αναφέρονται στο άρθρο 1 στοιχεία α) και β).
Οι εν λόγω μηχανισμοί βασίζονται στην ανάλυση πράξεων πληρωμής, λαμβάνοντας υπόψη στοιχεία τα οποία είναι αντιπροσωπευτικά του χρήστη υπηρεσιών πληρωμών υπό συνθήκες συνήθους χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας.
2. Οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι οι μηχανισμοί παρακολούθησης συναλλαγών λαμβάνουν υπόψη, τουλάχιστον, όλους ανεξαιρέτως τους ακόλουθους παράγοντες συναρτήσει του κινδύνου:
α) καταλόγους στοιχείων εξακρίβωσης των οποίων η ασφάλεια έχει τεθεί σε κίνδυνο ή τα οποία έχουν κλαπεί·
β) το ποσό κάθε πράξης πληρωμής·
γ) γνωστά σενάρια απάτης στον τομέα της παροχής υπηρεσιών πληρωμών·
δ) ενδείξεις προσβολής από κακόβουλο λογισμικό σε οποιοδήποτε στάδιο της διαδικασίας εξακρίβωσης·
ε) σε περίπτωση που η συσκευή ή το λογισμικό πρόσβασης παρέχεται από τον πάροχο υπηρεσιών πληρωμών, ημερολογιακή καταγραφή της χρήσης της συσκευής ή του λογισμικού πρόσβασης που παρέχεται στον χρήστη υπηρεσιών πληρωμών και της μη συνηθισμένης χρήσης της συσκευής ή του λογισμικού πρόσβασης.
Άρθρο 3
Επανεξέταση των μέτρων ασφαλείας
1. Τα μέτρα ασφαλείας που εφαρμόζονται δυνάμει του άρθρου 1 τεκμηριώνονται, υποβάλλονται περιοδικά σε δοκιμές, αξιολογούνται και ελέγχονται, σύμφωνα με το ισχύον νομικό πλαίσιο του παρόχου υπηρεσιών πληρωμών, από ελεγκτές με εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, οι οποίοι είναι επιχειρησιακά ανεξάρτητοι από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού.
2. Το χρονικό διάστημα μεταξύ των ελέγχων που αναφέρονται στην παράγραφο 1 καθορίζεται λαμβάνοντας υπόψη το οικείο πλαίσιο λογιστικής και υποχρεωτικού ελέγχου που διέπει τον πάροχο υπηρεσιών πληρωμών.
Πάντως, οι πάροχοι υπηρεσιών πληρωμών οι οποίοι κάνουν χρήση της εξαίρεσης που αναφέρεται στο άρθρο 18 υπόκεινται σε έλεγχο της μεθοδολογίας, του μοντέλου και των δηλωθέντων ποσοστών απάτης τουλάχιστον μία φορά ετησίως. Ο ελεγκτής που διενεργεί τον εν λόγω έλεγχο διαθέτει εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, και είναι επιχειρησιακά ανεξάρτητος από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού. Κατά τη διάρκεια του πρώτου έτους χρήσης της εξαίρεσης που προβλέπεται στο άρθρο 18 και τουλάχιστον κάθε τρία χρόνια εφεξής, ή συχνότερα κατόπιν αιτήματος της αρμόδιας αρχής, ο εν λόγω έλεγχος διενεργείται από ανεξάρτητο και εξειδικευμένο εξωτερικό ελεγκτή.
3. Ο εν λόγω έλεγχος ολοκληρώνεται με αξιολόγηση της συμμόρφωσης των μέτρων ασφαλείας που εφαρμόζει ο πάροχος υπηρεσιών πληρωμών προς τις απαιτήσεις του παρόντος κανονισμού, και με την υποβολή συναφούς έκθεσης.
Ολόκληρη η έκθεση διατίθεται στις αρμόδιες αρχές κατόπιν αιτήματός τους.
ΚΕΦΑΛΑΙΟ II
ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΗΣ ΑΥΣΤΗΡΗΣ ΕΞΑΚΡΙΒΩΣΗΣ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ
Άρθρο 4
Αναγνωριστικός κωδικός
1. Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, η εξακρίβωση της ταυτότητας βασίζεται σε δύο ή περισσότερα στοιχεία που αφορούν γνώση, κατοχή και κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, και οδηγεί στη δημιουργία αναγνωριστικού κωδικού.
Ο αναγνωριστικός κωδικός γίνεται δεκτός μία μόνο φορά από τον πάροχο υπηρεσιών πληρωμών, όταν ο πληρωτής χρησιμοποιεί τον αναγνωριστικό κωδικό για να έχει πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά, να διενεργήσει την έναρξη πράξης πληρωμής ηλεκτρονικά ή να εκτελέσει οιαδήποτε ενέργεια, μέσω εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:
α) να μην είναι δυνατή η εξαγωγή καμίας πληροφορίας για οποιοδήποτε από τα στοιχεία που αναφέρονται στην παράγραφο 1 από τη δημοσιοποίηση του αναγνωριστικού κωδικού·
β) να μην είναι δυνατή η δημιουργία νέου αναγνωριστικού κωδικού με βάση τη γνώση οποιουδήποτε άλλου αναγνωριστικού κωδικού που έχει δημιουργηθεί παλαιότερα·
γ) να μην είναι δυνατή η πλαστογράφηση του αναγνωριστικού κωδικού.
3. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η εξακρίβωση της ταυτότητας μέσω της δημιουργίας αναγνωριστικού κωδικού να περιλαμβάνει καθένα από τα ακόλουθα μέτρα:
α) όταν η εξακρίβωση της ταυτότητας για πρόσβαση εξ αποστάσεως, ηλεκτρονικές πληρωμές εξ αποστάσεως και οιαδήποτε άλλη ενέργεια μέσω εξ αποστάσεως διαύλου, που μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων, δεν οδηγεί στη δημιουργία αναγνωριστικού κωδικού για τους σκοπούς της παραγράφου 1, δεν είναι εφικτό να προσδιοριστεί ποια από τα στοιχεία που αναφέρονται στην εν λόγω παράγραφο ήταν εσφαλμένα·
β) οι αποτυχημένες προσπάθειες εξακρίβωσης της ταυτότητας που μπορούν να πραγματοποιηθούν διαδοχικά εντός συγκεκριμένου χρονικού διαστήματος, μετά την ολοκλήρωση των οποίων επιβάλλεται προσωρινή ή μόνιμη φραγή στις ενέργειες που αναφέρονται στο άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, δεν υπερβαίνουν σε αριθμό τις πέντε·
γ) οι κύκλοι επικοινωνίας προστατεύονται έναντι της συλλογής δεδομένων εξακρίβωσης που διαβιβάζονται κατά την εξακρίβωση της ταυτότητας, καθώς και έναντι της χρησιμοποίησης από μη εξουσιοδοτημένα πρόσωπα, σύμφωνα με τις απαιτήσεις του κεφαλαίου V·
δ) ο μέγιστος χρόνος άνευ δραστηριότητας που έχει στη διάθεσή του ο πληρωτής, μετά την εξακρίβωση της ταυτότητάς του για τον σκοπό της πρόσβασης στον λογαριασμό πληρωμών του διαδικτυακά, δεν υπερβαίνει τα πέντε λεπτά.
4. Όταν η επιβολή της φραγής που αναφέρεται στην παράγραφο 3 στοιχείο β) είναι προσωρινή, η διάρκειά της και ο αριθμός των νέων προσπαθειών καθορίζονται με βάση τα χαρακτηριστικά της υπηρεσίας που παρέχεται στον πληρωτή και όλους τους σχετικούς συνεπαγόμενους κινδύνους, λαμβάνοντας υπόψη, τουλάχιστον, τους παράγοντες που αναφέρονται στο άρθρο 2 παράγραφος 2.
Ο πληρωτής λαμβάνει ειδοποίηση προτού καταστεί μόνιμη η φραγή.
Όταν η φραγή έχει καταστεί μόνιμη, προβλέπεται ασφαλής διαδικασία που επιτρέπει στον πληρωτή να μπορέσει να χρησιμοποιήσει εκ νέου τα μέσα ηλεκτρονικής πληρωμής στα οποία είχε επιβληθεί φραγή.
Άρθρο 5
Δυναμική σύνδεση
1. Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, επιπροσθέτως των απαιτήσεων του άρθρου 4 του παρόντος κανονισμού, λαμβάνουν επιπλέον μέτρα ασφαλείας που πληρούν όλες ανεξαιρέτως τις ακόλουθες απαιτήσεις:
α) ο πληρωτής ενημερώνεται για το ποσό της πράξης πληρωμής και για τον δικαιούχο·
β) ο αναγνωριστικός κωδικός που δημιουργείται αφορά συγκεκριμένα το ποσό της πράξης πληρωμής και τον δικαιούχο τον οποίον ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής·
γ) ο αναγνωριστικός κωδικός τον οποίον κάνει δεκτό ο πάροχος υπηρεσιών πληρωμών αντιστοιχεί στο αρχικό συγκεκριμένο ποσό της πράξης πληρωμής και στην ταυτότητα του δικαιούχου τον οποίον ενέκρινε ο πληρωτής·
δ) τυχόν μεταβολή του ποσού ή του δικαιούχου συνεπάγεται την ακύρωση του δημιουργηθέντος αναγνωριστικού κωδικού.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν την εμπιστευτικότητα, την αυθεντικότητα και την ακεραιότητα καθενός εκ των ακολούθων:
α) του ποσού της συναλλαγής και του δικαιούχου σε όλα τα στάδια της εξακρίβωσης·
β) των πληροφοριών που εμφανίζονται στον πληρωτή σε όλα τα στάδια της εξακρίβωσης, περιλαμβανομένων της δημιουργίας, της διαβίβασης και της χρήσης του αναγνωριστικού κωδικού.
3. Για τον σκοπό της παραγράφου 1 στοιχείο β), και στις περιπτώσεις όπου οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, εφαρμόζονται οι ακόλουθες απαιτήσεις για τον αναγνωριστικό κωδικό:
α) για πράξη πληρωμής με κάρτα σχετικά με την οποία ο πληρωτής έχει δώσει τη συγκατάθεσή του για το ακριβές ύψος του προς δέσμευση ποσού, σύμφωνα με το άρθρο 75 παράγραφος 1 της προαναφερθείσας οδηγίας, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το ποσό για τη δέσμευση του οποίου έδωσε τη συγκατάθεσή του ο πληρωτής και το οποίο ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής·
β) για πράξεις πληρωμής σχετικά με τις οποίες ο πληρωτής έχει δώσει τη συγκατάθεσή του να εκτελεστεί σειρά πράξεων ηλεκτρονικής πληρωμής εξ αποστάσεως προς έναν ή περισσότερους δικαιούχους, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το συνολικό ποσό της σειράς πράξεων πληρωμής και τους ορισθέντες δικαιούχους.
Άρθρο 6
Απαιτήσεις των στοιχείων που αφορούν γνώση
1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν γνώση από μη εξουσιοδοτημένα πρόσωπα, ή δημοσιοποίησης των εν λόγω στοιχείων στα πρόσωπα αυτά.
2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα μείωσης των κινδύνων, προκειμένου να αποτραπεί η δημοσιοποίησή τους σε μη εξουσιοδοτημένα πρόσωπα.
Άρθρο 7
Απαιτήσεις των στοιχείων που αφορούν κατοχή
1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου χρήσης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν κατοχή.
2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα αποτροπής της αντιγραφής τους.
Άρθρο 8
Απαιτήσεις συσκευών και λογισμικών που συνδέονται με στοιχεία που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη
1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων εξακρίβωσης που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, τα οποία αναγιγνώσκονται από συσκευές και λογισμικά πρόσβασης που παρέχονται στον πληρωτή. Κατ' ελάχιστον, οι πάροχοι υπηρεσιών πληρωμών φροντίζουν να περιορίσουν στο ελάχιστο δυνατό την πιθανότητα να εξακριβωθεί κάποιο μη εξουσιοδοτημένο πρόσωπο ως πληρωτής, μέσω των εν λόγω συσκευών και λογισμικών πρόσβασης.
2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα που διασφαλίζουν εγγυημένα την ανθεκτικότητα των εν λόγω συσκευών και λογισμικών κατά της μη εγκεκριμένης χρήσης των στοιχείων, μέσω της πρόσβασης στις συσκευές και τα λογισμικά.
Άρθρο 9
Ανεξαρτησία των στοιχείων
1. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η χρήση των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, που αναφέρονται στα άρθρα 6, 7 και 8, να υπόκειται σε μέτρα τα οποία διασφαλίζουν ότι, από πλευράς τεχνολογίας, αλγορίθμων και παραμέτρων, η παραβίαση ενός εκ των στοιχείων δεν θέτει σε κίνδυνο την αξιοπιστία των υπόλοιπων στοιχείων.
2. Σε περίπτωση χρήσης μέσω συσκευής πολλαπλών χρήσεων οποιουδήποτε εκ των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή του ίδιου του αναγνωριστικού κωδικού, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας για τη μείωση του κινδύνου που δύναται να προκύψει από ενδεχόμενη δόλια χρήση της συγκεκριμένης συσκευής πολλαπλών χρήσεων.
3. Για τους σκοπούς της παραγράφου 2, τα μέτρα μείωσης των κινδύνων περιλαμβάνουν όλα ανεξαιρέτως τα ακόλουθα:
α) τη χρήση χωριστών ασφαλών περιβαλλόντων εκτέλεσης μέσω του εγκατεστημένου λογισμικού στη συσκευή πολλαπλών χρήσεων·
β) μηχανισμούς που διασφαλίζουν ότι το λογισμικό ή η συσκευή δεν έχουν υποστεί τροποποίηση από τον πληρωτή ή από τρίτο πρόσωπο·
γ) όπου έχουν επέλθει τροποποιήσεις, μηχανισμούς μείωσης των επιπτώσεών τους.
ΚΕΦΑΛΑΙΟ III
ΕΞΑΙΡΕΣΕΙΣ ΑΠΟ ΤΗΝ ΑΥΣΤΗΡΗ ΕΞΑΚΡΙΒΩΣΗ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ
Άρθρο 10
Πληροφορίες λογαριασμού πληρωμών
1. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2 και της παραγράφου 2 του παρόντος άρθρου, όταν περιορίζεται η πρόσβαση του χρήστη υπηρεσιών πληρωμών διαδικτυακά σε κάποιο από ή σε αμφότερα τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών:
α) στο υπόλοιπο ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών·
β) στις πράξεις πληρωμής που εκτελέστηκαν τις τελευταίες 90 ημέρες μέσω ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών δεν εξαιρούνται από την εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, όταν πληρούται οιαδήποτε από τις ακόλουθες προϋποθέσεις:
α) ο χρήστης υπηρεσιών πληρωμών έχει πρόσβαση διαδικτυακά στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 για πρώτη φορά·
β) έχουν παρέλθει περισσότερες από 90 ημέρες από την τελευταία φορά που ο χρήστης υπηρεσιών πληρωμών είχε πρόσβαση διαδικτυακά στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 στοιχείο β) και εφαρμόστηκε αυστηρή εξακρίβωση της ταυτότητας του πελάτη.
Άρθρο 11
Ανέπαφες πληρωμές στο σημείο πώλησης
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης ανέπαφης πληρωμής, υπό την προϋπόθεση ότι πληρούνται οι ακόλουθες προϋποθέσεις:
α) το ύψος της μεμονωμένης πράξης ανέπαφης ηλεκτρονικής πληρωμής δεν υπερβαίνει το ποσό των 50 ευρώ, και
β) το ύψος προηγούμενων πράξεων ανέπαφης ηλεκτρονικής πληρωμής, των οποίων η έναρξη διενεργήθηκε μέσω του μέσου πληρωμής με λειτουργική δυνατότητα μη επαφής, από την ημερομηνία της τελευταίας εφαρμογής αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνει αθροιστικά το ποσό των 150 ευρώ, ή
γ) οι διαδοχικές πράξεις ανέπαφης ηλεκτρονικής πληρωμής, των οποίων η έναρξη διενεργήθηκε μέσω του μέσου πληρωμής που διαθέτει λειτουργική δυνατότητα μη επαφής, από την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνουν σε αριθμό τις πέντε.
Άρθρο 12
Αυτόματα τερματικά για ναύλους μεταφοράς και τέλη στάθμευσης
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής σε αυτόματο τερματικό πληρωμής για τον σκοπό της πληρωμής ναύλου μεταφοράς ή τέλους στάθμευσης.
Άρθρο 13
Έμπιστοι δικαιούχοι
1. Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής δημιουργεί ή τροποποιεί κατάλογο έμπιστων δικαιούχων μέσω του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού του πληρωτή.
2. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις γενικές απαιτήσεις εξακρίβωσης, όταν ο πληρωτής διενεργεί την έναρξη πράξης πληρωμής και ο δικαιούχος περιλαμβάνεται σε κατάλογο έμπιστων δικαιούχων, που έχει δημιουργηθεί προηγουμένως από τον πληρωτή.
Άρθρο 14
Επαναλαμβανόμενες συναλλαγές
1. Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ένας πληρωτής προβαίνει στη δημιουργία, την τροποποίηση ή τη διενέργεια της έναρξης, για πρώτη φορά, σειράς επαναλαμβανόμενων συναλλαγών με το ίδιο ποσό και με τον ίδιο δικαιούχο.
2. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις γενικές απαιτήσεις εξακρίβωσης, για τη διενέργεια της έναρξης όλων των επακόλουθων πράξεων πληρωμής που περιλαμβάνονται στη σειρά πράξεων πληρωμής που αναφέρεται στην παράγραφο 1.
Άρθρο 15
Μεταφορές πιστώσεων μεταξύ λογαριασμών που τηρούνται από το ίδιο φυσικό ή νομικό πρόσωπο
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2, όταν ο πληρωτής διενεργεί την έναρξη μεταφοράς πίστωσης σε περιπτώσεις όπου ο πληρωτής και ο δικαιούχος είναι το ίδιο φυσικό ή νομικό πρόσωπο, και αμφότεροι οι λογαριασμοί πληρωμών τηρούνται στον ίδιο πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.
Άρθρο 16
Συναλλαγές μικρής αξίας
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής εξ αποστάσεως, υπό την προϋπόθεση ότι πληρούνται οι ακόλουθες προϋποθέσεις:
α) το ύψος της πράξης ηλεκτρονικής πληρωμής εξ αποστάσεως δεν υπερβαίνει το ποσό των 30 ευρώ, και
β) το ύψος προηγούμενων πράξεων ηλεκτρονικής πληρωμής εξ αποστάσεως, των οποίων η έναρξη διενεργήθηκε από τον πληρωτή μετά την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνει αθροιστικά το ποσό των 100 ευρώ, ή
γ) οι προηγούμενες πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως, των οποίων η έναρξη διενεργήθηκε από τον πληρωτή μετά την τελευταία εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, δεν υπερβαίνουν σε αριθμό τις πέντε διαδοχικές μεμονωμένες πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως.
Άρθρο 17
Ασφαλείς διαδικασίες και πρωτόκολλα εταιρικών πληρωμών
Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όσον αφορά νομικά πρόσωπα που διενεργούν την έναρξη πράξεων πληρωμής ηλεκτρονικά μέσω της χρήσης ειδικών διαδικασιών ή πρωτοκόλλων πληρωμής, που διατίθενται μόνο σε πληρωτές οι οποίοι δεν είναι καταναλωτές, όταν οι αρμόδιες αρχές κρίνουν ότι οι εν λόγω διαδικασίες ή τα πρωτόκολλα διασφαλίζουν τουλάχιστον αντίστοιχα επίπεδα ασφαλείας με τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366.
Άρθρο 18
Ανάλυση κινδύνου συναλλαγής
1. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, όταν ο πληρωτής διενεργεί ηλεκτρονικά την έναρξη πράξης πληρωμής εξ αποστάσεως η οποία κρίνεται από τον πάροχο υπηρεσιών πληρωμών ως έχουσα κίνδυνο χαμηλού επιπέδου, σύμφωνα με τους μηχανισμούς παρακολούθησης συναλλαγών που αναφέρονται στο άρθρο 2 και στην παράγραφο 2 στοιχείο γ) του παρόντος άρθρου.
2. Οι πράξεις ηλεκτρονικής πληρωμής που αναφέρονται στην παράγραφο 1 θεωρείται ότι ενέχουν κίνδυνο χαμηλού επιπέδου, όταν πληρούνται όλες οι ακόλουθες προϋποθέσεις:
α) το ποσοστό απάτης για τον συγκεκριμένο τύπο συναλλαγής, που δηλώνεται από τον πάροχο υπηρεσιών πληρωμών και υπολογίζεται σύμφωνα με το άρθρο 19, ισούται με ή είναι χαμηλότερο από τα ποσοστά αναφοράς περιπτώσεων απάτης τα οποία προσδιορίζονται στον πίνακα που παρατίθεται στο παράρτημα, για τις «ηλεκτρονικές πληρωμές εξ αποστάσεως με κάρτα» και τις «ηλεκτρονικές μεταφορές πιστώσεων εξ αποστάσεως», αντίστοιχα·
β) το ύψος της συναλλαγής δεν υπερβαίνει τη συναφή οριακή τιμή εξαίρεσης που προσδιορίζεται στον πίνακα του παραρτήματος·
γ) οι πάροχοι υπηρεσιών πληρωμών δεν εντόπισαν, ως αποτέλεσμα της ανάλυσης κινδύνου που διενήργησαν σε πραγματικό χρόνο, οποιοδήποτε από τα ακόλουθα:
i) μη συνηθισμένη χρέωση ή μη συνηθισμένη συμπεριφορά του πληρωτή·
ii) ασυνήθιστες πληροφορίες για την πρόσβαση του πληρωτή μέσω της συσκευής/του λογισμικού·
iii) προσβολή από κακόβουλο λογισμικό σε οποιοδήποτε στάδιο της διαδικασίας εξακρίβωσης·
iv) γνωστό σενάριο απάτης στον τομέα της παροχής υπηρεσιών πληρωμών·
v) μη συνηθισμένη τοποθεσία του πληρωτή·
vi) τοποθεσία υψηλού κινδύνου του δικαιούχου.
3. Οι πάροχοι υπηρεσιών πληρωμών που σκοπεύουν να εξαιρέσουν τις πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη, με την αιτιολογία ότι παρουσιάζουν χαμηλό κίνδυνο, λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους παράγοντες συναρτήσει του κινδύνου:
α) τις προηγούμενες χρεώσεις του μεμονωμένου χρήστη υπηρεσιών πληρωμών·
β) το ιστορικό των πράξεων πληρωμής καθενός εκ των χρηστών υπηρεσιών πληρωμών του παρόχου υπηρεσιών πληρωμών·
γ) την τοποθεσία του πληρωτή και του δικαιούχου κατά τον χρόνο της πράξης πληρωμής, στις περιπτώσεις όπου η συσκευή ή το λογισμικό πρόσβασης παρέχεται από τον πάροχο υπηρεσιών πληρωμών·
δ) τον εντοπισμό μη συνηθισμένων πληρωμών του χρήστη υπηρεσιών πληρωμών σε σχέση με το ιστορικό των πράξεων πληρωμής του.
Η αξιολόγηση που γίνεται από τον πάροχο υπηρεσιών πληρωμών συνδυάζει όλους αυτούς τους παράγοντες συναρτήσει του κινδύνου σε μια βαθμολογία κινδύνου για κάθε επιμέρους συναλλαγή, με στόχο να προσδιοριστεί αν πρέπει ή όχι να επιτραπεί μια συγκεκριμένη πληρωμή, χωρίς αυστηρή εξακρίβωση της ταυτότητας του πελάτη.
Άρθρο 19
Υπολογισμός των ποσοστών απάτης
1. Για κάθε τύπο συναλλαγής που αναφέρεται στον πίνακα του παραρτήματος, ο πάροχος υπηρεσιών πληρωμών διασφαλίζει ότι τα συνολικά ποσοστά απάτης, που καλύπτουν τόσο τις πράξεις πληρωμής των οποίων η γνησιότητα εξακριβώνεται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη όσο και τις πράξεις πληρωμής που εκτελούνται δυνάμει οποιασδήποτε εκ των εξαιρέσεων που αναφέρονται στα άρθρα 13 έως 18, ισούνται με, ή είναι χαμηλότερα από, το ποσοστό αναφοράς περιπτώσεων απάτης για τον ίδιο τύπο πράξης πληρωμής που αναφέρεται στον πίνακα του παραρτήματος.
Το συνολικό ποσοστό απάτης για κάθε τύπο συναλλαγής υπολογίζεται ως η συνολική αξία μη εγκεκριμένων ή δόλιων συναλλαγών εξ αποστάσεως, ανεξάρτητα από το αν ανακτήθηκαν ή όχι τα κεφάλαια, διαιρούμενη με τη συνολική αξία όλων των συναλλαγών εξ αποστάσεως για τον ίδιο τύπο συναλλαγών, ανεξάρτητα από το αν η γνησιότητά τους εξακριβώνεται με την εφαρμογή αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή αν εκτελούνται δυνάμει οποιασδήποτε εκ των εξαιρέσεων που αναφέρονται στα άρθρα 13 έως 18 σε κυλιόμενη τριμηνιαία βάση (90 ημέρες).
2. Ο υπολογισμός των ποσοστών απάτης και τα προκύπτοντα ποσοτικά στοιχεία αξιολογούνται μέσω της επανεξέτασης του ελέγχου, που αναφέρεται στο άρθρο 3 παράγραφος 2, η οποία διασφαλίζει την πληρότητα και την ακρίβειά τους.
3. Η μεθοδολογία και ενδεχομένως το μοντέλο που χρησιμοποιεί ο πάροχος υπηρεσιών πληρωμών για τον υπολογισμό των ποσοστών απάτης, καθώς και τα ίδια τα ποσοστά απάτης, τεκμηριώνονται επαρκώς και καθίστανται πλήρως διαθέσιμα στις αρμόδιες αρχές και στην ΕΑΤ με προηγούμενη γνωστοποίηση στην/στις αρμόδια/-ες αρχή/-ές, κατόπιν αιτήματός της/τους.
Άρθρο 20
Διακοπή εφαρμογής εξαιρέσεων βάσει ανάλυσης κινδύνου συναλλαγής
1. Οι πάροχοι υπηρεσιών πληρωμών που κάνουν χρήση της εξαίρεσης του άρθρου 18 ενημερώνουν αμέσως τις αρμόδιες αρχές, όταν ένα από τα παρακολουθούμενα ποσοστά απάτης τους, για οποιονδήποτε τύπο πράξεων πληρωμής που αναφέρεται στον πίνακα του παραρτήματος, υπερβαίνει το ισχύον ποσοστό αναφοράς περιπτώσεων απάτης, και υποβάλλουν στις αρμόδιες αρχές περιγραφή των μέτρων που σκοπεύουν να λάβουν για την αποκατάσταση της συμμόρφωσης του παρακολουθούμενου ποσοστού απάτης τους με τα ισχύοντα ποσοστά αναφοράς περιπτώσεων απάτης.
2. Οι πάροχοι υπηρεσιών πληρωμών παύουν αμέσως να χρησιμοποιούν την εξαίρεση του άρθρου 18, για οποιονδήποτε τύπο πράξεων πληρωμής που αναφέρεται στον πίνακα του παραρτήματος, στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης, όταν το παρακολουθούμενο ποσοστό απάτης τους υπερβαίνει για δύο διαδοχικά τρίμηνα το ποσοστό αναφοράς περιπτώσεων απάτης που ισχύει για το συγκεκριμένο μέσο πληρωμής ή τύπο πράξης πληρωμής στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης.
3. Μετά τη διακοπή χρήσης της εξαίρεσης του άρθρου 18, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, οι πάροχοι υπηρεσιών πληρωμών δεν χρησιμοποιούν ξανά τη συγκεκριμένη εξαίρεση, μέχρις ότου το ποσοστό αναφοράς περιπτώσεων απάτης που υπολογίζουν να ισούται με, ή να είναι χαμηλότερο από, τα ποσοστά αναφοράς περιπτώσεων απάτης που ισχύουν για τον συγκεκριμένο τύπο πράξης πληρωμής στο συγκεκριμένο εύρος οριακών τιμών εξαίρεσης για ένα τρίμηνο.
4. Σε περίπτωση που οι πάροχοι υπηρεσιών πληρωμών σκοπεύουν να χρησιμοποιήσουν ξανά την εξαίρεση του άρθρου 18, ενημερώνουν σχετικά τις αρμόδιες αρχές εντός εύλογου χρονοδιαγράμματος και, προτού κάνουν εκ νέου χρήση της εξαίρεσης, υποβάλλουν στοιχεία από τα οποία αποδεικνύεται η αποκατάσταση της συμμόρφωσης του παρακολουθούμενου ποσοστού απάτης τους με το ισχύον ποσοστό αναφοράς περιπτώσεων απάτης για το συγκεκριμένο εύρος οριακών τιμών εξαίρεσης, σύμφωνα με την παράγραφο 3 του παρόντος άρθρου.
Άρθρο 21
Παρακολούθηση
1. Για να κάνουν χρήση των εξαιρέσεων που προβλέπονται στα άρθρα 10 έως 18, οι πάροχοι υπηρεσιών πληρωμών καταγράφουν και παρακολουθούν, τουλάχιστον σε τριμηνιαία βάση, τα ακόλουθα δεδομένα για κάθε τύπο πράξεων πληρωμής, με ανάλυση για τις πράξεις πληρωμής εξ αποστάσεως και μη:
α) τη συνολική αξία των μη εγκεκριμένων ή δόλιων πράξεων πληρωμής, σύμφωνα με το άρθρο 64 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, τη συνολική αξία όλων των πράξεων πληρωμής και το προκύπτον ποσοστό απάτης, περιλαμβανομένης της ανάλυσης των πράξεων πληρωμής των οποίων η έναρξη διενεργείται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και δυνάμει καθεμιάς εκ των εξαιρέσεων·
β) τη μέση τιμή συναλλαγής, περιλαμβανομένης της ανάλυσης των πράξεων πληρωμής των οποίων η έναρξη διενεργείται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και δυνάμει καθεμιάς εκ των εξαιρέσεων·
γ) το πλήθος των πράξεων πληρωμής στις οποίες εφαρμόστηκε καθεμιά από τις εξαιρέσεις και το ποσοστό τους επί του συνολικού αριθμού των πράξεων πληρωμής.
2. Οι πάροχοι υπηρεσιών πληρωμών καθιστούν διαθέσιμα τα αποτελέσματα της παρακολούθησης σύμφωνα με την παράγραφο 1 στις αρμόδιες αρχές και την ΕΑΤ, με προηγούμενη κοινοποίηση στην/στις αρμόδια/-ες αρχή/-ές, κατόπιν αιτήματός της/τους.
ΚΕΦΑΛΑΙΟ IV
ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΚΑΙ ΑΚΕΡΑΙΟΤΗΤΑ ΤΩΝ ΕΞΑΤΟΜΙΚΕΥΜΕΝΩΝ ΔΙΑΠΙΣΤΕΥΤΗΡΙΩΝ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΧΡΗΣΤΩΝ ΥΠΗΡΕΣΙΩΝ ΠΛΗΡΩΜΩΝ
Άρθρο 22
Γενικές απαιτήσεις
1. Οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας του χρήστη υπηρεσιών πληρωμών, περιλαμβανομένων των αναγνωριστικών κωδικών, κατά τη διάρκεια όλων των σταδίων της εξακρίβωσης.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:
α) τα εξατομικευμένα διαπιστευτήρια ασφαλείας εμφανίζονται καλυμμένα στην οθόνη και δεν είναι αναγνώσιμα πλήρως κατά την πληκτρολόγησή τους από τον χρήστη υπηρεσιών πληρωμών στο πλαίσιο της εξακρίβωσης·
β) τα εξατομικευμένα διαπιστευτήρια ασφαλείας σε μορφότυπο δεδομένων, καθώς και τα υλικά κρυπτογράφησης που σχετίζονται με την κρυπτογράφηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας δεν αποθηκεύονται σε ακρυπτογράφητο κείμενο·
γ) τα απόρρητα υλικά κρυπτογράφησης προστατεύονται από μη εγκεκριμένη δημοσιοποίηση.
3. Οι πάροχοι υπηρεσιών πληρωμών τηρούν πλήρη τεκμηρίωση για τη διαδικασία διαχείρισης των υλικών κρυπτογράφησης που χρησιμοποιούνται για να κρυπτογραφηθούν ή να καταστούν με άλλον τρόπο μη αναγνώσιμα τα εξατομικευμένα διαπιστευτήρια ασφαλείας.
4. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η επεξεργασία και η δρομολόγηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και των αναγνωριστικών κωδικών, που δημιουργούνται σύμφωνα με το κεφάλαιο II, να λαμβάνουν χώρα σε ασφαλή περιβάλλοντα σύμφωνα με αξιόπιστα και ευρέως αναγνωρισμένα πρότυπα του συναφούς κλάδου.
Άρθρο 23
Δημιουργία και διαβίβαση των εξατομικευμένων διαπιστευτηρίων ασφαλείας
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η δημιουργία των εξατομικευμένων διαπιστευτηρίων ασφαλείας να πραγματοποιείται σε ασφαλές περιβάλλον.
Μεριμνούν για τη μείωση των κινδύνων μη εγκεκριμένης χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των συσκευών και των λογισμικών εξακρίβωσης, σε περίπτωση απώλειας, κλοπής ή αντιγραφής τους, πριν από την παράδοσή τους στον πληρωτή.
Άρθρο 24
Συσχέτιση με τον χρήστη υπηρεσιών πληρωμών
1. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την, με ασφαλή τρόπο, συσχέτιση μόνο του χρήστη υπηρεσιών πληρωμών με τα εξατομικευμένα διαπιστευτήρια ασφαλείας, τις συσκευές και τα λογισμικά εξακρίβωσης.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις:
α) η συσχέτιση της ταυτότητας του χρήστη υπηρεσιών πληρωμών με τα εξατομικευμένα διαπιστευτήρια ασφαλείας, τις συσκευές και τα λογισμικά εξακρίβωσης πραγματοποιείται υπό την ευθύνη του παρόχου υπηρεσιών πληρωμών σε ασφαλή περιβάλλοντα, στα οποία περιλαμβάνονται τουλάχιστον οι εγκαταστάσεις του παρόχου υπηρεσιών πληρωμών, το διαδικτυακό περιβάλλον που παρέχεται από τον πάροχο υπηρεσιών πληρωμών ή άλλοι παρεμφερείς ασφαλείς δικτυακοί τόποι, που χρησιμοποιούνται από τον πάροχο υπηρεσιών πληρωμών και από τις υπηρεσίες που αυτός παρέχει μέσω των αυτόματων ταμειολογιστικών μηχανών, ενώ λαμβάνονται επιπλέον υπόψη οι κίνδυνοι που σχετίζονται με τις συσκευές και τα υποκείμενα συστατικά στοιχεία, που χρησιμοποιούνται κατά τη διαδικασία συσχέτισης, και που δεν εμπίπτουν στην ευθύνη του παρόχου υπηρεσιών πληρωμών·
β) η συσχέτιση, μέσω εξ αποστάσεως διαύλου, της ταυτότητας του χρήστη υπηρεσιών πληρωμών, με τα εξατομικευμένα διαπιστευτήρια ασφαλείας και με τις συσκευές ή τα λογισμικά εξακρίβωσης, πραγματοποιείται με τη χρήση αυστηρής εξακρίβωσης της ταυτότητας του πελάτη.
Άρθρο 25
Παράδοση διαπιστευτηρίων, συσκευών και λογισμικών εξακρίβωσης
1. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης, στον χρήστη υπηρεσιών πληρωμών να πραγματοποιείται με ασφαλή τρόπο, ειδικά σχεδιασμένο για την αντιμετώπιση των κινδύνων που σχετίζονται με τη μη εγκεκριμένη χρήση τους λόγω απώλειας, κλοπής ή αντιγραφής τους.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν τουλάχιστον καθένα από τα ακόλουθα μέτρα:
α) αποτελεσματικούς και ασφαλείς μηχανισμούς παράδοσης, που διασφαλίζουν την παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης, στον νόμιμο χρήστη υπηρεσιών πληρωμών·
β) μηχανισμούς που επιτρέπουν στον πάροχο υπηρεσιών πληρωμών να επαληθεύει την αυθεντικότητα του λογισμικού εξακρίβωσης που παραδίδεται στον χρήστη υπηρεσιών πληρωμών μέσω του διαδικτύου·
γ) ρυθμίσεις που διασφαλίζουν ότι, όταν η παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας πραγματοποιείται εκτός των εγκαταστάσεων του παρόχου υπηρεσιών πληρωμών ή μέσω εξ αποστάσεως διαύλου:
i) κανένα μη εξουσιοδοτημένο πρόσωπο δεν μπορεί να λάβει περισσότερα από ένα στοιχεία των εξατομικευμένων διαπιστευτηρίων ασφαλείας, των συσκευών ή των λογισμικών εξακρίβωσης, όταν η παράδοσή τους γίνεται μέσω του ίδιου διαύλου·
ii) απαιτείται ενεργοποίηση των παραδιδόμενων εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών ή των λογισμικών εξακρίβωσης πριν από τη χρήση·
δ) ρυθμίσεις που διασφαλίζουν ότι, στις περιπτώσεις όπου απαιτείται ενεργοποίηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών ή των λογισμικών εξακρίβωσης πριν από την πρώτη χρήση τους, η ενεργοποίηση λαμβάνει χώρα σε ασφαλές περιβάλλον σύμφωνα με τις διαδικασίες συσχέτισης που αναφέρονται στο άρθρο 24.
Άρθρο 26
Ανανέωση των εξατομικευμένων διαπιστευτηρίων ασφαλείας
Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η ανανέωση ή η επανενεργοποίηση των εξατομικευμένων διαπιστευτηρίων ασφαλείας να ακολουθεί πιστά τις διαδικασίες δημιουργίας, συσχέτισης και παράδοσης των διαπιστευτηρίων και των συσκευών εξακρίβωσης, σύμφωνα με τα άρθρα 23, 24 και 25.
Άρθρο 27
Καταστροφή, απενεργοποίηση και ανάκληση
Οι πάροχοι υπηρεσιών πληρωμών φροντίζουν να διαθέτουν αποτελεσματικές διαδικασίες για την εφαρμογή καθενός από τα ακόλουθα μέτρα ασφαλείας:
α) ασφαλή καταστροφή, απενεργοποίηση ή ανάκληση των εξατομικευμένων διαπιστευτηρίων ασφαλείας, και των συσκευών και των λογισμικών εξακρίβωσης·
β) σε περίπτωση που ο πάροχος υπηρεσιών πληρωμών διανέμει επαναχρησιμοποιούμενες συσκευές και λογισμικά εξακρίβωσης, η ασφαλής επαναχρησιμοποίηση της συσκευής ή του λογισμικού διαπιστώνεται, τεκμηριώνεται και τίθεται σε εφαρμογή προτού η συσκευή ή το λογισμικό διατεθεί σε άλλον χρήστη υπηρεσιών πληρωμών·
γ) απενεργοποίηση ή ανάκληση των πληροφοριών που σχετίζονται με τα εξατομικευμένα διαπιστευτήρια ασφαλείας τα οποία είναι αποθηκευμένα στα συστήματα και τις βάσεις δεδομένων του παρόχου υπηρεσιών πληρωμών και, κατά περίπτωση, σε δημόσια αποθετήρια.
ΚΕΦΑΛΑΙΟ V
ΚΟΙΝΑ ΚΑΙ ΑΣΦΑΛΗ ΑΝΟΙΚΤΑ ΠΡΟΤΥΠΑ ΕΠΙΚΟΙΝΩΝΙΑΣ
Τμήμα 1
Γενικές απαιτήσεις επικοινωνίας
Άρθρο 28
Απαιτήσεις ταυτοποίησης
1. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την ασφαλή ταυτοποίηση, κατά την επικοινωνία ανάμεσα στη συσκευή του πληρωτή και τις συσκευές αποδοχής ηλεκτρονικών πληρωμών του δικαιούχου, περιλαμβανομένων, αλλά όχι αποκλειστικά, των τερματικών πληρωμής.
2. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν για την αποτελεσματική μείωση των κινδύνων εσφαλμένης αποστολής της επικοινωνίας σε μη εξουσιοδοτημένα πρόσωπα, οι οποίοι ελλοχεύουν σε εφαρμογές για φορητές συσκευές και λοιπές διεπαφές χρηστών υπηρεσιών πληρωμών, που παρέχουν ηλεκτρονικές υπηρεσίες πληρωμών.
Άρθρο 29
Ιχνηλασιμότητα
1. Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν διαδικασίες που εξασφαλίζουν την ιχνηλασιμότητα όλων των πράξεων πληρωμής και των λοιπών αλληλεπιδράσεων με τον χρήστη υπηρεσιών πληρωμών, με λοιπούς παρόχους υπηρεσιών πληρωμών και με άλλες οντότητες, όπως ενδεικτικά εμπόρους, στο πλαίσιο της παροχής της υπηρεσίας πληρωμής, διασφαλίζοντας την εκ των υστέρων γνώση όλων των γεγονότων που σχετίζονται με την ηλεκτρονική συναλλαγή σε όλα τα επιμέρους στάδια.
2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε κάθε κύκλος επικοινωνίας που δημιουργείται με τον χρήστη υπηρεσιών πληρωμών, λοιπούς παρόχους υπηρεσιών πληρωμών και άλλες οντότητες, όπως ενδεικτικά εμπόρους, να βασίζεται σε καθένα από τα ακόλουθα:
α) αποκλειστικό μέσο ταυτοποίησης του κύκλου·
β) μηχανισμούς ασφαλείας για την αναλυτική ημερολογιακή καταγραφή της συναλλαγής, περιλαμβανομένων του αριθμού της συναλλαγής, των χρονοσφραγίδων και όλων των συναφών δεδομένων της συναλλαγής·
γ) χρονοσφραγίδες που βασίζονται σε ενοποιημένο σύστημα χρονικής αναφοράς και είναι συγχρονισμένες με την επίσημη ώρα.
Τμήμα 2
Ειδικές απαιτήσεις για τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας
Άρθρο 30
Γενικές υποχρεώσεις για διεπαφές πρόσβασης
1. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, που παρέχουν σε πληρωτή λογαριασμό πληρωμών προσβάσιμο διαδικτυακά, διαθέτουν τουλάχιστον μία διεπαφή η οποία πληροί καθεμία από τις ακόλουθες απαιτήσεις:
α) οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα δύνανται να ταυτοποιούνται στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού·
β) οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού δύνανται να επικοινωνούν με ασφάλεια, προκειμένου να ζητούν και να λαμβάνουν πληροφορίες για έναν ή περισσότερους καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής·
γ) οι πάροχοι υπηρεσιών εκκίνησης πληρωμών δύνανται να επικοινωνούν με ασφάλεια, προκειμένου να διενεργούν την έναρξη εντολής πληρωμής από τον λογαριασμό πληρωμών του πληρωτή και να λαμβάνουν όλες τις πληροφορίες σχετικά με την έναρξη της πράξης πληρωμής και όλες τις πληροφορίες που είναι προσβάσιμες στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για την εκτέλεση της πράξης πληρωμής.
2. Για τους σκοπούς της εξακρίβωσης της ταυτότητας του χρήστη υπηρεσιών πληρωμών, η διεπαφή που αναφέρεται στην παράγραφο 1 επιτρέπει στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών εκκίνησης πληρωμών να επαφίενται σε όλες τις διαδικασίες εξακρίβωσης που παρέχει ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη της υπηρεσίας πληρωμών.
Η διεπαφή πληροί τουλάχιστον όλες τις ακόλουθες απαιτήσεις:
α) ο πάροχος υπηρεσιών εκκίνησης πληρωμών ή ο πάροχος υπηρεσιών πληροφοριών λογαριασμού δύναται να ζητήσει από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να διενεργήσει την έναρξη της εξακρίβωσης με βάση τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών·
β) καθ' όλη τη διάρκεια της εξακρίβωσης δημιουργούνται και διατηρούνται κύκλοι επικοινωνίας ανάμεσα στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, τον πάροχο υπηρεσιών πληροφοριών λογαριασμού, τον πάροχο υπηρεσιών εκκίνησης πληρωμών και κάθε ενδιαφερόμενο χρήστη υπηρεσιών πληρωμών·
γ) διασφαλίζεται η ακεραιότητα και η εμπιστευτικότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας και των αναγνωριστικών κωδικών, που διαβιβάζονται από τον πάροχο υπηρεσιών εκκίνησης πληρωμών ή τον πάροχο υπηρεσιών πληροφοριών λογαριασμού ή μέσω αυτών.
3. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε οι διεπαφές τους να ακολουθούν πρότυπα επικοινωνίας που εκδίδονται από διεθνείς ή ευρωπαϊκούς οργανισμούς τυποποίησης.
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ακόμη ώστε οι τεχνικές προδιαγραφές όλων των διεπαφών να είναι τεκμηριωμένες και να ορίζουν μια δέσμη ρουτινών πρωτοκόλλων και εργαλείων που είναι αναγκαία για να μπορούν οι πάροχοι υπηρεσιών εκκίνησης πληρωμών, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να επιτρέπουν στα λογισμικά και τις εφαρμογές τους να διαλειτουργήσουν με τα συστήματα των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.
Κατ' ελάχιστον, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού καθιστούν διαθέσιμη την τεκμηρίωση δωρεάν, τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής που αναφέρεται στο άρθρο 38 παράγραφος 2, ή πριν από την ημερομηνία-στόχο διάθεσης της διεπαφής πρόσβασης στην αγορά, όταν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία που αναφέρεται στο άρθρο 38 παράγραφος 2, κατόπιν αιτήματος αδειοδοτημένων παρόχων υπηρεσιών εκκίνησης πληρωμών, παρόχων υπηρεσιών πληροφοριών λογαριασμού και παρόχων υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα ή παρόχων υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, και παρέχουν περίληψη της τεκμηρίωσης που διατίθεται στο κοινό μέσω του δικτυακού τους τόπου.
4. Επιπροσθέτως της παραγράφου 3, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε, με εξαίρεση τις καταστάσεις έκτακτης ανάγκης, οποιαδήποτε αλλαγή των τεχνικών προδιαγραφών της διεπαφής τους να καθίσταται διαθέσιμη στους αδειοδοτημένους παρόχους υπηρεσιών εκκίνησης πληρωμών, παρόχους υπηρεσιών πληροφοριών λογαριασμού και παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα ή στους παρόχους υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, εκ των προτέρων το ταχύτερο δυνατό και τουλάχιστον τρεις μήνες πριν από την εφαρμογή της αλλαγής.
Οι πάροχοι υπηρεσιών πληρωμών τηρούν τεκμηρίωση για τις καταστάσεις έκτακτης ανάγκης στις οποίες εφαρμόστηκαν αλλαγές και καθιστούν διαθέσιμη τη σχετική τεκμηρίωση στις αρμόδιες αρχές, κατόπιν αιτήματος.
5. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού καθιστούν διαθέσιμη λειτουργική δυνατότητα δοκιμής, και μεταξύ άλλων παροχής υποστήριξης, για τη σύνδεση και δοκιμή λειτουργίας, προκειμένου να μπορούν οι αδειοδοτημένοι πάροχοι υπηρεσιών εκκίνησης πληρωμών, πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα και πάροχοι υπηρεσιών πληροφοριών λογαριασμού ή οι πάροχοι υπηρεσιών πληρωμών που έχουν καταθέσει αίτηση στις αρμόδιες αρχές τους για να λάβουν τη σχετική άδεια, να δοκιμάζουν τα λογισμικά και τις εφαρμογές που χρησιμοποιούν για την παροχή υπηρεσιών πληρωμών στους χρήστες. Η εν λόγω λειτουργική δυνατότητα δοκιμής θα πρέπει να καθίσταται διαθέσιμη τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής που αναφέρεται στο άρθρο 38 παράγραφος 2, ή πριν από την ημερομηνία-στόχο διάθεσης της διεπαφής πρόσβασης στην αγορά, όταν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία που αναφέρεται στο άρθρο 38 παράγραφος 2.
Μέσω της λειτουργικής δυνατότητας δοκιμής δεν πρέπει, πάντως, να ανταλλάσσονται ευαίσθητες πληροφορίες.
6. Οι αρμόδιες αρχές μεριμνούν ώστε οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να συμμορφώνονται ανά πάσα στιγμή με τις υποχρεώσεις που περιλαμβάνονται στα παρόντα πρότυπα σε σχέση με τη/-ις διεπαφή/-ές που θέτουν σε εφαρμογή. Σε περίπτωση που κάποιος πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δεν συμμορφώνεται με τις απαιτήσεις για τις διεπαφές που προβλέπονται στα παρόντα πρότυπα, οι αρμόδιες αρχές μεριμνούν ώστε η παροχή υπηρεσιών εκκίνησης πληρωμών και υπηρεσιών πληροφοριών λογαριασμού να μην παρεμποδίζεται ούτε να διακόπτεται, εφόσον οι αντίστοιχοι πάροχοι των εν λόγω υπηρεσιών συμμορφώνονται με τις προϋποθέσεις του άρθρου 33 παράγραφος 5.
Άρθρο 31
Εναλλακτικές επιλογές ως προς τη διεπαφή πρόσβασης
Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού εγκαθιστούν τη/-ις διεπαφή/-ές που αναφέρεται/-ονται στο άρθρο 30 μέσω ειδικής διεπαφής ή επιτρέποντας τη χρήση, από τους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1, των διεπαφών που χρησιμοποιούνται για την εξακρίβωση της γνησιότητας και την επικοινωνία με τους χρήστες υπηρεσιών πληρωμών του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.
Άρθρο 32
Υποχρεώσεις σε σχέση με την ειδική διεπαφή
1. Υπό την προϋπόθεση της συμμόρφωσης με τις διατάξεις των άρθρων 30 και 31, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή μεριμνούν ώστε η τελευταία να παρέχει ανά πάσα στιγμή το ίδιο επίπεδο διαθεσιμότητας και επίδοσης, και μεταξύ άλλων υποστήριξης, με τις διεπαφές που διατίθενται στον χρήστη υπηρεσιών πληρωμών για απευθείας πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά.
2. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή ορίζουν διαφανείς κύριους δείκτες επίδοσης και στόχους παροχής υπηρεσιών, οι οποίοι είναι τουλάχιστον εξίσου αυστηροί με τους προβλεπόμενους για τη διεπαφή που χρησιμοποιείται από τους χρήστες υπηρεσιών πληρωμών τους, τόσο ως προς τη διαθεσι¬μότητα όσο και ως προς τα παρεχόμενα δεδομένα σύμφωνα με το άρθρο 36. Οι εν λόγω διεπαφές, δείκτες και στόχοι παρακολουθούνται από τις αρμόδιες αρχές και υποβάλλονται σε προσομοιώσεις ακραίων καταστάσεων.
3. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν θέσει σε εφαρμογή ειδική διεπαφή μεριμνούν ώστε η τελευταία να μην παρεμποδίζει την παροχή υπηρεσιών εκκίνησης πληρωμών και πληροφοριών λογαριασμού. Τέτοια εμπόδια μπορεί να είναι, μεταξύ άλλων, η παρεμπόδιση της χρήσης από τους παρόχους υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 των διαπιστευτηρίων που εκδίδουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στους πελάτες τους, η επιβολή ανακατεύθυνσης στη λειτουργία εξακρίβωσης ή σε άλλες λειτουργίες του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, η απαίτηση για πρόσθετες άδειες και καταχωρίσεις πέραν των προβλεπόμενων στα άρθρα 11, 14 και 15 της οδηγίας (ΕΕ) 2015/2366, ή η απαίτηση για διενέργεια πρόσθετων ελέγχων όσον αφορά τη συγκατάθεση που δίδουν οι χρήστες υπηρεσιών πληρωμών στους παρόχους υπηρεσιών εκκίνησης πληρωμών και πληροφοριών λογαριασμού.
4. Για τον σκοπό των παραγράφων 1 και 2, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού παρακολουθούν τη διαθεσιμότητα και την επίδοση της ειδικής διεπαφής. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δημοσιεύουν στον δικτυακό τους τόπο τριμηνιαίες στατιστικές για τη διαθεσιμότητα και την επίδοση της ειδικής διεπαφής και της διεπαφής που χρησιμοποιείται από τους χρήστες υπηρεσιών πληρωμών τους.
Άρθρο 33
Μέτρα έκτακτης ανάγκης σε σχέση με την ειδική διεπαφή
1. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού περιλαμβάνουν, στον σχεδιασμό της ειδικής διεπαφής, στρατηγική και σχέδια για μέτρα έκτακτης ανάγκης για τις περιπτώσεις μη λειτουργίας της διεπαφής σύμφωνα με το άρθρο 32, μη προγραμματισμένης έλλειψης διαθεσιμότητας της διεπαφής και κατάρρευσης των συστημάτων. Μη προγραμματισμένη έλλειψη διαθεσιμότητας ή κατάρρευση των συστημάτων είναι δυνατό να θεωρηθεί ότι υφίσταται όταν δεν δίδεται απάντηση εντός 30 δευτερολέπτων σε πέντε διαδοχικά αιτήματα για πρόσβαση σε πληροφορίες σχετικά με την παροχή υπηρεσιών εκκίνησης πληρωμών ή υπηρεσιών πληροφοριών λογαριασμού.
2. Στα μέτρα έκτακτης ανάγκης περιλαμβάνονται σχέδια επικοινωνίας τα οποία αποσκοπούν στην ενημέρωση των παρόχων υπηρεσιών πληρωμών που κάνουν χρήση της ειδικής διεπαφής για την ύπαρξη μέτρων αποκατάστασης του συστήματος, καθώς και περιγραφή των άμεσα διαθέσιμων εναλλακτικών επιλογών που έχουν ενδεχομένως στη διάθεσή τους οι πάροχοι υπηρεσιών πληρωμών κατά το συγκεκριμένο χρονικό διάστημα.
3. Τόσο ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού όσο και οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 γνωστοποιούν αμελλητί στις αντίστοιχες αρμόδιες εθνικές αρχές τους τυχόν προβλήματα με τις ειδικές διεπαφές κατά τα περιγραφόμενα στην παράγραφο 1.
4. Στο πλαίσιο του μηχανισμού έκτακτης ανάγκης, οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 επιτρέπεται να κάνουν χρήση των διεπαφών που διατίθενται στους χρήστες υπηρεσιών πληρωμών για την εξακρίβωση της γνησιότητας και την επικοινωνία με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού τους, έως ότου αποκατασταθεί το επίπεδο διαθεσιμότητας και επίδοσης της ειδικής διεπαφής σύμφωνα με τα προβλεπόμενα στο άρθρο 32.
5. Για τον σκοπό αυτόν, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 να μπορούν να ταυτοποιηθούν και να μπορούν να βασιστούν στις διαδικασίες εξακρίβωσης που παρέχονται από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη υπηρεσιών πληρωμών. Όταν οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 κάνουν χρήση της διεπαφής που αναφέρεται στην παράγραφο 4:
α) λαμβάνουν τα απαιτούμενα μέτρα προκειμένου να διασφαλίσουν ότι δεν έχουν πρόσβαση σε, δεν αποθηκεύουν ούτε επεξεργάζονται δεδομένα για σκοπούς άλλους πέραν της παροχής της υπηρεσίας που έχει ζητήσει ο χρήστης υπηρεσιών πληρωμών·
β) συμμορφώνονται αδιαλείπτως με τις υποχρεώσεις που απορρέουν από το άρθρο 66 παράγραφος 3 και από το άρθρο 67 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366 αντίστοιχα·
γ) προβαίνουν σε ημερολογιακή καταγραφή των δεδομένων στα οποία παρέχεται πρόσβαση μέσω της διεπαφής που ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτει στη διάθεση των χρηστών υπηρεσιών πληρωμών του, και παρέχουν, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τα αρχεία ημερολογιακής καταγραφής στην αρμόδια εθνική αρχή τους·
δ) αιτιολογούν δεόντως στην αρμόδια εθνική αρχή τους, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τη χρήση της διεπαφής που τίθεται στη διάθεση των χρηστών υπηρεσιών πληρωμών για απευθείας πρόσβαση στον λογαριασμό πληρωμών τους διαδικτυακά·
ε) ενημερώνουν σχετικά τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού.
6. Οι αρμόδιες αρχές, μετά από διαβούλευση με την ΕΑΤ για τη διασφάλιση της συνεπούς εφαρμογής των ακόλουθων προϋποθέσεων, εξαιρούν τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που έχουν επιλέξει τη λύση της ειδικής διεπαφής από την υποχρέωση ανάπτυξης του μηχανισμού έκτακτης ανάγκης που περιγράφεται στην παράγραφο 4 όταν η ειδική διεπαφή πληροί όλες τις ακόλουθες προϋποθέσεις:
α) συμμορφώνεται με όλες τις υποχρεώσεις για τις ειδικές διεπαφές κατά τα προβλεπόμενα στο άρθρο 32·
β) έχει σχεδιαστεί και υποβληθεί σε δοκιμές σύμφωνα με το άρθρο 30 παράγραφος 5 κατά τρόπο ικανοποιητικό για τους παρόχους υπηρεσιών πληρωμών που αναφέρονται σε αυτό·
γ) έχει χρησιμοποιηθεί ευρέως για διάστημα τουλάχιστον τριών μηνών από τους παρόχους υπηρεσιών πληρωμών για την παροχή υπηρεσιών πληροφοριών λογαριασμού, υπηρεσιών εκκίνησης πληρωμών και για την παροχή επιβεβαίωσης σχετικά με τη διαθεσιμότητα των κεφαλαίων για πληρωμές με κάρτα·
δ) τυχόν πρόβλημα σχετικό με την ειδική διεπαφή έχει επιλυθεί χωρίς αδικαιολόγητη καθυστέρηση.
7. Οι αρμόδιες αρχές ανακαλούν την εξαίρεση που αναφέρεται στην παράγραφο 6 όταν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δεν πληρούν τις προϋποθέσεις α) και δ) για περισσότερες από δύο διαδοχικές ημερολογιακές εβδομάδες. Οι αρμόδιες αρχές ενημερώνουν την ΕΑΤ για την εν λόγω ανάκληση και μεριμνούν ώστε ο πάροχος να εγκαθιδρύσει, το συντομότερο δυνατό και το αργότερο εντός διμήνου, τον μηχανισμό έκτακτης ανάγκης που αναφέρεται στην παράγραφο 4.
Άρθρο 34
Πιστοποιητικά
1. Για τον σκοπό της ταυτοποίησης, κατά τα αναφερόμενα στο άρθρο 30 παράγραφος 1 στοιχείο α), οι πάροχοι υπηρεσιών πληρωμών βασίζονται σε εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων κατά τα αναφερόμενα στο άρθρο 3 σημείο 30 του κανονισμού (ΕΕ) αριθ. 910/2014 ή σε εγκεκριμένα πιστοποιητικά για την επαλήθευση της γνησιότητας ιστότοπου κατά τα αναφερόμενα στο άρθρο 3 σημείο 39 του προαναφερόμενου κανονισμού.
2. Για τον σκοπό του παρόντος κανονισμού, ο αριθμός μητρώου όπως αναφέρεται στα επίσημα αρχεία σύμφωνα με το παράρτημα III στοιχείο γ) ή το παράρτημα IV στοιχείο γ) του κανονισμού (ΕΕ) αριθ. 910/2014 είναι ο αριθμός άδειας του παρόχου υπηρεσιών πληρωμών που εκδίδει μέσα πληρωμής με κάρτα, των παρόχων υπηρεσιών πληροφοριών λογαριασμού και των παρόχων υπηρεσιών εκκίνησης πληρωμών, περιλαμβανομένων των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που παρέχουν τέτοιες υπηρεσίες, που είναι καταχωρισμένος στο δημόσιο μητρώο του κράτους μέλους προέλευσης δυνάμει του άρθρου 14 της οδηγίας (ΕΕ) 2015/2366 ή που προκύπτει από τις κοινοποιήσεις κάθε χορηγούμενης άδειας λειτουργίας δυνάμει του άρθρου 8 της οδηγίας 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) σύμφωνα με το άρθρο 20 της προαναφερόμενης οδηγίας.
3. Για τους σκοπούς του παρόντος κανονισμού, τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων ή τα εγκεκριμένα πιστοποιητικά για την επαλήθευση της γνησιότητας ιστότοπου που αναφέρονται στην παράγραφο 1 περιλαμβάνουν, σε γλώσσα που συνηθίζεται στον διεθνή χρηματοπιστωτικό τομέα, πρόσθετα ειδικά χαρακτηριστικά σε σχέση με καθένα από τα ακόλουθα:
α) τον ρόλο του παρόχου υπηρεσιών πληρωμών, ο οποίος μπορεί να συνίσταται σε ένα ή περισσότερα από τα ακόλουθα:
i) εξυπηρέτηση λογαριασμού·
ii) εκκίνηση πληρωμής·
iii) πληροφορίες λογαριασμού·
iv) έκδοση μέσων πληρωμών με κάρτα·
β) την ονομασία των αρμόδιων αρχών στις οποίες είναι καταχωρισμένος ο πάροχος υπηρεσιών πληρωμών.
4. Τα χαρακτηριστικά που αναφέρονται στην παράγραφο 3 δεν επηρεάζουν τη διαλειτουργικότητα και την αναγνώριση των εγκεκριμένων πιστοποιητικών ηλεκτρονικών σφραγίδων ή των εγκεκριμένων πιστοποιητικών για την επαλήθευση της γνησιότητας δικτυακού τόπου.
Άρθρο 35
Ασφάλεια κύκλου επικοινωνίας
1. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών μεριμνούν ώστε, κατά την ανταλλαγή δεδομένων μέσω του διαδικτύου, να εφαρμόζεται ασφαλής κρυπτογράφηση ανάμεσα στα επικοινωνούντα μέρη καθ' όλη τη διάρκεια του αντίστοιχου κύκλου επικοινωνίας ώστε να προστατεύεται η εμπιστευτικότητα και η ακεραιότητα των δεδομένων, με τη χρήση αξιόπιστων και ευρέως αναγνωρισμένων τεχνικών κρυπτογράφησης.
2. Οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών διατηρούν όσο το δυνατόν συντομότερους τους κύκλους πρόσβασης που παρέχονται από τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού και τερματίζουν οι ίδιοι κάθε τέτοιον κύκλο αμέσως μετά την ολοκλήρωση της ζητηθείσας ενέργειας.
3. Σε περίπτωση διενέργειας ταυτόχρονων διαδικτυακών κύκλων με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών μεριμνούν ώστε οι εν λόγω κύκλοι να συνδέονται με ασφαλή τρόπο με τους συναφείς κύκλους που δημιουργούνται με τον/-ους χρήστη/-ες υπηρεσιών πληρωμών, ώστε να αποτρέπεται το ενδεχόμενο εσφαλμένης δρομολόγησης των μηνυμάτων ή πληροφοριών που ανταλλάσσονται μεταξύ τους.
4. Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν για την ύπαρξη απολύτως σαφών αναφορών σε καθένα από τα ακόλουθα στοιχεία:
α) τον χρήστη ή τους χρήστες υπηρεσιών πληρωμών και τον αντίστοιχο κύκλο επικοινωνίας με σκοπό τη διάκριση των διαφόρων αιτημάτων από τον ίδιο ή τους ίδιους χρήστες υπηρεσιών πληρωμών·
β) για υπηρεσίες εκκίνησης πληρωμών, τη φέρουσα αποκλειστικό μέσο ταυτοποίησης πράξη πληρωμής της οποίας διενεργήθηκε η έναρξη·
γ) για επιβεβαίωση σχετικά με τη διαθεσιμότητα των κεφαλαίων, το φέρον αποκλειστικό μέσο ταυτοποίησης αίτημα που σχετίζεται με το απαιτούμενο ποσό για την εκτέλεση της πράξης πληρωμής με κάρτα.
5. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα μεριμνούν ώστε, κατά την κοινοποίησή τους, τα εξατομικευμένα διαπιστευτήρια ασφαλείας και οι αναγνωριστικοί κωδικοί να μην μπορούν να αναγνωστούν, άμεσα ή έμμεσα, από κανένα μέλος του προσωπικού σε καμία στιγμή.
Σε περίπτωση απώλειας της εμπιστευτικότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας στο πλαίσιο των οικείων αρμοδιοτήτων τους, οι εν λόγω πάροχοι ενημερώνουν αμελλητί τον χρήστη υπηρεσιών πληρωμών που συνδέεται με αυτά, καθώς και τον εκδότη των εξατομικευμένων διαπιστευτηρίων ασφαλείας.
Άρθρο 36
Ανταλλαγές δεδομένων
1. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού συμμορφώνονται με καθεμία από τις ακόλουθες απαιτήσεις:
α) παρέχουν στους παρόχους υπηρεσιών πληροφοριών λογαριασμού τις ίδιες ακριβώς πληροφορίες από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής που διατίθενται στον χρήστη υπηρεσιών πληρωμών όταν ζητά απευθείας πρόσβαση στις πληροφορίες λογαριασμού, υπό την προϋπόθεση ότι οι εν λόγω πληροφορίες δεν περιλαμβάνουν ευαίσθητα δεδομένα πληρωμών·
β) παρέχουν, αμέσως μετά τη λήψη της εντολής πληρωμής, στους παρόχους υπηρεσιών εκκίνησης πληρωμών τις ίδιες ακριβώς πληροφορίες για την εκκίνηση και την εκτέλεση της πράξης πληρωμής που παρέχονται ή τίθενται στη διάθεση του χρήστη υπηρεσιών πληρωμών όταν ο τελευταίος διενεργεί απευθείας την έναρξη της πράξης πληρωμής·
γ) επιβεβαιώνουν αμέσως, κατόπιν αιτήματος, στους παρόχους υπηρεσιών πληρωμών, με ένα απλό «ναι» ή «όχι», αν το απαιτούμενο ποσό για την εκτέλεση μιας πράξης πληρωμής είναι διαθέσιμο ή όχι στον λογαριασμό πληρωμών του πληρωτή.
2. Σε περίπτωση απροσδόκητου συμβάντος ή σφάλματος κατά τη διαδικασία ταυτοποίησης, εξακρίβωσης, ή κατά την ανταλλαγή των στοιχείων δεδομένων, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού αποστέλλει μήνυμα κοινοποίησης στον πάροχο υπηρεσιών εκκίνησης πληρωμών ή στον πάροχο υπηρεσιών πληροφοριών λογαριασμού και στον πάροχο υπηρεσιών πληρωμών που εκδίδει μέσα πληρωμής με κάρτα στο οποίο επεξηγείται ο λόγος για το απροσδόκητο συμβάν ή σφάλμα.
Στις περιπτώσεις όπου ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού παρέχει ειδική διεπαφή σύμφωνα με το άρθρο 32, η εν λόγω διεπαφή προβλέπει την έκδοση μηνυμάτων κοινοποίησης για τη γνωστοποίηση απροσδόκητων συμβάντων ή σφαλμάτων από οποιονδήποτε πάροχο υπηρεσιών πληρωμών ανιχνεύει το συμβάν ή το σφάλμα στους λοιπούς παρόχους υπηρεσιών πληρωμών που συμμετέχουν στον κύκλο επικοινωνίας.
3. Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού εφαρμόζουν κατάλληλους και αποτελεσματικούς μηχανισμούς που αποτρέπουν την πρόσβαση σε άλλες πληροφορίες πλην εκείνων που προέρχονται από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής, σύμφωνα με τη ρητή συγκατάθεση του χρήστη.
4. Οι πάροχοι υπηρεσιών εκκίνησης πληρωμών παρέχουν στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού τις ίδιες ακριβώς πληροφορίες που ζητούνται από τον χρήστη υπηρεσιών πληρωμών όταν διενεργεί απευθείας την έναρξη της πράξης πληρωμής.
5. Οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού δύνανται να έχουν πρόσβαση στις πληροφορίες από καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής τις οποίες διαθέτουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για τους σκοπούς της παροχής της υπηρεσίας πληροφοριών λογαριασμού σε καθεμία από τις ακόλουθες περιστάσεις:
α) οσάκις ο χρήστης υπηρεσιών πληρωμών ζητά ο ίδιος τις εν λόγω πληροφορίες·
β) όταν ο χρήστης υπηρεσιών πληρωμών δεν ζητά ο ίδιος τις εν λόγω πληροφορίες, όχι περισσότερες από τέσσερις φορές εντός 24 ωρών, εκτός εάν έχει συμφωνηθεί μεγαλύτερη συχνότητα μεταξύ του παρόχου υπηρεσιών πληροφοριών λογαριασμού και του παρόχου υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, με τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών.
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 37
Επανεξέταση
Με την επιφύλαξη του άρθρου 98 παράγραφος 5 της οδηγίας (ΕΕ) 2015/2366, η ΕΑΤ επανεξετάζει, μέχρι τις 14 Μαρτίου 2021, τα ποσοστά απάτης που αναφέρονται στο παράρτημα του παρόντος κανονισμού, καθώς και τις εξαιρέσεις που χορηγούνται δυνάμει του άρθρου 33 παράγραφος 6 σε σχέση με τις ειδικές διεπαφές, και, εφόσον απαιτείται, υποβάλλει επικαιροποιημένα σχέδια αυτών στην Επιτροπή σύμφωνα με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010.
Άρθρο 38
Έναρξη ισχύος
1. Ο παρών κανονισμός αρχίζει να ισχύει την επομένη της δημοσίευσής του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2. O παρών κανονισμός εφαρμόζεται από τις 14 Σεπτεμβρίου 2019.
3. Ωστόσο, οι παράγραφοι 3 και 5 του άρθρου 30 εφαρμόζονται τις 14 Μαρτίου 2019.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 27 Νοεμβρίου 2017.
Για την Επιτροπή
Ο Πρόεδρος
Jean-Claude JUNCKER
(1) ΕΕ L 337 της 23.12.2015, σ. 35.
(2) Κανονισμός (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 12).
(3) Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 53).
(4) Οδηγία 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με την πρόσβαση στη δραστηριότητα πιστωτικών ιδρυμάτων και την προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων, για την τροποποίηση της οδηγίας 2002/87/ΕΚ και για την κατάργηση των οδηγιών 2006/48/ΕΚ και 2006/49/ΕΚ (ΕΕ L 176 της 27.6.2013, σ. 338).
ΠΑΡΑΡΤΗΜΑ
Ποσοστό αναφοράς περιπτώσεων απάτης (%) για: | ||
ETV (Exemption Threshold Value — Οριακή Τιμή Εξαίρεσης) | Ηλεκτρονικές πληρωμές εξ αποστάσεως με κάρτα | Ηλεκτρονικές μεταφορές πιστώσεων εξ αποστάσεως |
500 EUR | 0,01 | 0,005 |
250 EUR | 0,06 | 0,01 |
100 EUR | 0,13 | 0,015 |