Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2022.312.1

Rozporządzenie delegowane 2022/2360 zmieniające regulacyjne standardy techniczne określone w rozporządzeniu delegowanym (UE) 2018/389 w odniesieniu do obejmującego okres 90 dni wyłączenia dotyczącego dostępu do rachunku

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2022/2360
z dnia 3 sierpnia 2022 r.
zmieniające regulacyjne standardy techniczne określone w rozporządzeniu delegowanym (UE) 2018/389 w odniesieniu do obejmującego okres 90 dni wyłączenia dotyczącego dostępu do rachunku
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE 1 , w szczególności jej art. 98 ust. 4 akapit drugi,

a także mając na uwadze, co następuje:

(1) Art. 10 rozporządzenia delegowanego Komisji (UE) 2018/389 2  zawiera wyłączenie z określonego w art. 97 dyrektywy (UE) 2015/2366 wymogu stosowania silnego uwierzytelniania klienta w przypadku, gdy użytkownik usług płatniczych uzyskuje dostęp do informacji o saldzie rachunku płatniczego lub o transakcjach płatniczych przeprowadzonych niedawno za pośrednictwem rachunku płatniczego, bez ujawniania szczególnie chronionych danych dotyczących płatności. W takim przypadku dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta w celu uzyskania dostępu do informacji o rachunku, pod warunkiem że silne uwierzytelnianie klienta zastosowano w momencie uzyskania po raz pierwszy dostępu do tych informacji i co najmniej co 90 dni po takim pierwszym dostępie.

(2) Stosowanie tego wyłączenia doprowadziło do bardzo rozbieżnych praktyk, jeżeli chodzi o stosowanie rozporządzenia delegowanego (UE) 2018/389, ponieważ niektórzy dostawcy usług płatniczych prowadzący rachunek żądają silnego uwierzytelnienia co 90 dni, inni żądają go w krótszych odstępach czasu, a niektórzy nie stosują wyłączenia w ogóle i żądają silnego uwierzytelnienia przy każdym dostępie do rachunku. Rozbieżność ta prowadzi do niepożądanych utrudnień napotykanych przez klientów przy korzystaniu z usług informacji o rachunku i ma negatywny wpływ na usługi dostawców świadczących usługę dostępu do informacji o rachunku.

(3) Aby zapewnić właściwą równowagę między celami dyrektywy (UE) 2015/2366, jakimi są zwiększenie bezpieczeństwa, ułatwienie innowacji i zwiększenie konkurencji na rynku wewnętrznym, należy doprecyzować stosowanie wyłączenia określonego w art. 10 rozporządzenia delegowanego (UE) 2018/389 w przypadkach, w których dostęp do informacji o rachunku uzyskuje się za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku. W takim przypadku dostawcy usług płatniczych nie powinni zatem mieć możliwości wyboru między stosowaniem lub niestosowaniem silnego uwierzytelniania klienta, a wyłączenie powinno mieć charakter obowiązkowy i podlegać warunkom mającym na celu zagwarantowanie bezpieczeństwa i ochrony danych użytkowników usług płatniczych.

(4) Wyłączenie powinno ograniczać się do dostępu do informacji o saldzie rachunku płatniczego i ostatnich transakcjach na rachunku płatniczym bez ujawniania szczególnie chronionych danych dotyczących płatności. Wyłączenie powinno mieć zastosowanie wyłącznie wówczas, gdy dostawcy usług płatniczych zastosowali już silne uwierzytelnianie klienta na potrzeby uzyskania po raz pierwszy dostępu za pośrednictwem danego dostawcy świadczącego usługę dostępu do informacji o rachunku i to silne uwierzytelnianie klienta powinno być okresowo odnawiane.

(5) Aby zapewnić bezpieczeństwo i ochronę danych użytkowników usług płatniczych dostawcy usług płatniczych powinni mieć możliwość zastosowania silnego uwierzytelniania w dowolnym momencie, jeżeli mają ku temu obiektywnie uzasadnione i należycie udokumentowane powody związane z nieuprawnionym lub nielegalnym dostępem. Może tak być w przypadku, gdy mechanizmy monitorowania transakcji stosowane przez dostawcę usług płatniczych prowadzącego rachunek wykryją zwiększone ryzyko nieuprawnionego lub nielegalnego dostępu. Aby zapewnić spójne stosowanie wyłączenia, dostawcy usług płatniczych prowadzący rachunek powinni w takich przypadkach dokumentować i należycie uzasadnić swojemu właściwemu organowi krajowemu, na jego żądanie, powody zastosowania silnego uwierzytelniania klienta.

(6) Jeżeli użytkownik usług płatniczych uzyskuje bezpośredni dostęp do informacji o rachunku, dostawcy usług płatniczych powinni nadal mieć możliwość wyboru, czy stosować silne uwierzytelnianie klienta. W takich przypadkach nie odnotowano bowiem żadnych szczególnych problemów wymagających zmiany wyłączenia określonego w art. 10 rozporządzenia delegowanego (UE) 2018/389, inaczej niż w przypadku dostępu za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.

(7) Aby zapewnić równe warunki działania wszystkim dostawcom usług płatniczych oraz zgodnie z celem dyrektywy (UE) 2015/2366, jakim jest ułatwienie rozwoju przyjaznych dla użytkowników i innowacyjnych usług, proporcjonalne jest ustanowienie okresu tej samej długości, wynoszącego 180 dni, w odniesieniu do odnowienia silnego uwierzytelniania klienta w celu uzyskania dostępu do informacji o rachunku zarówno bezpośrednio u dostawcy usług płatniczych, jak i za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku. Odnawianie silnego uwierzytelniania klienta z obecnie obowiązującą częstotliwością mogłoby prowadzić do niepożądanych utrudnień napotykanych przez klientów przy korzystaniu z usług informacji o rachunku oraz uniemożliwiać dostawcom świadczącym usługę dostępu do informacji o rachunku oferowanie odpowiednich usług, a klientom - korzystanie z tych usług.

(8) Dostawcy usług płatniczych prowadzący rachunek, którzy oferują specjalny interfejs i którzy wdrożyli mechanizm awaryjny określony w art. 33 ust. 4 rozporządzenia delegowanego (UE) 2018/389, nie powinni być zobowiązani do wdrożenia nowego obowiązkowego wyłączenia w ramach swoich interfejsów bezpośredniego kontaktu z klientami do celów mechanizmu awaryjnego, jeżeli nie stosują oni wyłączenia określonego w art. 10 rozporządzenia delegowanego (UE) 2018/389 w swoich interfejsach bezpośredniego kontaktu z klientami. Nieproporcjonalne byłoby wymaganie od dostawców usług płatniczych prowadzących rachunek, którzy oferują specjalny interfejs, w ramach którego muszą wdrożyć nowe obowiązkowe wyłączenie, wdrożenie tego wyłączenia również w ramach swoich interfejsów bezpośredniego kontaktu z klientami do celów mechanizmu awaryjnego.

(9) Aby zapewnić dostawcom usług płatniczych wystarczająco dużo czasu na dokonanie niezbędnych zmian w swoich systemach, dostawcy usług płatniczych prowadzący rachunek powinni udostępnić dostawcom usług płatniczych informacje o zmianach, których dokonali w specyfikacjach technicznych swoich interfejsów w celu zapewnienia zgodności z niniejszym rozporządzeniem, najpóźniej dwa miesiące przed wprowadzeniem takich zmian.

(10) Należy zatem odpowiednio zmienić rozporządzenie delegowane (UE) 2018/389.

(11) Podstawę niniejszego rozporządzenia stanowi projekt regulacyjnych standardów technicznych przedłożony Komisji przez Europejski Urząd Nadzoru Bankowego.

(12) Europejski Urząd Nadzoru Bankowego przeprowadził otwarte konsultacje publiczne na temat projektu regulacyjnych standardów technicznych, który stanowi podstawę niniejszego rozporządzenia, dokonał analizy potencjalnych powiązanych kosztów i korzyści oraz zwrócił się o opinię do Bankowej Grupy Interesariuszy powołanej na podstawie art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 3 .

(13) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który swoje uwagi przekazał w dniu 7 czerwca 2022 r.

(14) Aby umożliwić sprawne przejście na nowe wymogi określone w niniejszym rozporządzeniu, dostawcy usług płatniczych, którzy stosowali wyłączenie określone w art. 10 rozporządzenia delegowanego (UE) 2018/389 przed datą rozpoczęcia stosowania niniejszego rozporządzenia, powinni mieć możliwość dalszego stosowania tego wyłączenia przez okres maksymalnie 90 dni od ostatniego zastosowania silnego uwierzytelniania klienta,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Zmiany w rozporządzeniu delegowanym (UE) 2018/389

W rozporządzeniu delegowanym (UE) 2018/389 wprowadza się następujące zmiany:

1)
art. 10 otrzymuje brzmienie:

"Artykuł 10

Dostęp do informacji o rachunku płatniczym bezpośrednio u dostawcy usług płatniczych prowadzącego rachunek

1. Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, w przypadku gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego bezpośrednio w trybie online, pod warunkiem że dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online bez ujawniania szczególnie chronionych danych dotyczących płatności:

a) salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;

b) transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.

2. Na zasadzie odstępstwa od ust. 1 dostawcy usług płatniczych nie podlegają wyłączeniu z obowiązku stosowania silnego uwierzytelniania klienta, jeżeli spełniony jest jeden z następujących warunków:

a) użytkownik usług płatniczych uzyskuje dostęp do informacji określonych w ust. 1 w trybie online po raz pierwszy;

b) minęło więcej niż 180 dni odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji określonych w ust. 1 w trybie online oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.";

2)
dodaje się art. 10a w brzmieniu:

"Artykuł 10a

Dostęp do informacji o rachunku płatniczym za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku

1. Dostawcy usług płatniczych nie stosują silnego uwierzytelniania klienta w przypadku, gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku, pod warunkiem że dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online bez ujawniania szczególnie chronionych danych dotyczących płatności:

a) salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;

b) transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.

2. Na zasadzie odstępstwa od ust. 1 dostawcy usług płatniczych stosują silne uwierzytelnianie klienta, jeżeli spełniony jest jeden z następujących warunków:

a) użytkownik usług płatniczych uzyskuje dostęp do informacji określonych w ust. 1 w trybie online po raz pierwszy za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku;

b) minęło więcej niż 180 dni odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji określonych w ust. 1 w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.

3. Na zasadzie odstępstwa od ust. 1 dostawcy usług płatniczych mogą stosować silne uwierzytelnianie klienta w przypadku, gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku, a dostawca usług płatniczych ma ku temu obiektywnie uzasadnione i należycie udokumentowane powody związane z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego. W takim przypadku dostawca usług płatniczych dokumentuje i należycie uzasadnia swojemu właściwemu organowi krajowemu, na żądanie, powody zastosowania silnego uwierzytelniania klienta.

4. Dostawcy usług płatniczych prowadzący rachunek, którzy oferują specjalny interfejs, o którym mowa w art. 31, nie są zobowiązani do wdrożenia wyłączenia określonego w ust. 1 niniejszego artykułu do celów mechanizmu awaryjnego, o którym mowa w art. 33 ust. 4, jeżeli nie stosują oni wyłączenia określonego w art. 10 w ramach bezpośredniego interfejsu stosowanego na potrzeby uwierzytelniania swoich użytkowników usług płatniczych i komunikacji z tymi użytkownikami.";

3)
w art. 30 dodaje się ust. 4a w brzmieniu:

"4a. Na zasadzie odstępstwa od ust. 4 dostawcy usług płatniczych prowadzący rachunek udostępniają dostawcom usług płatniczych, o których to dostawcach mowa w niniejszym artykule, informacje o zmianach, których dokonali w specyfikacjach technicznych swoich interfejsów w celu zapewnienia zgodności z art. 10a, najpóźniej dwa miesiące przed wprowadzeniem takich zmian.".

Artykuł  2

Przepisy przejściowe

1. 
Dostawcy usług płatniczych, którzy stosowali wyłączenie określone w art. 10 rozporządzenia delegowanego (UE) 2018/389 przed dniem 25 lipca 2023 r., mogą - do końca okresu objętego tym wyłączeniem - w dalszym ciągu stosować to wyłączenie w odniesieniu do wniosków o uzyskanie dostępu otrzymanych za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.
2. 
Na zasadzie odstępstwa od ust. 1 w każdym przypadku, gdy w odniesieniu do wniosku o uzyskanie dostępu za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku złożonego przed końcem okresu objętego wyłączeniem, o którym mowa w ust. 1, stosuje się nowe silne uwierzytelnianie klienta, zastosowanie ma art. 10a wprowadzony niniejszym rozporządzeniem.
Artykuł  3

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 25 lipca 2023 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich pań stwach członkowskich.

Sporządzono w Brukseli dnia 3 sierpnia 2022 r.

1 Dz.U. L 337 z 23.12.2015, s. 35.
2 Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Dz.U. L 69 z 13.3.2018, s. 23).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE (Dz.U. L 331 z 15.12.2010, s. 12).

Zmiany w prawie

Prezydent podpisał nowelę ustawy o zasadach prowadzenia polityki rozwoju
Prezydent podpisał nowelę ustawy o zasadach prowadzenia polityki rozwoju

Prezydent podpisał nowelizację ustawy o zasadach prowadzenia polityki rozwoju oraz niektórych innych ustaw - poinformowała w poniedziałek kancelaria prezydenta. Nowe przepisy umożliwiają m.in. podpisywanie umów o objęcie przedsięwzięć wsparciem z KPO oraz rozliczania się z wykonawcami w euro.

Ret/PAP 10.06.2024
Wakacje składkowe dla przedsiębiorców z podpisem prezydenta
Wakacje składkowe dla przedsiębiorców z podpisem prezydenta

Prezydent Andrzej Duda podpisał nowelizację ustawy o systemie ubezpieczeń społecznych oraz niektórych innych ustaw – poinformowała Kancelaria Prezydenta RP w poniedziałkowym komunikacie. Ustawa przyznaje określonym przedsiębiorcom prawo do urlopu od płacenia składek na ubezpieczenia społeczne przez jeden miesiąc w roku.

Grażyna J. Leśniak 10.06.2024
Prezydent podpisał ustawę powołującą program "Aktywny Rodzic"
Prezydent podpisał ustawę powołującą program "Aktywny Rodzic"

Prezydent podpisał ustawę o wspieraniu rodziców w aktywności zawodowej oraz w wychowaniu dziecka "Aktywny rodzic". Przewiduje ona wprowadzenie do systemu prawnego trzech świadczeń wspierających rodziców w aktywności zawodowej oraz w wychowywaniu i rozwoju małego dziecka: „aktywni rodzice w pracy”, „aktywnie w żłobku” i „aktywnie w domu”. Na to samo dziecko za dany miesiąc będzie przysługiwało tylko jedno z tych świadczeń. O tym, które – zdecydują sami rodzice.

Grażyna J. Leśniak 10.06.2024
Nawet pół miliona kary dla importerów - ustawa o KAS podpisana
Nawet pół miliona kary dla importerów - ustawa o KAS podpisana

Kancelaria Prezydenta poinformowała w piątek, że Andrzej Duda podpisał nowelizację ustawy o Krajowej Administracji Skarbowej oraz niektórych innych ustaw. Wprowadza ona unijne regulacje dotyczące importu tzw. minerałów konfliktowych. Dotyczy też kontroli przewozu środków pieniężnych przez granicę UE. Rozpiętość kar za naruszenie przepisów wyniesie od 1 tys. do 500 tys. złotych.

Krzysztof Koślicki 07.06.2024
KSeF od 1 lutego 2026 r. - ustawa z podpisem prezydenta
KSeF od 1 lutego 2026 r. - ustawa z podpisem prezydenta

Obligatoryjny Krajowy System e-Faktur wejdzie w życie 1 lutego 2026 roku. Prezydent Andrzej Duda podpisał ustawę. Ministerstwo Finansów zapowiedziało wcześniej, że będzie też drugi projekt, dotyczący uproszczeń oraz etapowego wejścia w życie KSeF - 1 lutego 2026 r. obowiązek obejmie przedsiębiorców, u których wartość sprzedaży przekroczy 200 mln zł, a od 1 kwietnia 2026 r. - wszystkich przedsiębiorców.

Monika Pogroszewska 07.06.2024
Senat poparł zmianę obowiązujących regulacji dotyczących czynników rakotwórczych i mutagenów
Senat poparł zmianę obowiązujących regulacji dotyczących czynników rakotwórczych i mutagenów

W ślad za rekomendacją Komisji Rodziny, Polityki Senioralnej i Społecznej Senat przyjął w środę bez poprawek zmiany w Kodeksie pracy, których celem jest nowelizacja art. 222 dostosowująca polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 05.06.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2022.312.1
Rodzaj: Rozporządzenie
Tytuł: Rozporządzenie delegowane 2022/2360 zmieniające regulacyjne standardy techniczne określone w rozporządzeniu delegowanym (UE) 2018/389 w odniesieniu do obejmującego okres 90 dni wyłączenia dotyczącego dostępu do rachunku
Data aktu: 03/08/2022
Data ogłoszenia: 05/12/2022
Data wejścia w życie: 25/07/2023, 25/12/2022