Nařízení (EU) č. 2018/389 - nová pravidla pro poskytovatele platebních služeb
Článek jsme publikovali na portálu EPRAVO.CZ
Dne 27. listopadu 2017 bylo přijato Nařízení Komise v přenesené pravomoci (EU) 2018/389, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (Regulatory Technical Standards on Strong Customer Authentication, dále jen „Nařízení RTS SCA“).
Nařízení RTS SCA s účinností od 14. září 2019 zavádí ve všech státech EEA řadu nových pravidel v oblasti poskytování internetových platebních služeb, např. při zpracovávání online plateb, což se významným způsobem dotkne nejen větších bankovních a platebních institucí, ale také poskytovatelů platebních služeb malého rozsahu či vydavatelů elektronických peněz malého rozsahu a jejich zákazníků.
Na které poskytovatele se Nařízení RTS SCA vztahuje?
Poskytovatelé platebních služeb, kteří uživatelům vedou platební účty přístupné prostřednictvím internetu, musí plnit povinnosti plynoucí z § 161 a § 191 zákona č. 370/2017 Sb., o platebním styku (dále jen „ZPS“) a z Nařízení RTS SCA, nezáleží přitom ani na typu oprávnění uděleného poskytovateli, ani na skutečnosti, že se nemusí jednat o plnohodnotné internetové bankovnictví. U vydavatelů elektronických peněz tak např. bude podstatné, zda jsou vydávané elektronické peníze uloženy na platebním prostředku či na účtu elektronických peněz, který lze považovat za platební účet ve smyslu § 2 odst. 1 písm. b) ZPS. V souvislosti s vymezením pojmu platební účet lze odkázat např. na rozsudek SDEU ze dne 4. října 2018, C-191/17 ING-DiBa Direktbank Austria, ve kterém Soudní dvůr dospěl k závěru, že „základním znakem pojmu platební účet je možnost provádět z účtu platební transakce ve prospěch třetí strany nebo být příjemcem takových transakcí od třetí strany.“ Jakmile tedy účet vedený poskytovatelem umožňuje uživateli být příjemcem transakcí od třetích stran ve smyslu citovaného soudního rozhodnutí na platební účet příjemce nebo zadávat platební příkazy, byť pouze na jeden konkrétní účet, jedná se o platební účet dostupný prostřednictvím internetu. Jedinou výjimku z výše popsaného postupu stanoví § 161 odst. 6 a § 191 odst. 6 ZPS, a to pouze pro situace, kdy platební účet není přístupný prostřednictvím internetu.
Co je obsahem nejdůležitějších změn?
Nařízení RTS SCA stanoví požadavky, jež musí splňovat poskytovatelé platebních služeb za účelem provádění bezpečnostních opatření, která jim umožní
- uplatňovat postup silného ověření klienta,
- použít výjimky z uplatňování bezpečnostních požadavků na silné ověření klienta s výhradou stanovených omezených podmínek založených na míře rizika, částce a opakování platební transakce a způsobu platby použitém k jejímu provedení,
- chránit důvěrnost a integritu osobních bezpečnostních údajů uživatelů platebních služeb a nakonec
- stanovit společné a bezpečné otevřené standardy komunikace v souvislosti s poskytováním a používáním platebních služeb mezi poskytovateli platebních služeb, kteří vedou účet, poskytovateli služeb iniciování platby, poskytovateli služeb informování o účtu, plátci, příjemci a dalšími poskytovateli platebních služeb.
K dalším nově zaváděným povinnostem poskytovatelů platebních služeb, kteří vedou účet a kteří nabízejí plátci platební účet, patří např.
- zavedení rozhraní pro umožnění přístupu tzv. poskytovatelů služeb třetích stran (poskytovatelé služeb iniciování platby, poskytovatelé služeb informování o účtu a poskytovatelé platebních služeb vydávající karetní platební prostředky), které bude splňovat požadavky dle ustanovení čl. 30 a násl. Nařízení RTS SCA,
- zavedení nouzového mechanismu pro případ, že toto rozhraní nefunguje v souladu s požadavky Nařízení RTS SCA, nebo případné vyřízení výjimky z této povinnosti,
- rozšíření rozhraní pro zadávání platebních příkazů o další typy plateb jako trvalé platby, hromadné platby a inkasa,
- zavedení povinnosti monitoringu a auditu, kdy uplatňování bezpečnostních opatření poskytovatelem platebních služeb musí být pravidelně testováno, vyhodnocováno a kontrolováno auditory, kteří mají odborné znalosti v oblasti bezpečnosti informačních technologií a plateb a kteří jsou funkčně nezávislí na poskytovateli platebních služeb.
Jaké jsou přímé dopady na poskytovatele platebních služeb?
Největší dopady u poskytovatelů bude mít zřejmě (A) samotné pravidlo silného ověření uživatelů, vč. plnění navazujících povinností, jako např. sledování a hlášení incidentů, a dále pak (B) povinnost umožnit přístup tzv. poskytovatelům služeb třetích stran.
(A) Pravidlo silného ověření uživatelů:
Při zadávání plateb musí být ověření uživatele nově založeno na dvou či více prvcích z kategorie „znalost“ (předpokládající výlučnou znalost uživatele), „držení“ (předpokládající výlučnou dispozici uživatele) a „inherence“ (např. biometrický údaj). Nařízení RTS SCA zakotvuje povinnost poskytovatelů platebních služeb přijmout opatření k zmírnění rizika toho, že prvky silného ověření klienta z výše uvedených kategorií budou odhaleny neoprávněnými stranami.
Silné ověření uživatele dle § 223 ZPS a Nařízení RTS SCA bude třeba provádět nejen při přístupu k platebnímu účtu, ale i při dání platebního příkazu k elektronické platební transakci či provádění jiného úkonu, který je spojen s rizikem podvodu v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu. Výjimky z povinnosti silného ověření stanoví výhradně Nařízení RTS SCA, jejichž aplikace je možná při splnění všech stanovených podmínek.
Internetové platební služby tak budou muset být prováděny za použití technologií, které budou schopny zaručit bezpečné ověření platícího zákazníka a v maximální možné míře snížit riziko podvodu. Poskytovatelé platebních služeb budou muset zajistit během všech fází ověřování důvěrnost a integritu osobních bezpečnostních údajů uživatele, včetně ověřovacích kódů.
Postup ověření uživatele pak musí zahrnovat mechanismy sledování transakcí k odhalení pokusů o použití osobních bezpečnostních údajů uživatele platebních služeb, které byly ztraceny, odcizeny nebo zneužity. Postup ověření uživatele musí rovněž zajistit, aby byl uživatel platebních služeb oprávněným uživatelem, který tudíž udělil souhlas s převodem peněžních prostředků a s přístupem k informacím o jeho účtu prostřednictvím běžného použití osobních bezpečnostních údajů.
(B) Přístup třetích stran:
Přímý dopad na poskytovatele platebních služeb bude mít také povinnost umožnění přístupu tzv. poskytovatelů služeb třetích stran, která znamená nutnost zajistit možnost zapojení třetích stran přímo do provádění plateb. Aplikace provozované třetí stranou by tak měly získat přístup přímo k ovládání platebních účtů uživatelů, kteří si tak nově budou moct např. ovládat více svých účtů vedených u různých poskytovatelů prostřednictvím jedné aplikace.
Jak už bylo uvedeno výše Nařízení RTS SCA nabude účinnosti dnem 14. září 2019, avšak s výjimkou ustanovení čl. 30 odst. 3 a 5, které nabylo účinnosti již dnem 14. března 2019. Poskytovatelé platebních služeb tudíž měli od tohoto dne zajistit funkčnost testovacího rozhraní, které však nemusí nutně odpovídat Českému standardu pro Open Banking.
Co lze doporučit poskytovatelům?
Jaký postup lze tedy doporučit poskytovatelům platebních služeb s ohledem na shora popsané změny? V první řadě bude nutno zajistit odpovídající technické řešení, které umožní dodržování nových povinností vyplývajících z Nařízení RTS SCA. Druhým krokem pak bude vyhotovení kvalitního vnitřního předpisu (směrnice), který detailním způsobem popíše mechanismus fungování zvoleného technického řešení z pohledu dodržování povinností vyplývajících z Nařízení RTS SCA, stanoví principy bezpečnostní politiky pro internetové platební služby, popíše systém hodnocení a sledování rizik, určí odpovědné osoby pro sledování a hlášení incidentů, apod.