Bekendtgørelse af lov om betalinger § 128

En udbyder af betalingstjenester skal anvende stærk kundeautentifikation, medmindre andet følger af forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, når en bruger

tilgår sin betalingskonto online,
iværksætter en elektronisk betalingstransaktion eller
udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stk. 2. Ved iværksættelse af elektroniske betalinger, jf. stk. 1, nr. 2, via en enhed til fjernkommunikation skal udbyderen sikre, at der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager.

Stk. 3. Ved iværksættelse af betalingstransaktioner via en betalingsinitieringstjeneste, jf. bilag 1, nr. 7, finder stk. 2 også anvendelse.

Stk. 4. Når en udbyder af kontooplysningstjenester anmoder om data til brug for udbuddet af tjenester omfattet af bilag 1, nr. 8, finder stk. 1 også anvendelse.

Stk. 5. Den kontoførende udbyder skal give udbydere af betalingsinitieringstjenester og kontooplysningstjenester tilladelse til at anvende de autentifikationsprocedurer, som den kontoførende udbyder stiller til rådighed for dennes brugere, jf. stk. 1 og 2.

Forarbejder til Bekendtgørelse af lov om betalinger § 128

Retsinformation

Det foreslås i § 128, at erhvervsministeren kan fastsætte nærmere regler om krav til databeskyttelse, operationel sikkerhed og autentifikation.

Bestemmelsen er ny, og gennemfører artikel 98, i 2. betalingstjenestedirektiv.

Det følger af artikel 98, i 2. betalingstjenestedirektiv, at EBA i tæt samarbejde med ECB efter høring af alle relevante interessenter, herunder interessenter på betalingstjenestemarkedet, og under hensyntagen til alle involverede interesser udarbejder et udkast til reguleringsmæssige tekniske standarder rettet mod udbydere som fastsat i dette direktivs artikel 1, stk. 1, i overensstemmelse med artikel 10 i Europa-Parlamentets og Rådets forordning nr. 2010/1093/EU om oprettelse af en europæisk banktilsynsmyndighed.

De reguleringsmæssige tekniske standarder vedrørende: a) krav til stærk kundeautentifikation, som udbydere skal efterleve, jf. § 127, stk. 1 og 2, b) undtagelser fra anvendelsen af kravet om stærk kundeautentifikation, jf. § 127, stk. 1, 2 og 3, c) krav, som sikkerhedsforanstaltningerne, § 125, stk. 1, nr. 3, skal opfylde for at beskytte fortroligheden og integriteten af brugernes personaliserede sikkerhedsforanstaltninger, og d) krav til fælles og sikre åbne standarder for kommunikation mellem kontoførende udbydere, udbydere af betalingsinitieringstjenester, udbydere af kontooplysningstjenester, betalere, betalingsmodtagere og andre udbydere med henblik på identifikation, autentifikation, underretning og udveksling af oplysninger samt iværksættelse af sikkerhedsforanstaltninger, som skal anvendes i forbindelse med udbuddet af de i bilag 1, nr. 7 og 8, nævnte betalingstjenester.

De reguleringsmæssige tekniske standarder, der skal udarbejdes af EBA, skal laves med henblik på at sikre en passende grad af sikkerhed for brugere og udbydere ved at indføre effektive og risikobaserede krav, sikre brugeres midler og personoplysninger, sikre og opretholde fair konkurrence mellem alle udbydere, sikre teknologi- og forretningsmodelneutralitet samt gøre det muligt at udvikle brugervenlige tilgængelige og innovative betalingsmidler.

Det fastsættes i artikel 98, stk. 4, i 2. betalingstjenestedirektiv, at EBA skal forelægge udkastet til reguleringsmæssige tekniske standarder for Kommissionen senest den 13. januar 2017. Kommissionen tillægges beføjelse til at vedtage de reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10-14, i forordning (EU) nr. 1093/2010. Dette medfører, at de reguleringsmæssige tekniske standarder efter vedtagelse af Kommissionen vil få direkte retsvirkning her i landet, i form af en forordning.

Endelig følger det af artikel 98, stk. 5, i 2. betalingstjenestedirektiv, at EBA regelmæssigt skal gennemgå og ajourføre de reguleringsmæssige tekniske standarder i overensstemmelse med artikel 10 i forordning (EU) nr. 1093/2010 for blandt andet at tage højde for innovation og den teknologiske udvikling.

Disse tekniske standarder foreligger således ikke ved dette lovforslags fremsættelse. Dertil kan de, jf. artikel 98, stk. 5, i 2. betalingstjenestedirektiv ændres efter deres vedtagelse. For at sikre, at erhvervsministeren har de fornødne kompetencer til at fastsætte regler, som sikrer, at Danmark kan efterleve sine forpligtelser i henhold til de af Kommissionen fastsatte regler, tildeles erhvervsministeren hjemmel til at fastsætte nærmere regler. De tekniske standarder vil således blive inddraget ved fastsættelsen af de nærmere regler på bekendtgørelsesniveau.