Undantag från kravet på beredskapsmekanism

(RL = riktlinjebestämmelse)

• Grunduppgifter (framgår av ansökningsblankett)
• Resultatindikatorer/ KPIer (minst 6 st.) (RL 2.2–2.3)
• Servicenivåmål (RL 2.1)
• Planering för publicering av statistik (RL 3)
• Processbeskrivning för mätning och utvärdering (RL 4.1)
• Protokoll över genomförda stresstester (RL 4.3)
• Sammanfattning av autentiseringsförfaranden (RL 5.1)
• Motivering av varför autentiseringsförfaranden inte är något hinder (RL 5.1)
• Bevis på regelefterlevnad för åtkomst och hantering av data (RL 6.1)
• Funktionella och tekniska beskrivningar av det särskilda gränssnittet (RL 6.1)
• Sammanfattning av hur införandet av gränssnittet uppfyller kraven (RL 6.1)
• Information om införande av branschstandard (RL 6.1)
• Information om kontakter med tredjepartsleverantörer (RL 6.1)
• Sammanfattning av minst sju olika testresultat (RL 6.6)
• Beskrivning av hur det särskilda gränssnittet har använts (RL 7.1)
• Bevis om åtgärder för att möjliggöra bred användning (RL 7.1)
• Beskrivning av hur problem identifieras och följs upp (RL 8)
• Beskrivning av hur eventuella problem har hanterats (RL 8)

Hur ska ansökan om undantag utformas? Information om det finns i den delegerade förordningen (se ovan). Vägledning finns också i följande dokument:

• Yttrande från EBA: Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC (EBA-Op-2018-04) of 13 June 2018
• Yttrande från EBA: Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC (4 june 2020)
• Riktlinjer från EBA: Riktlinjer för villkoren för att utnyttja undantag från beredskapsmekanism enligt artikel 33.6 i förordning (EU) 2018/389 (tekniska tillsynsstandarder för stark kundautentisering och gemensamma och säkra öppna kommunikationsstandarder)

Beslut om undantag från kravet på beredskapsmekanism

EU kräver att banker och andra kreditinstitut som erbjuder kunder betalkonton som finns tillgängliga online ska ha vissa gränssnitt för webbkommunikation. Dessa betaltjänstleverantörer måste ha minst ett gränssnitt som gör det möjligt för betaltjänstanvändare och tredjepartsbetaltjänstleverantörer att identifiera sig, autentisera transaktioner och utbyta relevanta uppgifter mellan sig på ett säkert sätt.

Gränssnitten regleras i Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder. I fortsättningen kallar vi den för den delegerade förordningen.

Hur gränssnitten ska fastställas

En betaltjänstleverantör som förvaltar konton ska fastställa gränssnitten. Det kan ske på två olika sätt:

• Genom att betaltjänstleverantören använder ett särskilt gränssnitt.
• Genom att betaltjänstleverantören låter de leverantörer av betalningsinitieringstjänster, kontoinformationstjänster och betaltjänstleverantörer som ger ut kortbaserade betalningsinstrument, använda sig av gränssnitten för autentisering av och kommunikation med betaltjänstanvändare i kontoförvaltande institut, även kallade användargränssnitten.

De kontoförvaltande institut som har fastställt ett särskilt gränssnitt bör enligt artikel 33.1 och 33.4 i den delegerade förordningen inrätta en beredskapsmekanism som kan behövas i vissa fall. Om det särskilda gränssnittet upphör att fungera, ska beredskapsmekanismen göra det möjligt för tredjepartsbetaltjänstleverantörer att använda kundgränssnitten för autentisering och kommunikation med aktuellt kontoförvaltande institut, tills det särskilda gränssnittet är återställt.

Artikel 33.6 i den delegerade förordningen ger kontoförvaltande institut möjlighet att ansöka om att undantas från kravet på att upprätta en beredskapsmekanism under förutsättning att vissa villkor är uppfyllda. Ett undantag bör enligt artikel 33.7 återkallas om det kontoförvaltande institutet under mer än två veckor i sträck inte uppfyller villkoren.