2.3.3
Rättigheter och skyldigheter med avseende på tillhandahållande och användning av betaltjänster (artiklarna 27–104)
Artiklarna 27–104 i förslaget till förordning gäller rättigheter och skyldigheter med avseende på användningen av betaltjänster. Av dessa är artiklarna 27–30 allmänna bestämmelser. Bestämmelser motsvarande artiklarna 27–29 i förslaget finns nästan oförändrade i det gällande betaltjänstdirektivet. Artikel 30 i förordningen motsvarar artiklarna 11 och 12 i direktivet om rätten att starta och driva affärsverksamhet i institut för elektroniska pengar samt om tillsyn av sådan verksamhet 2009/110/EG.
Artiklarna 31 och 32 i förslaget till förordning gäller tillträde till betalningssystem och till konton som hålls i kreditinstitut. Artikel 31 i förslaget motsvarar till stor del artikel 35 i det gällande andra betaltjänstdirektivet. Nytt är emellertid att en betalningssystemsoperatör (payment system operator) ska offentliggöra sina regler och förfaranden för tillåtelse att delta i betalningssystemet i fråga och kriterierna för riskbedömning av dem som ansöker om deltagande (artikel 31.2 i förslaget). Dessutom ska medlemsstaterna för sådana betalningssystem som inte omfattas av Europeiska centralbankens tillsyn utse en behörig myndighet med ansvar för tillsynen över betalningssystem (Eurosystem oversight) (artikel 31.7 i förslaget).
I artikel 32 i förslaget föreskrivs det om tillträde till konton som hålls i ett kreditinstitut, om vilket föreskrivs i artikel 36 i det gällande andra betaltjänstdirektivet. Artikel 32 i förslaget till förordning innehåller emellertid ny reglering jämfört med den gällande artikeln. I punkt 1 i den föreslagna artikeln föreskrivs det om de situationer där ett kreditinstitut får neka att öppna ett betalkonto för ett betalningsinstitut, för dess ombud eller distributörer eller någon som ansöker om en licens som betalningsinstitut. Bestämmelserna gäller också stängning av betalkonto. Enligt förslaget får kreditinstitutet neka att öppna ett konto exempelvis om kreditinstitutet har vägande skäl att misstänka att sökanden har bristfälliga kontroller för att förhindra penningtvätt eller finansiering av terrorism eller att sökanden eller sökandens kunder bedriver olaglig verksamhet. Enligt punkt 2 i artikeln ska rättigheter som beviljats ombud eller distributörer enligt punkt 1 endast beviljas för tillhandahållande av betaltjänster för betalningsinstitutets räkning. Vidare ska enligt punkt 3 i artikeln ett kreditinstitut meddela ett betalningsinstitut eller dess ombud eller distributörer eller den som ansöker om ett tillstånd som betalningsinstitut, eventuella beslut om att neka att öppna eller om att stänga ett betalkonto för betalningsinstitutet eller för dess ombud eller distributörer eller för den som ansöker om ett tillstånd som betalningsinstitut. Kreditinstitutet ska vederbörligen motivera sitt beslut. Enligt punkt 4 i den föreslagna artikeln kan ett betalningsinstitut eller dess ombud eller distributörer eller den som ansöker om ett tillstånd som betalningsinstitut och som är föremål för ett kreditinstituts beslut om att neka tillgång till eller om avstängning från betalkontotjänster överklaga beslutet till en behörig myndighet. Enligt punkt 5 i artikeln ska Europeiska bankmyndigheten utarbeta tekniska standarder för tillsyn för att ange det format och den information som ska ingå i den anmälan och motivering som avses i punkt 3 i denna artikel.
Artiklarna 33–48 i förslaget till förordning gäller kontoinformationstjänster och betalningsinitieringstjänster. Artiklarna 33 och 34 i förslaget till förordning motsvarar det gällande direktivet. Artiklarna 35–39 i förslaget gäller gränssnitt för dataåtkomst avseende kontoinformationstjänster och betalningsinitieringstjänster. Den föreslagna regleringen motsvarar till vissa delar vad som föreskrivs i kommissionens delegerade förordning (EU) 2018/389. I artikel 35 i förslaget till förordning föreskrivs det om särskilda gränssnitt. Enligt artikeln ska en kontoförvaltande betaltjänstleverantör som erbjuder en betalare ett betalkonto som är tillgängligt online ha minst ett särskilt gränssnitt för utbyte av uppgifter mellan leverantörer av kontoinformations- och betalningsinitieringstjänster. I artikeln föreskrivs det om de tekniska kraven på särskilda gränssnitt. Särskilda gränssnitt ska uppfylla de kommunikationsstandarder som utfärdats av europeiska eller internationella standardiseringsorganisationer, inbegripet Europeiska standardiseringskommittén (CEN) eller Internationella standardiseringsorganisationen (ISO). I artikeln föreskrivs vidare om kontoförvaltande betaltjänstleverantörers skyldighet att på sina webbplatser publicera statistik över sitt särskilda gränssnitts tillgänglighet och prestanda. Kontoförvaltande betaltjänstleverantörer är också skyldiga att tillhandahålla en testfunktion, så att de auktoriserade leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster eller betaltjänstleverantörer som har ansökt om relevant auktorisation ska kunna testa den programvara och de applikationer som används för att erbjuda användarna en betaltjänst. Artikeln motsvarar till vissa delar vad som föreskrivs i kommissionens delegerade förordning (EU) 2018/389.
I artikel 36 i förslaget till förordning föreskrivs mer ingående om de säkerhets- och prestandakrav som ställs på särskilda gränssnitt. Regleringen grundar sig till vissa delar på vad som föreskrivs i kommissionens delegerade förordning (EU) 2018/389. I artikel 37 i förordningen föreskrivs det om paritet avseende dataåtkomst mellan särskilda gränssnitt för åtkomst och kundgränssnitt. Enligt förslaget ska kontoförvaltande betaltjänstleverantörer säkerställa att ett särskilt gränssnitt enligt artikel 35.1 erbjuder samma tillgänglighets- och prestandanivå som ett sådant gränssnitt som den kontoförvaltande betaltjänstleverantören gör tillgängligt för betaltjänstanvändaren för direkt tillgång till dennes betalkonto online. Artikeln motsvarar till vissa delar vad som föreskrivs i kommissionens delegerade förordning (EU) 2018/389.
I artikel 38 i förslaget till förordning föreskrivs det om beredskapsåtgärder för särskilda gränssnitt. Artikeln motsvarar till vissa delar vad som föreskrivs i kommissionens delegerade förordning (EU) 2018/389. I artikeln föreskrivs det om de åtgärder som ska vidtas om gränssnittet inte fungerar på det sätt som förutsätts. I artikel 39 i förslaget till förordning föreskrivs det om möjligheten till undantag från att tillhandahålla ett särskilt gränssnitt enligt artikel 35.1 i förordningen. Undantag görs enligt beslut av myndighet.
Artiklarna 40–44 i förslaget till förordning gäller kontoförvaltande betaltjänstleverantörers rättigheter och skyldigheter. Artikel 40 i förslaget motsvarar till stor del artikel 66.2 och 66.4 i andra betaltjänstdirektivet. I den föreslagna artikeln föreskrivs det dessutom att om viss information inte är tillgänglig omedelbart efter mottagandet av betalningsordern, ska den kontoförvaltande betaltjänstleverantören säkerställa att all information om genomförandet av betalningsordern görs tillgänglig för leverantören av betalningsinitieringstjänster omedelbart efter det att uppgifterna blivit tillgängliga för den kontoförvaltande betaltjänstleverantören.
Artikel 41.1 i förslaget motsvarar gällande reglering. I artikel 41.2 föreskrivs det att kontoförvaltande betaltjänstleverantörer ska tillåta att leverantörer av kontoinformationstjänster får tillgång till information från specifika betalkonton och tillhörande betalningstransaktioner som innehas av kontoförvaltande betaltjänstleverantörer i syfte att utföra kontoinformationstjänsten, oavsett om betaltjänstanvändaren aktivt begär sådan information eller inte.
Artikel 42 i förslaget motsvarar det gällande andra betaltjänstdirektivet. Artikel 43 i förslaget är helt ny. I artikeln föreskrivs det om den kontoförvaltande betaltjänstleverantörens skyldighet att tillhandahålla en manöverpanel (dashboard) för betaltjänstanvändaren så att betaltjänstanvändaren kan övervaka och hantera de tillstånd för åtkomst till betalningsuppgifter som denne har beviljat för kontoinformationstjänster och betalningsinitieringstjänster. Manöverpanelen ska ge en översikt av de tillstånd som betaltjänstanvändaren gett. Betaltjänstanvändaren ska också kunna återkalla beviljade tillstånd via denna manöverpanel och återställa tillstånd som har återkallats. Manöverpanelen ska vara lätt tillgänglig och den information som visas i manöverpanelen ska vara tydlig och lättbegriplig för betaltjänstanvändaren. Betaltjänstleverantören och leverantören av kontoinformationstjänster eller betalningsinitieringstjänster ska samarbeta för att göra informationen tillgänglig för betaltjänstanvändaren via manöverpanelen i realtid.
Artikel 44 i förslaget till förordning motsvarar till vissa delar vad som föreskrivs i artikel 32.3 i kommissionens delegerade förordning (EU) 2018/389. I förordningen föreslås emellertid mer ingående bestämmelser om sådana hinder för dataåtkomst som är förbjudna i särskilda gränssnitt.
Artiklarna 45–47 i förslaget till förordning gäller rättigheter och skyldigheter för leverantörer av kontoinformationstjänster och leverantörer av betalningsinitieringstjänster. Artiklarna 45 och 46 i förslaget är nya. I artikel 45 föreskrivs det om användning av kundgränssnitt. Enligt artikeln ska leverantörer av kontoinformationstjänster och leverantörer av betalningsinitieringstjänster endast få åtkomst till betalkontouppgifter via det särskilda gränssnitt som avses i artikel 35 med undantag av de fall som omfattas av artikel 38.4 och 38.5 samt artikel 39. Om leverantörer av kontoinformationstjänster eller leverantörer av betalningsinitieringstjänster får åtkomst till betalkontouppgifter via ett gränssnitt som betaltjänstleverantören gör tillgängligt för sina betaltjänstanvändare för direkt tillgång till sina betalkonton i enlighet med artikel 38.4 och 38.5, eller om detta är det enda gränssnitt som är tillgängligt i enlighet med artikel 39, ska leverantörer av kontoinformationstjänster eller leverantörer av betalningsinitieringstjänster bl.a. identifiera sig för den kontoförvaltande betaltjänstleverantören samt vidta nödvändiga åtgärder för att säkerställa att de inte använder (eller kommer åt eller lagrar) uppgifter för andra ändamål än för att tillhandahålla den tjänst som betaltjänstanvändaren efterfrågat.
I artikel 46 i förslaget till förordning föreskrivs det om särskilda skyldigheter för leverantörer av betalningsinitieringstjänster. I punkt 1 anges skyldigheterna för leverantörer av betalningsinitieringstjänster, såsom skyldigheten att ge kontoförvaltande betaltjänstleverantörer samma information som den som begärs av betaltjänstanvändaren vid direkt initiering av betalningstransaktionen samt skyldigheten att inte vid någon tidpunkt inneha betalarens medel i samband med tillhandahållandet av betalningsinitieringstjänsten. I punkt 2 anges de åtgärder som dessa tjänsteleverantörer inte får vidta. Leverantörer av betalningsinitieringstjänster får inte lagra känsliga betalningsuppgifter som tillhör betaltjänstanvändaren, begära andra uppgifter av betaltjänstanvändaren än sådana som krävs för att tillhandahålla betalningsinitieringstjänsten, behandla personuppgifter eller andra uppgifter för andra ändamål än för att tillhandahålla den betalningsinitieringstjänst för vilken betaltjänstanvändaren gett sitt tillstånd eller ändra beloppet, betalningsmottagaren eller något annat inslag i transaktionen. I artikel 47 i förslaget till förordning föreskrivs det om skyldigheterna för leverantörer av kontoinformationstjänster. Punkt 1 motsvarar gällande reglering, men punkterna 2 och 3 är nya. I den föreslagna 2 punkten föreskrivs det om åtgärder som leverantörer av kontoinformationstjänster inte får vidta. Leverantörer av kontoinformationstjänster får inte begära känsliga betalningsuppgifter som är kopplade till betalkontona eller använda eller lagra några uppgifter för andra ändamål än för den kontoinformationstjänst för vilken betaltjänstanvändaren gett sitt tillstånd i enlighet med förordning (EU) 2016/679. I punkt 3 föreskrivs det om de artiklar som inte tillämpas på leverantörer av kontoinformationstjänster.
Artikel 48 i förslaget till förordning är ny och den innehåller bestämmelser om behöriga myndigheters roll.
I artiklarna 49–63 i förordningen föreskrivs det om auktorisation av betalningstransaktioner. Artikel 49 i förslaget motsvarar till stor del artikel 64 i det gällande direktivet. I artikeln föreslås det emellertid vidare att tillgången till ett betalkonto för utförande av kontoinformationstjänster eller betalningsinitieringstjänster av betaltjänstleverantörer endast ska vara auktoriserad om betaltjänstanvändaren har gett leverantören av kontoinformationstjänster eller leverantören av betalningsinitieringstjänster tillstånd att få tillgång till betalkontot och de relevanta uppgifterna på det kontot. Nytt är också att kontoförvaltande betaltjänstleverantörer inte får verifiera betaltjänstanvändarens tillstånd till leverantören av kontoinformationstjänster eller leverantören av betalningsinitieringstjänster.
Artikel 50 i förslaget till förordning är ny. I artikeln föreskrivs det om avvikelser mellan betalningsmottagarens namn och unika identifikationskod vid betalningar. Enligt artikeln ska betalningsmottagarens betaltjänstleverantör, utan kostnad och på begäran av betalarens betaltjänstleverantör, kontrollera överensstämmelsen mellan den unika identifikationskoden och det namn på betalningsmottagaren som betalaren har angett och meddela betalarens betaltjänstleverantör om resultatet av denna kontroll. Om den unika identifikationskoden och namnet på betalningsmottagaren inte överensstämmer, ska betalarens betaltjänstleverantör underrätta betalaren om den avvikelse som konstaterats. Att en avvikelse konstaterats och anmälts hindrar inte betalaren från att godkänna den berörda betalningen. Om betalaren, efter att ha underrättats om en avvikelse, godkänner betalningen och transaktionen utförs i enlighet med den unika identifikationskod som betalaren angett, ska transaktionen anses ha utförts på ett korrekt sätt.
Artiklarna 51–55 i förslaget till förordning motsvarar regleringen i det gällande direktivet. Artikel 56, som gäller betaltjänstleverantörens ansvar för icke auktoriserade betalningstransaktioner, motsvarar delvis gällande reglering. Nytt i förslaget är emellertid att om betalarens betaltjänstleverantör har rimlig anledning att misstänka att betalaren har gjort sig skyldig till bedrägeri, ska betalarens betaltjänstleverantör senast tio bankdagar efter att ha noterat eller underrättats om transaktionen göra något av följande: återbetala den icke auktoriserade betalningstransaktionens belopp till betalaren, om betalarens betaltjänstleverantör efter ytterligare utredning konstaterar att betalaren inte har gjort sig skyldig till bedrägeri, eller underrätta betalaren om skälen för att återbetalningen vägrades och ange till vilka organ betalaren kan hänskjuta ärendet i enlighet med artiklarna 90, 91, 93, 94 och 95, om betalaren inte godtar de angivna skälen.
Artiklarna 57–59 i förslaget är nya. Artikel 57 i förslaget till förordning gäller betaltjänstleverantörens ansvar för felaktig tillämpning av kontrollen av överensstämmelse. Enligt den föreslagna artikeln ska betalaren inte bära den ekonomiska förlusten för en auktoriserad betalning om betalarens betaltjänstleverantör, i strid med artikel 50.1 i förordningen, underlåtit att underrätta betalaren om en upptäckt avvikelse mellan den unika identifikationskod och det namn på betalningsmottagaren som betalaren angett (1 punkten). Betaltjänstleverantören ska senast tio bankdagar efter att ha noterat eller underrättats om en betalningstransaktion som utförts under de omständigheter som avses i punkt 1 antingen återbetala den auktoriserade betalningens hela belopp till betalaren eller underrätta betalaren om skälen för att återbetalningen vägrades och ange till vilka organ betalaren kan hänskjuta ärendet i enlighet med artiklarna 90, 91, 93, 94 och 95, om betalaren inte godtar de angivna skälen (2 punkten). Enligt punkt 3 i förslaget ska dessutom, om betalningsmottagarens betaltjänstleverantör är ansvarig för den överträdelse av artikel 50.1 som begåtts av betalarens betaltjänstleverantör, betalningsmottagarens betaltjänstleverantör återbetala den ekonomiska skada som vållats betalarens betaltjänstleverantör. Enligt 4 punkten i artikeln ska bevisbördan vila på betalarens betaltjänstleverantör eller, i det fall som avses i punkt 3, betalningsmottagarens tjänsteleverantör att visa att artikel 50.1 inte har överträtts. Om betalaren har handlat bedrägligt eller om betalaren har valt att inte ta emot verifieringstjänsten i enlighet med artikel 50.4, ska punkterna 1–4 inte tillämpas (5 punkten).
I artikel 58 i förslaget till förordning föreskrivs det om ansvaret för leverantörer av tekniska tjänster (technical service provider) och operatörer av betalningssystem (operators of payment schemes) för underlåtenhet att stödja tillämpningen av stark kundautentisering. Enligt artikeln ska leverantörer av tekniska tjänster och operatörer av betalningssystem som tillhandahåller tjänster till antingen betalningsmottagaren eller betalningsmottagarens eller betalarens betaltjänstleverantör vara ansvariga för all ekonomisk skada som vållats betalningsmottagaren, eller betalningsmottagarens eller betalarens betaltjänstleverantör, om de inom ramen för sitt avtalsförhållande underlåtit att tillhandahålla de tjänster som är nödvändiga för att möjliggöra tillämpningen av stark kundautentisering.
Artikel 59 i förordningen är ny och innehåller bestämmelser om betaltjänstleverantörens ansvar för identitetsbedrägerier (impersonation fraud). Enligt punkt 1 i artikeln ska, om en betaltjänstanvändare som är konsument har manipulerats av en tredje part som låtsats vara anställd hos konsumentens betaltjänstleverantör genom att olagligen använda betaltjänstleverantörens namn, e-postadress eller telefonnummer, och denna manipulation ger upphov till efterföljande bedrägliga auktoriserade betalningstransaktioner, betaltjänstleverantören återbetala den bedrägliga auktoriserade betalningstransaktionens hela belopp till konsumenten, under förutsättning att konsumenten utan dröjsmål har anmält bedrägeriet till polisen och underrättat sin betaltjänstleverantör. Enligt punkt 2 i artikeln ska betaltjänstleverantören senast tio bankdagar efter att ha noterat eller underrättats om den bedrägliga auktoriserade betalningstransaktionen göra något av följande: a) återbetala den bedrägliga auktoriserade betalningstransaktionens belopp till konsumenten eller b) om betaltjänstleverantören har rimlig anledning att misstänka bedrägeri eller grov vårdslöshet från konsumentens sida, underrätta konsumenten om skälen för att återbetalningen vägrades och ange till vilka organ konsumenten kan hänskjuta ärendet i enlighet med artiklarna 90, 91, 93, 94 och 95, om konsumenten inte godtar de angivna skälen. Enligt punkt 3 i artikeln ska punkt 1 inte tillämpas, om konsumenten har handlat bedrägligt eller med grov vårdslöshet. Enligt punkt 4 ska bevisbördan vila på konsumentens betaltjänstleverantör att visa att konsumenten har handlat bedrägligt eller med grov vårdslöshet. Vidare, om en betalningsleverantör underrättar leverantörer av elektroniska kommunikationstjänster om att den typ av bedrägeri som avses i punkt 1 har förekommit, ska leverantörer av elektroniska kommunikationstjänster bedriva ett nära samarbete med betaltjänstleverantörer och agera snabbt för att säkerställa att lämpliga organisatoriska och tekniska åtgärder vidtas för att säkerställa kommunikationens säkerhet och konfidentialitet i enlighet med direktiv 2002/58/EG (5 punkten).
I artikel 60 i förslaget till förordning föreskrivs det om betalarens ansvar för icke auktoriserade betalningstransaktioner. Artikeln enligt förslaget motsvarar till stor del artikel 74 i det gällande direktivet. Nytt är emellertid att om betalningsmottagarens betaltjänstleverantör tillämpar ett undantag från tillämpningen av stark kundautentisering, ska betalningsmottagarens betaltjänstleverantör vara ansvarig för den ekonomiska skada som vållats betalarens betaltjänstleverantör.
Artikel 61 i förordningen gäller betalningstransaktioner där transaktionsbeloppet inte är känt i förväg. Om motsvarande föreskrivs i artikel 75 i det gällande andra betaltjänstdirektivet. Förslaget avviker emellertid från gällande reglering på så sätt att förordningen dessutom innehåller bestämmelser om att det belopp som spärras av betalarens betaltjänstleverantör ska stå i proportion till det belopp för betalningstransaktionen som rimligen kan förväntas av betalaren. Dessutom ska betalningsmottagaren informera betaltjänstleverantören om betalningstransaktionens exakta belopp omedelbart efter att tjänsten utförts eller varorna levererats till betalaren.
Artiklarna 62 och 63 i förslaget till förordning motsvarar artiklarna 76 och 77 i det gällande direktivet.
Artiklarna 64–79 i förslaget till förordning gäller genomförande av betalningstransaktioner. Artikel 64 om mottagande av betalningsorder motsvarar till stor del artikel 78 i andra betaltjänstdirektivet. Till artikeln har emellertid fogats ett omnämnande av att artikeln inte ska tillämpas på omedelbara betalningar i euro som omfattas av förordningen om expressbetalningar (IPR), som för närvarande är under beredning. Artiklarna 65–73 i förslaget till förordning motsvarar gällande reglering. Artikel 74 som gäller felaktiga unika identifikationskoder motsvarar i övrigt den gällande regleringen, men nytt är att det i artikeln föreskrivs att om den unika identifikationskod som angetts av leverantören av betalningsinitieringstjänster är felaktig, ska betaltjänstleverantörerna vara ansvariga i enlighet med artikel 76. Artiklarna 75–79 i förslaget till förordning motsvarar det gällande direktivet.
Artikel 80 i förslaget till förordning gäller dataskydd och den har uppdaterats så att den motsvarar gällande dataskyddslagstiftning.
Artiklarna 81–89 i förordningen gäller operativa risker, säkerhetsrisker och autentisering. I artikel 81 i förslaget föreskrivs det om hantering av operativa risker och säkerhetsrisker. Artikeln motsvarar till stor del artikel 95 i det gällande direktivet, men den har till vissa delar uppdaterats för att motsvara gällande lagstiftning. I artikel 82 i förslaget till förordning föreskrivs det om bedrägerirapportering. Punkt 1 i artikeln motsvarar artikel 96.6 i det gällande direktivet. I punkt 2 och 3 i artikeln föreskrivs det i sin tur om Europeiska bankmyndighetens skyldighet att utarbeta bestämmelser på lägre nivå om bedrägerirapportering.
Artikel 83 i förslaget till förordning är ny och den gäller övervakning av betalningstransaktioner och utbyte av uppgifter om bedrägerier. Enligt punkt 1 i artikeln ska betaltjänstleverantörer ha inrättat transaktionsövervakningsmekanismer som stöder tillämpningen av stark kundautentisering i enlighet med artikel 85, som gör undantag från tillämpningen av stark kundautentisering på grundval av kriterierna i artikel 85.11, om särskilda och begränsade villkor uppfylls som baseras på risknivån samt typerna av och detaljerna i de uppgifter som betaltjänstleverantören bedömer och som gör det möjligt att förhindra och upptäcka bedrägliga betalningstransaktioner. I punkt 2 i artikeln föreskrivs det om de uppgifter som det är tillåtet att använda vid övervakningen av betalningstransaktioner. I punkt 3 i artikeln föreskrivs det om de förutsättningar under vilka betaltjänstleverantörer får dela information om betalningsmottagarens unika identifikationskod. I punkt 4 i artikeln föreskrivs det bl.a. om skyldigheten att genomföra en konsekvensbedömning avseende dataskydd, och i punkt 5 i artikeln om skyldigheten att underrätta behöriga myndigheter om deltagande i arrangemang för informationsutbyte. Enligt punkt 6 i artikeln ska behandlingen av personuppgifter inte leda till att betaltjänstleverantören säger upp avtalsförhållandet med kunden och inte heller påverka kundens senare kundrelation med en annan betaltjänstleverantör.
Artikel 84 i förordningen gäller risker och trender avseende betalningsbedrägerier. Artikeln är ny. Enligt artikeln ska betaltjänstleverantörer med lämpliga medel och metoder varna sina kunder för nya typer av betalningsbedrägerier med hänsyn till behoven hos de mest sårbara kundgrupperna. Betaltjänstleverantörer ska ge sina kunder tydliga indikationer på hur de kan identifiera bedräglig verksamhet, och varna dem med avseende på nödvändiga åtgärder och försiktighetsåtgärder som de kan vidta för att undvika att falla offer för bedrägerier. Betaltjänstleverantörer ska informera sina kunder om var de kan rapportera bedrägerier och snabbt få tag på information om bedrägerier. Betaltjänstleverantörerna ska dessutom minst en gång per år anordna utbildning om risker och trender avseende betalningsbedrägerier för sina anställda och säkerställa att de anställda har lämplig utbildning för att kunna utföra sina uppgifter och skyldigheter i syfte att minska och hantera riskerna för betalningsbedrägerier.
Artikel 85 i förslaget till förordning gäller stark kundautentisering. Punkt 1 i artikeln motsvarar artikel 97.1 i det gällande direktivet med den ändringen att stark autentisering i fortsättningen också ska krävas när kunden tar del av betalkontoinformation (accesses payment account information). Punkterna 2–7 i artikeln är nya. Punkterna 2–6 i artikeln gäller stark autentisering i situationer där det är fråga om betalningstransaktioner som initierats av betalningsmottagaren. Punkt 7 i artikeln behandlar betalningstransaktioner för vilka betalaren lägger betalningsorder på annat sätt än elektroniskt. Punkterna 8–10 i artikeln motsvarar i huvuddrag vad som föreskrivs i artikel 97 i det gällande direktivet. Punkt 11 i artikeln gäller kriterierna för undantag från tillämpningen av stark kundautentisering genom beslut av Europeiska bankmyndigheten.
Artikel 86 i förslaget till förordning gäller stark kundautentisering när det gäller betalningsinitieringstjänster och kontoinformationstjänster. Punkterna 1 och 2 i artikeln motsvarar artikel 97.4 och 97.5 i andra betaltjänstdirektivet. Punkterna 3 och 4 i artikeln är nya. I punkt 3 föreskrivs det om tillämpning av stark autentisering, när en leverantör av kontoinformationstjänster får tillgång till betalkontoinformation. Då ska stark autentisering endast tillämpas vid det första tillfälle då leverantören av kontoinformationstjänster får tillgång till betalkontoinformation eller om den kontoförvaltande betaltjänstleverantören har rimliga skäl att misstänka bedrägeri. Enligt punkt 4 i artikeln ska leverantören av kontoinformationstjänster tillämpa sin egen starka kundautentisering minst var 180:e dag, när betaltjänstanvändaren får tillgång till den betalkontoinformation som hämtats av den leverantören av kontoinformationstjänster, såvida det inte finns anledning att misstänka bedrägeri.
Artiklarna 87 och 88 i förslaget till förordning är nya. Artikel 87 i förordningen gäller underleverantörsavtal för tillämpning av stark kundautentisering mellan betaltjänstleverantören och leverantören av tekniska tjänster. Artikel 88 i förordningen gäller tillgänglighetskrav för stark kundautentisering. Enligt förslaget till artikel ska betaltjänstleverantörer säkerställa att alla deras kunder, inbegripet personer med funktionsnedsättning, äldre personer, personer med låg digital kompetens och personer som inte har tillgång till digitala kanaler eller betalningsinstrument, har tillgång till en möjlighet som är anpassad till deras specifika situation och som gör att de kan utföra stark kundautentisering.
Artikel 89 i förslaget till förordning gäller tekniska standarder för tillsyn rörande mekanismer för autentisering, kommunikation och transaktionsövervakning. Artikeln motsvarar delvis artikel 98 i det gällande direktivet. Europeiska bankmyndighetens befogenheter att utfärda tekniska standarder för tillsyn har emellertid i viss mån utökats i förslaget.
Artiklarna 90–103 i förordningen gäller verkställighetsförfarande, behöriga myndigheter och sanktioner. Artikel 90 i förordningen motsvarar artikel 99 i det gällande direktivet. Artikel 91 i förslaget motsvarar delvis artikel 100. Myndigheternas befogenheter har emellertid utökats i förhållande till den gällande regleringen. Artiklarna 92 och 93 i förslaget till förordning är nya. Artikel 92 gäller sekretess och artikel 93 samarbete mellan myndigheter.
I artikel 94 i förslaget till förordning föreskrivs det om tvistlösning. Artikeln motsvarar artikel 101 i andra betaltjänstdirektivet. I artikel 95 i förordningen föreskrivs det om förfaranden för alternativ tvistlösning. Punkterna 1 och 2 i artikeln motsvarar artikel 102 i det gällande direktivet. Punkterna 3–5 i artikeln är nya. Enligt punkt 3 ska medlemsstaterna utse en behörig myndighet, som ska ackreditera, övervaka och offentliggöra kvaliteten på alternativa tvistlösningsorgan på deras territorium i enlighet med artikel 18 i direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister. I punkterna 4 och 5 i förslaget hänvisas det till skyldigheter i fråga om förfarande i enlighet med direktiv 2013/11/EU.
Artikel 96 i förslaget till förordning gäller administrativa sanktioner och administrativa åtgärder. I artikeln föreskrivs det om medlemsstaternas skyldighet att fastställa administrativa sanktioner och åtgärder som är tillämpliga vid överträdelser av bestämmelserna i förordningen. I den nya artikeln 97.1 i förslaget till förordning föreskrivs det om de bestämmelser i förordningen som ska omfattas av sanktioner vid överträdelser av bestämmelserna i fråga. I punkt 2 i artikeln föreskrivs det om de administrativa sanktioner och åtgärder som medlemsstaterna ska införa. Medlemsstaterna ska exempelvis införa administrativa böter. I punkt 3 i artikeln föreskrivs det om den redovisning som ska användas för att fastställa omsättningen, och punkt 4 innehåller en option för medlemsstaterna att också ålägga andra typer av sanktioner.
Också artiklarna 98–103 i förordningen är nya. I artikel 98 i förordningen föreskrivs det om viten. I artikel 99 i förordningen föreskrivs det om de aspekter som ska beaktas vid fastställandet av administrativa sanktioner eller andra administrativa åtgärder. Artikel 100 i förordningen gäller rätten att överklaga till domstol. I artikel 101 i förslaget föreskrivs det om myndigheternas skyldighet att på sin webbplats offentliggöra sina beslut om administrativa sanktioner eller administrativa åtgärder. I artikel 102 i förordningen föreskrivs det om myndigheternas skyldighet att rapportera till Europeiska bankmyndigheten, och artikel 103 gäller medlemsstaternas anmälningsskyldighet till kommissionen.
Artikel 104 i förslaget till förordning är ny och den gäller Europeiska bankmyndighetens befogenheter att tillfälligt intervenera.