Zpřístupňování platebních účtů a silné ověření klienta podle nařízení EU
Dne 14. září 2019 nabude účinnosti nařízení komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (dále jen “Nařízení”), které stanoví řadu povinností týkajících se především silného ověření klienta a zpřístupňování platebních účtů. Některá ustanovení Nařízení (článek 30 odstavec 3 a 5) platí již od 14. března 2019. Nařízení je přímo použitelné a právně závazné rovněž v České republice, proto doporučujeme věnovat mu pozornost.
Poskytovatelé platebních služeb, kteří vedou platební účet, který je přístupný on-line, jsou povinni zavést přinejmenším jedno rozhraní, které splňuje Nařízením stanovené požadavky.
Pro posouzení, zda se tato povinnost vztahuje rovněž na Vás, je třeba vyřešit otázku, zda klientům poskytujete platební účet a zda je tento platební účet přístupný on-line. Pokud vedete klientům platební účet, který je přístupný prostřednictvím internetu, povinnosti plynoucí z Nařízení plnit musíte.
Platebním účtem se podle § 2 odst. 1 písm. b) zákona č. 370/2017 Sb., o platebním styku, ve znění pozdějších předpisů, rozumí „účet, který slouží k provádění platebních transakcí“. V souvislosti s vymezením pojmu platební účet odkazujeme rovněž na rozsudek Soudního dvora Evropské unie ze dne 4. října 2018, C-191/17 ING-DiBA Direktbank Austria, kde Soudní dvůr dospěl k závěru, že základním znakem pojmu platební účet je možnost provádět z účtu platební transakce ve prospěch třetí strany nebo být příjemcem takových transakcí od třetí strany.
Plnění povinností stanovených Nařízením nelze omezovat pouze na úvěrové instituce, jak by se mohlo z řady dostupných článků zdát. Rovněž nerozhoduje, zda je poskytovatel platebních služeb držitelem tzv. malé nebo velké licence pro platební služby. Relevantní nejsou ani výjimky stanovené v Obecných pokynech EBA k bezpečnosti internetových plateb ze dne 19. prosince 2014, neboť Nařízení tyto pokyny k datu své účinnosti nahrazuje.
Silné ověření klienta musí poskytovatelé platebních služeb provádět zejména při on-line přístupu k platebnímu účtu, rovněž při dání platebního příkazu k elektronické platební transakci či provádění (prostřednictvím prostředků komunikace na dálku) jakéhokoli jiného úkonu, který je spojen s rizikem podvodu v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu. Nařízení stanoví bližší požadavky vztahující se k silnému ověření klienta (například založení ověření na dvou či více prvcích z kategorie znalost, držení a inherence a vedení k vytvoření ověřovacího kódu). Nařízení stanoví rovněž výjimky z povinnosti silného ověření klienta.
Právníci advokátní kanceláře Stuchlíková & Partners se této problematice věnují a rádi Vám pomohou s posouzením toho, zda a jaké povinnosti plynoucí z Nařízení musíte plnit. Rovněž Vám budeme rádi asistovat při implementaci povinností dle Nařízení.