Overwegingen bij COM(2023)367 - Betalingsdiensten in de interne markt - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)367 - Betalingsdiensten in de interne markt. |
|---|---|
| document | COM(2023)367 |
| datum | 28 juni 2023 |
(2) In de mededeling van de Commissie over een strategie voor retailbetalingen voor de EU34 werd de start aangekondigd van een uitgebreide evaluatie van de toepassing en het effect van Richtlijn (EU) 2015/2366 die een algemene beoordeling moest omvatten van de vraag of deze nog geschikt was voor het beoogde doel, rekening houdend met de marktontwikkelingen.
(3) Richtlijn (EU) 2015/2366 was gericht op het wegnemen van belemmeringen voor nieuwe soorten betalingsdiensten en op het verbeteren van het niveau van de consumentenbescherming en -veiligheid. Uit de evaluatie van het effect en de toepassing van Richtlijn (EU) 2015/2366 door de Commissie is gebleken dat Richtlijn (EU) 2015/2366 met betrekking tot veel van de doelstellingen ervan grotendeels succesvol is geweest, maar ook dat de doelstellingen van die richtlijn op bepaalde gebieden niet volledig zijn verwezenlijkt. In de evaluatie werd bijvoorbeeld vastgesteld dat de toename van nieuwe vormen van fraude een punt van zorg is met betrekking tot de doelstellingen inzake consumentenbescherming. Er zijn ook tekortkomingen vastgesteld met betrekking tot de doelstelling om de mededinging op de markt te verbeteren dankzij de zogenaamde “diensten inzake open bankieren” (rekeninginformatiediensten en betalingsinitiatiediensten) door de marktbelemmeringen waarmee derde aanbieders worden geconfronteerd, te verminderen. De vooruitgang in de richting van de doelstelling om het aanbod van grensoverschrijdende betalingsdiensten te verbeteren, is ook beperkt gebleven, grotendeels als gevolg van inconsistenties in de toezichtpraktijken en de handhaving in de hele Unie. De evaluatie bracht ook factoren aan het licht die de vooruitgang in verband met de doelstelling van een gelijk speelveld voor alle betalingsdienstaanbieders in de weg staan.
(4) De evaluatie bracht ook problemen aan het licht met betrekking tot de uiteenlopende uitvoering en handhaving van Richtlijn (EU) 2015/2366, die rechtstreeks van invloed zijn op de mededinging tussen betalingsdienstaanbieders, doordat er in de verschillende lidstaten verschillende regelgevingsvoorwaarden worden gecreëerd en reguleringsarbitrage wordt aangemoedigd. Er mag geen ruimte zijn voor “forumshopping” waarbij betalingsdienstaanbieders als “land van oorsprong” de lidstaten kiezen waar de toepassing van de Unieregels inzake betalingsdiensten voor hen voordeliger is en grensoverschrijdende diensten aanbieden in andere lidstaten die de regels strikter interpreteren of een actiever handhavingsbeleid toepassen op aldaar gevestigde betalingsdienstaanbieders. Deze praktijk vervalst de mededinging. De Unieregels inzake betalingsdiensten moeten daarom verder worden geharmoniseerd door in een verordening regels op te nemen voor het verrichten van de betalingsdienstenactiviteit, met inbegrip van de rechten en verplichtingen van de betrokken partijen. Dergelijke regels, met uitzondering van de regels inzake vergunningverlening aan en toezicht op betalingsinstellingen, die in een richtlijn moeten blijven, moeten worden verduidelijkt en gedetailleerd, zodat de interpretatiemarges tot een minimum worden beperkt.
(5) Hoewel de uitgifte van elektronisch geld onder Richtlijn 2009/110/EG van het Europees Parlement en de Raad35 valt, is het gebruik van elektronisch geld voor de financiering van betalingstransacties grotendeels geregeld bij Richtlijn (EU) 2015/2366. Bijgevolg is het rechtskader dat van toepassing is op instellingen voor elektronisch geld en betalingsinstellingen, met name wat betreft de bedrijfsvoeringsregels, reeds grotendeels onderling afgestemd. Om de externe coherentieproblemen aan te pakken en gezien het feit dat elektronischgelddiensten en betalingsdiensten steeds moeilijker van elkaar te onderscheiden zijn, moeten de wetgevingskaders voor instellingen voor elektronisch geld en betalingsinstellingen dichter bij elkaar worden gebracht. De vergunningsvereisten, met name aanvangskapitaal en eigen vermogen, en enkele basisbegrippen die van toepassing zijn op de activiteiten op het gebied van elektronisch geld, zoals de uitgifte van elektronisch geld, de distributie en de terugbetaalbaarheid van elektronisch geld, verschillen echter van de diensten die door betalingsinstellingen worden verleend. Het is daarom passend deze specifieke kenmerken te behouden bij het samenvoegen van de bepalingen van Richtlijn (EU) 2015/2366 en Richtlijn 2009/110/EG. Aangezien Richtlijn 2009/110/EG wordt ingetrokken bij Richtlijn (EU) XXXX [PSD3], moeten de regels ervan, met uitzondering van de regels inzake vergunningverlening en toezicht, die zijn opgenomen in Richtlijn (EU) XXX [PSD3], in het kader van deze verordening in een uniform kader worden gebracht, met de nodige aanpassingen.
(6) Met het oog op rechtszekerheid en een duidelijk toepassingsgebied van de regels die gelden voor het verrichten van betalings- en elektronischgelddiensten, is het noodzakelijk de categorieën betalingsdienstaanbieders te specificeren die onderworpen zijn aan de verplichtingen inzake het verrichten van betalingsdiensten en elektronischgelddiensten in de hele Unie.
(7) Er zijn verschillende categorieën betalingsdienstaanbieders. Kredietinstellingen nemen deposito’s van gebruikers aan die kunnen worden gebruikt om betalingstransacties uit te voeren. Zij zijn toegelaten op grond van Richtlijn 2013/36/EU van het Europees Parlement en de Raad36. Betalingsinstellingen nemen geen deposito’s aan. Zij kunnen geld van gebruikers aanhouden en elektronisch geld uitgeven dat kan worden gebruikt om betalingstransacties uit te voeren. Zij beschikken over een vergunning overeenkomstig Richtlijn (EU) XXX [PSD3]. Postcheque- en girodiensten die daartoe krachtens de nationale wetgeving gemachtigd zijn, kunnen ook elektronischgeld- en betalingsdiensten aanbieden. Andere categorieën betalingsdienstaanbieders zijn de Europese Centrale Bank (ECB) en nationale centrale banken wanneer zij niet optreden in hun hoedanigheid van monetaire autoriteit of andere overheidsinstanties, en de lidstaten of hun regionale of lokale autoriteiten wanneer zij niet optreden in hun hoedanigheid van overheid.
(8) Het is passend de dienst die erin bestaat dat contanten van een betaalrekening kunnen worden opgenomen, los te koppelen van het houden van een betaalrekening, aangezien de aanbieders van diensten voor het opnemen van contanten geen betaalrekeningen mogen houden. De diensten van de uitgifte van betaalinstrumenten en de acceptatie van betalingstransacties, die samen zijn opgenomen in punt 5 van de bijlage bij Richtlijn (EU) 2015/2366 alsof de ene niet zonder de andere zou kunnen worden aangeboden, moeten als twee verschillende betalingsdiensten worden gepresenteerd. Een afzonderlijke opsomming van de uitgifte- en de acceptatiedienst moet, samen met afzonderlijke definities van elke dienst, verduidelijken dat de uitgifte- en de acceptatiedienst afzonderlijk door betalingsdienstaanbieders kunnen worden aangeboden.
(9) De uitsluiting van bepaalde categorieën exploitanten van geldautomaten uit het toepassingsgebied van Richtlijn (EU) 2015/2366 is in de praktijk moeilijk toepasbaar gebleken. Daarom moet de categorie exploitanten van geldautomaten die op grond van Richtlijn (EU) 2015/2366 zijn uitgesloten van de verplichting om een vergunning als betalingsdienstaanbieder te hebben, worden vervangen door een nieuwe categorie exploitanten van geldautomaten die geen betaalrekeningen houden. Hoewel die exploitanten niet onderworpen zijn aan de vergunningsvereisten uit hoofde van Richtlijn (EU) XXX [PSD3], moeten zij wel onderworpen worden aan vereisten inzake de transparantie van vergoedingen in situaties waarin dergelijke exploitanten van geldautomaten kosten in rekening brengen voor het opnemen van contanten.
(10) Om de toegang tot contanten verder te verbeteren, wat een prioriteit van de Commissie is, moet het handelaren worden toegestaan om in fysieke winkels contantgelddienstverlening aan te bieden, zelfs als de cliënt geen aankoop doet, zonder dat zij daarvoor een vergunning als betalingsdienstaanbieder hoeven te verkrijgen of zonder dat zij een agent van een betalingsinstelling hoeven te zijn. Deze contantgelddienstverlening moet echter worden onderworpen aan de verplichting om eventuele aan de cliënt aangerekende vergoedingen bekend te maken. Deze diensten moeten door detailhandelaren op vrijwillige basis worden verleend en moeten afhangen van de beschikbaarheid van contant geld bij de detailhandelaar.
(11) De uitsluiting uit het toepassingsgebied van Richtlijn (EU) 2015/2366 van betalingstransacties die door de betaler aan de begunstigde worden verricht via een handelsagent die handelt voor rekening van de betaler of de begunstigde is in de lidstaten op zeer uiteenlopende wijze toegepast. Het begrip handelsagent wordt doorgaans gedefinieerd in het nationale burgerlijk recht, dat van lidstaat tot lidstaat kan verschillen, wat leidt tot een inconsistente behandeling van dezelfde diensten in verschillende rechtsgebieden. Het begrip handelsagent in het kader van deze uitsluiting moet derhalve worden geharmoniseerd en verduidelijkt door te verwijzen naar de definitie van handelsagent in Richtlijn 86/653/EEG van de Raad37. Daarnaast moet meer duidelijkheid worden verschaft over de voorwaarden waaronder betalingstransacties van de betaler aan de begunstigde via handelsagenten van het toepassingsgebied van deze verordening kunnen worden uitgesloten. Dit wordt bereikt door te eisen dat agenten door middel van een overeenkomst met de betaler of de begunstigde worden gemachtigd om uitsluitend namens de betaler of uitsluitend namens de begunstigde, maar niet namens beiden, te onderhandelen over de verkoop of aankoop van goederen of diensten of deze af te sluiten, ongeacht of de handelsagent al dan niet in het bezit is van de geldmiddelen van de cliënt. Platforms voor elektronische handel die optreden als handelsagent namens zowel individuele kopers als verkopers zonder dat de kopers of verkopers over een reële marge van autonomie beschikken om te onderhandelen over de verkoop of aankoop van goederen of diensten of deze af te sluiten, mogen niet van het toepassingsgebied van deze verordening worden uitgesloten. De Europese Bankautoriteit (EBA) moet richtsnoeren opstellen voor de uitsluiting van betalingstransacties van de betaler aan de begunstigde via een handelsagent om meer duidelijkheid en convergentie tussen de bevoegde autoriteiten te verschaffen. Deze richtsnoeren kunnen een register van gebruiksgevallen omvatten die doorgaans onder de uitsluiting van handelsagenten vallen.
(12) De uitsluiting uit het toepassingsgebied van Richtlijn (EU) 2015/2366 met betrekking tot instrumenten voor specifieke doeleinden is in de lidstaten verschillend toegepast, hoewel dienstaanbieders wier instrumenten onder die uitsluiting vielen, verplicht waren hun activiteiten aan de bevoegde autoriteiten aan te melden. De EBA heeft verdere richtsnoeren verstrekt in haar “Richtsnoeren betreffende de uitsluiting voor beperkte netwerken overeenkomstig de PSD2” van 24 februari 202238. Ondanks deze pogingen om de toepassing van de uitsluiting met betrekking tot instrumenten voor specifieke doeleinden te verduidelijken, zijn er nog steeds dienstaanbieders die diensten waarbij aanzienlijke betalingsvolumes en een verscheidenheid aan producten betrokken zijn, aanbieden aan een groot aantal cliënten die van die uitsluiting gebruik willen maken. In deze gevallen profiteren consumenten niet van de nodige waarborgen en mogen de diensten niet profiteren van de uitsluiting voor instrumenten voor specifieke doeleinden. Daarom moet worden verduidelijkt dat het niet mogelijk mag zijn één en hetzelfde instrument voor specifieke doeleinden te gebruiken voor betalingstransacties ten behoeve van de aankoop van goederen en diensten binnen meer dan één beperkt netwerk, noch voor de aankoop van een onbeperkte reeks goederen en diensten.
(13) Om te beoordelen of een beperkt netwerk van het toepassingsgebied moet worden uitgesloten, moet rekening worden gehouden met de geografische locatie van de acceptatiepunten van dat netwerk en met het aantal acceptatiepunten. Instrumenten voor specifieke doeleinden moeten de houder in staat stellen goederen of diensten uitsluitend in de fysieke bedrijfsruimten van de uitgever aan te kopen, terwijl gebruik in een onlinewinkelomgeving niet onder het begrip bedrijfsruimten van de uitgever mag vallen. Instrumenten voor specifieke doeleinden moeten, afhankelijk van de respectieve contractuele regeling, kaarten omvatten die alleen in een bepaalde winkelketen of een bepaald winkelcentrum kunnen worden gebruikt, tankkaarten, lidmaatschapskaarten, openbaarvervoerkaarten, parkeerbewijzen, maaltijdbonnen of vouchers voor specifieke diensten, die onderworpen kunnen zijn aan een specifiek rechtskader inzake belastingen of arbeid dat bedoeld is om het gebruik van dergelijke instrumenten te bevorderen om de doelstellingen van de sociale wetgeving te verwezenlijken, zoals kinderopvangbonnen of ecologische vouchers. Instrumenten voor specifieke doeleinden moeten ook op elektronisch geld gebaseerde instrumenten omvatten zodra zij aan de vereisten van deze uitsluiting voldoen. Betaalinstrumenten die voor aankopen in winkels van geregistreerde handelaren kunnen worden gebruikt, mogen niet worden uitgesloten, omdat die instrumenten juist zijn bedoeld voor een netwerk van dienstaanbieders dat voortdurend aangroeit.
(14) De uitsluiting voor bepaalde betalingstransacties via telecommunicatie- of IT-toestellen moet specifiek zijn gericht op microbetalingen voor digitale inhoud en spraakgestuurde diensten. Er moet een duidelijke verwijzing naar betalingstransacties voor de aankoop van elektronische tickets worden bewaard, zodat cliënten met behulp van mobiele telefoons of andere apparaten nog steeds gemakkelijk elektronische tickets vanaf elke locatie en op elk tijdstip kunnen bestellen, betalen, verkrijgen en valideren. Met elektronische tickets wordt het mogelijk en makkelijk diensten te verstrekken die consumenten anders in een papieren versie zouden aanschaffen. Het gaat daarbij onder meer over vervoer, amusement, parkeerdiensten en toegang tot locaties, met uitsluiting van fysieke goederen. Betalingstransacties van een gespecificeerde aanbieder van elektronischecommunicatienetwerken die worden verricht vanaf of via een elektronisch apparaat en die in rekening worden gebracht aan de desbetreffende rekening om liefdadige giften in te zamelen, moeten eveneens worden uitgesloten. De uitsluiting moet alleen van toepassing zijn wanneer de waarde van betalingstransacties onder een bepaalde drempel ligt.
(15) De gemeenschappelijke betalingsruimte voor de euro (Single Euro Payments Area — SEPA) heeft de oprichting van Uniebrede “betalingscentrales” (“payment factories”) en “ontvangstcentrales” (“collection factories”) gefaciliteerd, waardoor de betalingstransacties van dezelfde groep kunnen worden gecentraliseerd. In dit verband moeten betalingstransacties tussen een moederonderneming en haar dochteronderneming of tussen dochterondernemingen van dezelfde moederonderneming die worden verricht door een tot dezelfde groep behorende betalingsdienstaanbieder van het toepassingsgebied van deze verordening worden uitgesloten. Indien de moederonderneming of haar dochteronderneming voor rekening van een groep betalingsopdrachten in ontvangst neemt met het oog op de latere doorgifte ervan aan een betalingsdienstaanbieder, mag dat niet als een betalingsdienst worden beschouwd.
(16) Het aanbieden van betalingsdiensten vereist de ondersteuning van technische diensten. Deze technische diensten omvatten de verwerking en opslag van gegevens, betalingsgatewaydiensten, vertrouwens- en privacybeschermingsdiensten, authenticatie van gegevens en entiteiten, de levering van informatietechnologie (IT) en communicatienetwerken, het aanbieden en onderhouden van consumentgerichte interfaces die worden gebruikt om betalingsinformatie te verzamelen, met inbegrip van terminals en apparatuur die voor betalingsdiensten worden gebruikt. Betalingsinitiatiediensten en rekeninginformatiediensten zijn geen technische diensten.
(17) Technische diensten zijn geen betalingsdiensten als zodanig, aangezien technischedienstaanbieders op geen enkel moment in het bezit komen van de over te maken geldmiddelen. Zij moeten daarom van de definitie van betalingsdiensten worden uitgesloten. Voor deze diensten moeten echter bepaalde vereisten gelden, zoals die inzake aansprakelijkheid voor het niet ondersteunen van de toepassing van sterke cliëntauthenticatie, of de verplichting om uitbestedingsovereenkomsten met betalingsdienstaanbieders te sluiten indien aanbieders van technische diensten de elementen van sterke cliëntauthenticatie moeten verstrekken en verifiëren. Er moeten ook voorschriften zijn voor de beëindigingsvergoeding van raamovereenkomsten wanneer betalingsdiensten samen met technische diensten worden aangeboden.
(18) Rekening houdend met de snelle ontwikkeling van de markt voor retailbetalingen en de opkomst van nieuwe betalingsdiensten en -oplossingen, is het passend een aantal definities van Richtlijn (EU) 2015/2366 aan de realiteit van de markt aan te passen om ervoor te zorgen dat de Uniewetgeving geschikt blijft voor het beoogde doel en technologieneutraal blijft.
(19) De verduidelijking van het proces en de verschillende stappen die bij de uitvoering van een betalingstransactie moeten worden gevolgd, is van groot belang voor de rechten en plichten van de bij een betalingstransactie betrokken partijen en voor de toepassing van sterke cliëntauthenticatie. Het proces dat tot de uitvoering van een betalingstransactie leidt, wordt hetzij door de betaler, hetzij namens hem, hetzij door de begunstigde geïnitieerd. De betaler initieert de betalingstransactie door een betalingsopdracht te plaatsen. Zodra de betalingsopdracht is geplaatst, controleert de betalingsdienstaanbieder of de transactie is toegestaan en geauthenticeerd, onder meer, in voorkomend geval, door sterke cliëntauthenticatie toe te passen, waarna de betalingsdienstaanbieder de betalingsopdracht valideert. De betalingsdienstaanbieder neemt vervolgens de nodige stappen om de betalingstransactie uit te voeren, met inbegrip van de geldovermaking.
(20) Gezien de uiteenlopende standpunten die de Commissie in haar evaluatie van de uitvoering van Richtlijn (EU) 2015/2366 heeft vastgesteld en waarop de Europese Bankautoriteit (EBA) in haar advies van 23 juni 2022 over de evaluatie van Richtlijn (EU) 2015/2366 heeft gewezen, moet de definitie van betaalrekeningen worden verduidelijkt. Het bepalende criterium voor de kwalificatie van een rekening als betaalrekening is de mogelijkheid om vanaf een dergelijke rekening dagelijkse betalingstransacties uit te voeren. De mogelijkheid om vanaf een rekening betalingstransacties te verrichten met een derde partij of om profijt te trekken van dergelijke transacties die door een derde worden verricht, is een wezenlijk kenmerk van het begrip betaalrekening. Daarom moet een betaalrekening worden gedefinieerd als een rekening die wordt gebruikt voor het verzenden en ontvangen van geldmiddelen van en naar derden. Elke rekening die deze kenmerken bezit, moet als betaalrekening worden beschouwd en moet toegankelijk zijn voor het aanbieden van betalingsinitiatie- en rekeninginformatiediensten. Situaties waarin een andere intermediaire rekening nodig is om betalingstransacties van of aan derden uit te voeren, mogen niet onder de definitie van betaalrekening vallen. Spaarrekeningen worden niet gebruikt voor het verzenden en ontvangen van geldmiddelen van of naar een derde partij, zodat zij niet onder de definitie van betaalrekening vallen.
(21) Gezien de opkomst van nieuwe soorten betaalinstrumenten en de onzekerheid op de markt over de juridische kwalificatie ervan, moet de definitie van een “betaalinstrument” nader worden gespecificeerd door enkele voorbeelden te geven ter illustratie van wat al dan niet een betaalinstrument is, rekening houdend met het beginsel van technologieneutraliteit.
(22) Near-Field Communication (NFC) maakt weliswaar het initiëren van een betalingstransactie mogelijk, maar NFC als een volwaardig “betaalinstrument” beschouwen zou een aantal uitdagingen met zich meebrengen, bijvoorbeeld voor de toepassing van sterke cliëntauthenticatie voor contactloze betalingen op het verkooppunt en voor de aansprakelijkheidsregeling van de betalingsdienstaanbieder. NFC moet daarom eerder worden beschouwd als een functionaliteit van een betaalinstrument en niet als een betaalinstrument als zodanig.
(23) De definitie van “betaalinstrument” in Richtlijn (EU) 2015/2366 verwees naar een “gepersonaliseerd instrument”. Aangezien er vooraf betaalde kaarten zijn waarbij de naam van de houder van het instrument niet op de kaart wordt afgedrukt, zou de toepassing van deze verwijzing dergelijke kaarten buiten de werkingssfeer van de definitie van een betaalinstrument kunnen laten. De definitie van “betaalinstrument” moet daarom worden gewijzigd om te verwijzen naar “geïndividualiseerde” in plaats van “gepersonaliseerde” instrumenten, waarbij wordt verduidelijkt dat vooraf betaalde kaarten waarbij de naam van de houder van het instrument niet op de kaart wordt afgedrukt, binnen het toepassingsgebied van deze verordening vallen.
(24) Zogenaamde digitale “doorgifteportemonnees”, die de tokenisering van een bestaand betaalinstrument, bijvoorbeeld een betaalkaart, inhouden, moeten worden beschouwd als technische diensten en moeten derhalve van de definitie van betaalinstrument worden uitgesloten, aangezien een token volgens de Commissie niet kan worden beschouwd als een betaalinstrument zelf, maar veeleer als een “betalingsapplicatie” in de zin van artikel 2, punt 21, van Verordening (EU) 2015/751 van het Europees Parlement en de Raad39. Sommige andere categorieën digitale portemonnees, namelijk vooraf betaalde elektronische portemonnees, zoals “gefaseerde portemonnees”, waarbij gebruikers geld kunnen opslaan voor toekomstige onlinetransacties, moeten echter als een betaalinstrument en de uitgifte ervan als een betalingsdienst worden beschouwd.
(25) De technologische ontwikkelingen sinds de vaststelling van Richtlijn (EU) 2015/2366 hebben de wijze waarop rekeninginformatiediensten worden verstrekt, veranderd. De ondernemingen die deze diensten aanbieden, verstrekken betalingsdienstgebruikers een onlineoverzicht van de gegevens betreffende de betaalrekeningen of -rekeningen die zij bij een of meer betalingsdienstaanbieders aanhouden, en waartoe zij via een online-interface van de rekeninghoudende betalingsdienstaanbieder toegang hebben. Betalingsdienstgebruikers hebben dus onmiddellijk en op elk moment een algemeen en gestructureerd beeld van hun betaalrekeningen.
(26) In de evaluatie van de Commissie werd benadrukt dat vergunninghoudende rekeninginformatiedienstaanbieders soms betaalrekeninggegevens die zij hebben geaggregeerd niet verstrekken aan de consument van wie zij toestemming hebben gekregen om toegang te krijgen tot de gegevens en deze te aggregeren, maar aan een andere partij, zodat deze met gebruikmaking van de gegevens andere diensten kan verlenen aan de consument. De meningen lopen echter uiteen over de vraag of deze activiteit onder de gereguleerde rekeninginformatiedienst valt. De Commissie is van mening dat deze “vergunning-als-dienst”-ontwikkeling van het bedrijfsmodel van “open bankieren” een bron van innovatieve, op gegevens gebaseerde diensten kan zijn, die uiteindelijk aan de eindgebruikers ten goede komt. Dit bedrijfsmodel stelt eindgebruikers immers in staat toegang te verlenen tot hun betaalrekeninggegevens om andere, niet-betalingsdiensten te ontvangen, waaronder kredietverstrekking, boekhouding en kredietwaardigheidsbeoordeling. Het is echter van essentieel belang dat betalingsdienstgebruikers precies weten wie toegang heeft tot hun betaalrekeninggegevens, op welke rechtsgronden en met welk doel. Betalingsdienstgebruikers moeten volledig op de hoogte worden gesteld van en toestemming geven voor de doorgifte van hun gegevens aan een andere onderneming. Dat nieuwe, op open bankieren gebaseerde bedrijfsmodel vereist een wijziging van de definitie van rekeninginformatiediensten om te verduidelijken dat de door de vergunninghoudende rekeninginformatiedienstaanbieder geaggregeerde informatie mag worden doorgegeven aan een derde partij om deze in staat te stellen, met toestemming van de eindgebruiker, een andere dienst aan de eindgebruiker te verlenen. Om consumenten voldoende bescherming voor hun betaalrekeninggegevens te bieden evenals rechtszekerheid over de status van entiteiten die toegang hebben tot hun gegevens, moet de dienst in verband met de gegevensaggregatie van betaalrekeningen altijd worden verleend door een gereglementeerde entiteit op basis van een vergunning, zelfs wanneer de gegevens uiteindelijk aan een andere dienstaanbieder worden doorgegeven.
(27) Een geldtransfer is een betalingsdienst, doorgaans op basis van contanten welke door een betaler, zonder dat op naam van de betaler of de begunstigde betaalrekeningen worden aangemaakt, worden verstrekt aan een betalingsdienstaanbieder die het overeenkomstige bedrag overmaakt aan een begunstigde of aan een andere, voor rekening van de begunstigde handelende betalingsdienstaanbieder. In sommige lidstaten bieden supermarkten, handelaren en detailhandelaars het publiek een dienst aan die het publiek in staat stelt zijn rekeningen van nutsbedrijven en andere terugkerende huishoudelijke rekeningen te voldoen. Deze diensten voor het betalen van rekeningen moeten worden behandeld als geldtransfers.
(28) De definitie van geldmiddelen moet betrekking hebben op alle vormen van centralebankgeld dat voor retailgebruik wordt uitgegeven, met inbegrip van bankbiljetten en munten, en alle mogelijke toekomstige digitale centralebankgeld, elektronisch geld en commerciëlebankgeld. Centralebankgeld dat is uitgegeven voor gebruik tussen de centrale bank en commerciële banken, d.w.z. voor groothandelsgebruik, mag niet onder deze verordening vallen.
(29) Verordening (EU) 2023/1114 van 31 mei 2023 betreffende cryptoactivamarkten bepaalt dat e-moneytokens als elektronisch geld worden beschouwd. Als elektronisch geld vallen e-moneytokens daarom onder de definitie van geldmiddelen in deze verordening.
(30) Om het vertrouwen van de houder van elektronisch geld te behouden, moet elektronisch geld terugbetaalbaar zijn. Terugbetaalbaarheid impliceert niet dat de geldmiddelen die in ruil voor elektronisch geld worden ontvangen, moeten worden beschouwd als deposito’s of andere terugbetaalbare gelden in de zin van Richtlijn 2013/36/EU40. Terugbetaalbaarheid moet altijd mogelijk zijn en betrekking hebben op het nominale bedrag, zonder dat de mogelijkheid bestaat om een onderdrempel voor terugbetaling overeen te komen. De terugbetaling moet normaal gesproken kosteloos zijn. Het moet het echter mogelijk zijn een evenredige en op de gemaakte kosten gebaseerde vergoeding te vragen, onverminderd de nationale wetgeving inzake fiscale of sociale aangelegenheden, alsook enigerlei verplichtingen die op de uitgever van elektronisch geld rusten uit hoofde van andere relevante Unierechtelijke of nationale wetgeving, zoals voorschriften ter bestrijding van het witwassen van geld en terrorismefinanciering, elke maatregel gericht op het bevriezen van geldmiddelen of een specifieke maatregel in verband met preventie van of onderzoek naar misdrijven.
(31) Betalingsdienstaanbieders hebben toegang tot betalingssystemen nodig om betalingsdiensten aan gebruikers aan te bieden. Tot die betalingssystemen behoren met name vierpartijenbetaalkaartsystemen, alsmede de grote systemen voor de verwerking van overmakingen en automatische afschrijvingen. Om te garanderen dat de verschillende categorieën vergunninghoudende betalingsdienstaanbieders in de gehele Unie een gelijke behandeling genieten, moeten de regels betreffende de toegang tot betalingssystemen worden verduidelijkt. Deze toegang kan direct of indirect via een andere deelnemer aan dat betalingssysteem plaatsvinden. Voor dergelijke toegang moeten eisen gelden die de integriteit en stabiliteit van die betalingssystemen waarborgen. Daartoe moet de exploitant van een betalingssysteem een risicobeoordeling uitvoeren van een betalingsdienstaanbieder die directe deelname aanvraagt; bij die risicobeoordeling moeten alle relevante risico’s worden onderzocht, met inbegrip van, in voorkomend geval, het afwikkelingsrisico, operationeel risico, kredietrisico, liquiditeitsrisico en bedrijfsrisico. Elke betalingsdienstaanbieder die om deelname in een betalingssysteem verzoekt, moet het risico van zijn keuze voor dat systeem dragen en aan het betalingssysteem het bewijs leveren dat zijn interne regelingen voldoende tegen die soorten risico’s bestand zijn. Exploitanten van betalingssystemen mogen een aanvraag voor rechtstreekse deelname van een betalingsdienstaanbieder alleen afwijzen indien de betalingsdienstaanbieder niet in staat is de regels van het systeem na te leven of een onaanvaardbaar hoog risiconiveau oplevert.
(32) Exploitanten van betalingssystemen moeten beschikken over regels en procedures inzake toegang die evenredig, objectief niet-discriminerend en transparant zijn. Exploitanten van betalingssystemen mogen betalingsinstellingen niet discrimineren wat betreft deelname als de systeemregels kunnen worden nageleefd en er geen onaanvaardbaar risico voor het systeem bestaat. Dergelijke systemen omvatten onder meer de systemen die zijn aangewezen in het kader van Richtlijn 98/26/EG van het Europees Parlement en de Raad41. In gevallen waarin het betrokken betalingssysteem reeds onderworpen is aan toezicht door het Europees Stelsel van centrale banken uit hoofde van Verordening (EU) nr. 795/2014 van de Europese Centrale Bank42, moet(en) de centrale bank(en) die dat toezicht uitoefent (uitoefenen), de naleving van die regels in het kader van haar (hun) toezicht monitoren. In het geval van andere betalingssystemen moeten de lidstaten nationale bevoegde autoriteiten aanwijzen om ervoor te zorgen dat de exploitanten van betaalsysteeminfrastructuur aan deze eisen voldoen.
(33) Om eerlijke concurrentie tussen betalingsdienstaanbieders te garanderen, moet een deelnemer aan een betalingssysteem die met dat systeem verband houdende diensten aanbiedt aan vergunninghoudende of in het register ingeschreven betalingsdienstaanbieders, desgevraagd ook aan alle andere vergunninghoudende of in het register ingeschreven betalingsdienstaanbieders op een objectieve, evenredige en niet-discriminerende manier toegang tot die diensten verlenen.
(34) De bepalingen betreffende de toegang tot betalingssystemen gelden niet voor systemen die door één betalingsdienstaanbieder zijn opgericht en worden geëxploiteerd. Die systemen functioneren soms in rechtstreekse concurrentie met andere betalingssystemen of, vaker, in een marktsegment dat niet door andere betalingssystemen wordt bestreken. Tot deze betalingssystemen behoren driepartijensystemen, waaronder driepartijenbetaalkaartsystemen, voor zover deze systemen nooit functioneren als de facto vierpartijenbetaalkaartsystemen, onder meer door een beroep te doen op vergunninghouders, agenten of co-brandingpartners. Tot die systemen behoren met name door telecommunicatieaanbieders aangeboden betalingsdiensten waarbij de exploitant van het systeem de betalingsdienstaanbieder van zowel de betaler als de begunstigde is, en de interne systemen van bankgroepen. Om de concurrentie die voor gevestigde klassieke betalingssystemen van dergelijke gesloten betalingssystemen kan uitgaan, te stimuleren, mag aan derden geen toegang tot die gesloten particuliere betalingssystemen worden verleend. Dergelijke gesloten systemen moeten evenwel te allen tijde onderworpen zijn aan het mededingingsrecht van de Unie en van de lidstaten waarvan de regels, met het oog op de instandhouding van effectieve concurrentie op de betaalmarkten, wellicht kunnen gebieden dat toegang tot dergelijke systemen wordt verleend.
(35) Betalingsinstellingen moeten een rekening bij een kredietinstelling kunnen openen en aanhouden om te voldoen aan hun vergunningsvereisten met betrekking tot het beschermen van geldmiddelen van cliënten. Zoals met name blijkt uit het advies van de EBA van 5 januari 202243, worden sommige betalingsinstellingen of ondernemingen die een vergunning voor betalingsinstellingen aanvragen, ondanks de bepalingen inzake betaalrekeningen bij een commerciële bank van Richtlijn (EU) 2015/2366, echter nog steeds geconfronteerd met praktijken van sommige kredietinstellingen die weigeren een rekening voor hen te openen of die een rekening sluiten als er een rekening bestaat, op basis van een vermeend hoger risico op witwassen of terrorismefinanciering. Deze zogenaamde “risicoverminderende” praktijken leiden tot aanzienlijke concurrentie-uitdagingen voor betalingsinstellingen.
(36) Kredietinstellingen moeten daarom een betaalrekening aanbieden aan betalingsinstellingen en aan aanvragers van een vergunning als betalingsinstelling, alsmede aan hun agenten en distributeurs, behalve in uitzonderlijke gevallen waarin er ernstige redenen zijn om toegang te weigeren. Aanvragers van een vergunning als betalingsinstelling moeten in die bepaling worden opgenomen, aangezien een bankrekening waarop de geldmiddelen van cliënten kunnen worden beschermd, een voorwaarde is voor het verkrijgen van een vergunning voor een betalingsinstelling. Tot de weigeringsgronden behoren onder meer ernstige gronden voor het vermoeden van illegale activiteiten van of via de betalingsinstelling, of een bedrijfsmodel of risicoprofiel dat ernstige risico’s of buitensporige nalevingskosten voor de kredietinstelling met zich meebrengt. Bedrijfsmodellen waarbij betalingsinstellingen gebruikmaken van een uitgebreid netwerk van agenten kunnen bijvoorbeeld aanzienlijke nalevingskosten met zich meebrengen voor de bestrijding van witwassen en terrorismefinanciering (AML/CFT). Een betalingsinstelling moet het recht hebben tegen een weigering van een kredietinstelling beroep in te stellen bij een door een lidstaat aangewezen bevoegde autoriteit. Om de uitoefening van dat recht op beroep te vergemakkelijken, moeten kredietinstellingen schriftelijk en uitvoerig motiveren waarom zij weigeren een rekening te verstrekken of waarom zij een rekening sluiten. Die motivering moet betrekking hebben op specifieke elementen die verband houden met de betrokken betalingsinstelling, en niet op algemene overwegingen. Om de behandeling door de bevoegde autoriteiten van beroepen tegen weigering of intrekking van rekeningen en de motivering daarvan te vergemakkelijken, moet de EBA technische uitvoeringsnormen ontwikkelen om de presentatie van dergelijke motiveringen te harmoniseren.
(37) Om goed geïnformeerde keuzes te maken en hun betalingsdienstaanbieder binnen de Unie gemakkelijk te kunnen kiezen, moeten betalingsdienstgebruikers vergelijkbare en duidelijke informatie over betalingsdiensten ontvangen. Om ervoor te zorgen dat aan betalingsdienstgebruikers noodzakelijke, toereikende en begrijpelijke informatie over de betalingsdienstenovereenkomst en de betalingstransacties wordt verstrekt, is het noodzakelijk de verplichtingen van betalingsdienstaanbieders met betrekking tot het verstrekken van informatie aan betalingsdienstgebruikers nader te bepalen en te harmoniseren.
(38) Bij het verstrekken van de vereiste informatie aan betalingsdienstgebruikers moeten betalingsdienstaanbieders rekening houden met de behoeften van betalingsdienstgebruikers en met praktische aspecten en kostenefficiëntie, afhankelijk van de respectieve betalingsdienstenovereenkomst. Betalingsdienstaanbieders moeten ofwel actief communiceren op het passende tijdstip zonder dat de betalingsdienstgebruiker daartoe aanleiding geeft, ofwel de informatie ter beschikking stellen van de betalingsdienstgebruikers die daarom verzoeken. In de tweede situatie moeten betalingsdienstgebruikers uit eigen beweging stappen ondernemen om de informatie te verkrijgen, waaronder het uitdrukkelijk opvragen van die informatie bij betalingsdienstaanbieders, het inloggen in een mailbox van een bankrekening of het invoeren van een bankkaart in een printer voor rekeningafschriften. De betalingsdienstaanbieders moeten er daartoe voor zorgen dat toegang tot informatie mogelijk is en dat de informatie voor de betalingsdienstgebruikers beschikbaar is.
(39) Consumenten en ondernemingen verkeren niet in dezelfde positie van kwetsbaarheid en behoeven derhalve niet dezelfde mate van bescherming. Het is belangrijk dat de rechten van consumenten worden gewaarborgd door bepalingen waarvan niet bij overeenkomst kan worden afgeweken, maar redelijkerwijs moeten ondernemingen en organisaties anderszins overeen kunnen komen wanneer zij niet met consumenten te maken hebben. Micro-ondernemingen, zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie44, kunnen op dezelfde manier worden behandeld als consumenten. Bepaalde regels moeten altijd van toepassing zijn, ongeacht de status van de gebruiker.
(40) Om een hoog niveau van consumentenbescherming te handhaven, moeten consumenten het recht hebben kosteloos informatie te ontvangen over de voorwaarden en prijzen van de diensten voordat zij door een betalingsdienstenovereenkomst worden gebonden. Om consumenten in staat te stellen de door betalingsdienstaanbieders aangeboden diensten en voorwaarden te vergelijken en, in geval van een geschil, hun contractuele rechten en verplichtingen te verifiëren, moeten consumenten die informatie en de raamovereenkomst kosteloos en op elk moment tijdens de contractuele relatie op papier kunnen opvragen.
(41) Om de transparantie te vergroten, moeten betalingsdienstaanbieders basisinformatie over uitgevoerde betalingstransacties verstrekken zonder extra kosten voor de consument. In het geval van een eenmalige betalingstransactie mag de betalingsdienstaanbieder voor deze informatie geen afzonderlijke kosten aanrekenen. Evenzo moeten betalingsdienstaanbieders kosteloos en op maandbasis informatie verstrekken over betalingstransacties in het kader van een raamovereenkomst. Gezien het belang van transparantie bij de prijsstelling en de uiteenlopende behoeften van de cliënt, moeten de partijen bij de overeenkomst echter in staat zijn afspraken te maken over de kosten voor frequentere of aanvullende informatie.
(42) Instrumenten voor de betaling van kleine bedragen moeten een goedkoop en gebruiksvriendelijk alternatief vormen bij laaggeprijsde goederen en diensten en mogen niet aan buitensporige voorschriften onderworpen zijn. De voor deze betalingen geldende informatievereisten en de regels voor de uitvoering ervan moeten tot de essentiële informatie beperkt blijven, waarbij voorts rekening wordt gehouden met de technische voorzieningen die redelijkerwijs kunnen worden verwacht van instrumenten die bestemd zijn voor betalingen van kleine bedragen. Ondanks de minder strikte regeling moet de betalingsdienstgebruiker toch een passende bescherming genieten, gelet op het feit dat dergelijke betaalinstrumenten, en vooral vooraf betaalde betaalinstrumenten, beperkte risico’s inhouden.
(43) Bij eenmalige betalingstransacties moet de betalingsdienstaanbieder de essentiële informatie altijd uit eigen beweging verstrekken. Aangezien betalers gewoonlijk aanwezig zijn bij het geven van de betalingsopdracht, hoeft de informatie niet altijd op papier of op een andere duurzame drager te worden verstrekt. Betalingsdienstaanbieders moeten mondeling informatie kunnen verstrekken of anderszins gemakkelijk toegankelijk kunnen maken, onder meer door de voorwaarden op een mededelingenbord in de bedrijfsruimte te vermelden. Er moet ook informatie worden verstrekt over waar andere, meer gedetailleerde informatie kan worden gevonden, zoals de website. Op verzoek van de consument moeten de betalingsdienstaanbieders de essentiële informatie echter ook op papier of op een andere duurzame drager verstrekken.
(44) De vereiste informatie moet in verhouding staan tot de behoeften van de gebruikers. De informatievereisten voor een eenmalige betalingstransactie moeten verschillen van de informatievereisten voor een raamovereenkomst die op een reeks betalingstransacties betrekking heeft.
(45) Om met kennis van zaken een keuze te kunnen maken, moeten betalingsdienstgebruikers de kosten van geldautomaten kunnen vergelijken met die van andere aanbieders. Om de transparantie van de kosten van geldautomaten voor de betalingsdienstgebruiker te vergroten, moeten betalingsdienstaanbieders betalingsdienstgebruikers informatie verstrekken over alle kosten die van toepassing zijn op geldopname aan binnenlandse geldautomaten in verschillende situaties, afhankelijk van de geldautomaat waaraan de betalingsdienstgebruikers contanten opnemen.
(46) Raamovereenkomsten en de betalingstransacties die onder deze overeenkomsten vallen, zijn gebruikelijker en economisch belangrijker dan eenmalige betalingstransacties. In geval van een betaalrekening of een specifiek betaalinstrument is een raamovereenkomst vereist. Daarom moeten de vereisten inzake voorafgaande informatie over raamovereenkomsten volledig zijn en moet de informatie altijd op papier of op een andere duurzame drager worden verstrekt. Betalingsdienstaanbieders en betalingsdienstgebruikers moeten echter in de raamovereenkomst kunnen overeenkomen hoe latere informatie over uitgevoerde betalingstransacties moet worden verstrekt.
(47) Contractuele bepalingen mogen consumenten die legaal in de Unie verblijven, niet discrimineren op grond van hun nationaliteit of verblijfplaats. Indien in een raamovereenkomst in het recht is voorzien om een betaalinstrument vanwege objectief gerechtvaardigde redenen te blokkeren, mag de betalingsdienstaanbieder niet de mogelijkheid hebben dat recht in te roepen louter omdat de betalingsdienstgebruiker binnen de Unie van woonplaats is veranderd.
(48) Teneinde een hoog niveau van consumentenbescherming te garanderen, moeten de lidstaten de mogelijkheid hebben in het belang van de consument restricties of verbodsbepalingen te handhaven of in te voeren ten aanzien van eenzijdige veranderingen in de voorwaarden van een raamovereenkomst, bijvoorbeeld indien er geen gerechtvaardigde reden voor een verandering is.
(49) Om de mobiliteit van betalingsdienstgebruikers te vergemakkelijken, moeten gebruikers een raamovereenkomst zonder kosten kunnen beëindigen. Indien de betalingsdienstgebruiker een overeenkomst echter minder dan zes maanden na de inwerkingtreding ervan beëindigt, moet het betalingsdienstaanbieders toegestaan zijn vergoedingen aan te rekenen in overeenstemming met de kosten die vanwege de beëindiging door de gebruiker van de raamovereenkomst zijn gemaakt. Wanneer betalingsdiensten op grond van een raamovereenkomst samen met technische diensten ter ondersteuning van het aanbieden van betalingsdiensten worden aangeboden, zoals de huur van terminals die voor betalingsdiensten worden gebruikt, mogen betalingsdienstgebruikers niet worden gedwongen bij hun betalingsdienstaanbieder te blijven door middel van strengere voorwaarden die zijn vastgelegd in de contractuele bepalingen die van toepassing zijn op de technische diensten. Om de mededinging in stand te houden, moeten dergelijke contractuele voorwaarden worden onderworpen aan de vereisten van de raamovereenkomst inzake beëindigingsvergoedingen. Voor consumenten zou geen opzegtermijn van meer dan een maand en voor betalingsdienstaanbieders geen opzegtermijn van minder dan twee maanden mogen worden overeengekomen. Deze regels doen geen afbreuk aan de verplichting van de betalingsdienstaanbieder om in uitzonderlijke omstandigheden uit hoofde van ander toepasselijk Unierecht of nationaal recht, zoals dat inzake het witwassen van geld of terrorismefinanciering, elke maatregel gericht op het bevriezen van middelen of een specifieke maatregel in verband met preventie van of onderzoek naar strafbare feiten, de betalingsdienstovereenkomst te beëindigen.
(50) Om vergelijkbaarheid te bereiken, moeten de geraamde valutawisselkosten voor overmakingen en geldtransfers binnen de Unie en van de Unie naar een derde land op dezelfde wijze worden uitgedrukt, namelijk als een procentuele opslag op de recentste beschikbare referentiewisselkoersen van de Europese Centrale Bank (ECB). Wanneer in deze verordening naar “kosten” wordt verwezen, moet dit in voorkomend geval ook betrekking hebben op “valutawisselkosten”.
(51) De ervaring heeft geleerd dat het delen van kosten tussen betaler en begunstigde het efficiëntste systeem is omdat het de automatische verwerking van betalingen van begin tot einde vergemakkelijkt. Er moet derhalve voor worden gezorgd dat rechtstreeks aan de betaler en de begunstigde kosten kunnen worden aangerekend door hun respectieve betalingsdienstaanbieders. Het bedrag van de in rekening gebrachte kosten kan ook nihil zijn, aangezien de regels geen afbreuk mogen doen aan de praktijk waarbij een betalingsdienstaanbieder consumenten geen kosten aanrekent voor de creditering van hun rekeningen. Evenzo staat het een betalingsdienstaanbieder, afhankelijk van de contractuele voorwaarden, vrij alleen aan de begunstigde kosten voor het gebruik van de betalingsdienst in rekening brengen, met als gevolg dat de betaler geen kosten hoeft te betalen. Het is mogelijk dat de kosten voor het betalingssysteem als abonnementsgeld in rekening worden gebracht. De bepalingen inzake het overgemaakte bedrag of in rekening gebrachte kosten zijn niet rechtstreeks van invloed op de tussen de betalingsdienstaanbieders of eventuele intermediairs gehanteerde tarieven.
(52) Een toeslag is een door handelaren aan consumenten aangerekende vergoeding die bovenop de gevraagde prijs voor goederen en diensten wordt toegevoegd wanneer de consument een bepaalde betaalmethode gebruikt. Een van de redenen voor het in rekening brengen van toeslagen is dat consumenten worden doorverwezen naar goedkopere of efficiëntere betaalinstrumenten, waardoor de concurrentie tussen alternatieve betaalmethoden wordt bevorderd. In het kader van de bij Richtlijn (EU) 2015/2366 ingevoerde regeling konden begunstigden geen kosten vragen voor het gebruik van betaalinstrumenten waarvoor afwikkelingsvergoedingen zijn gereguleerd uit hoofde van hoofdstuk II van Verordening (EU) 2015/751, d.w.z. voor debet- en kredietkaarten van consumenten die zijn uitgegeven in het kader van vierpartijenbetaalkaartsystemen, en voor betalingsdiensten waarop Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad45 van toepassing is, d.w.z. overmakingen en automatische afschrijvingen binnen de Unie die luiden in euro. Op grond van Richtlijn (EU) 2015/2366 mochten de lidstaten het recht van de begunstigde om kosten te vragen, verder verbieden of beperken, rekening houdend met de noodzaak om de mededinging aan te moedigen en het gebruik van efficiënte betaalinstrumenten te bevorderen.
(53) Uit de gegevens die bij de evaluatie van Richtlijn (EU) 2015/2366 zijn verzameld, blijkt dat de huidige regels inzake kosten passend zijn en een positief effect hebben gehad. Er is geen dwingende behoefte aan verdere onderlinge afstemming van de kostenpraktijken tussen de lidstaten, aangezien het bestaande verbod op toeslagen reeds van toepassing is op een zeer groot deel van de betalingen in de Unie. Naar schatting geldt voor 95 % van de kaartbetalingen het bestaande verbod op toeslagen. Wanneer een toeslag wordt toegepast, is deze bovendien gemaximeerd op de werkelijke kosten van de handelaar. Bij haar evaluatie van Richtlijn (EU) 2015/2366 heeft de Commissie echter verschillende interpretaties vastgesteld met betrekking tot de betaalinstrumenten die onder het verbod op toeslagen vallen. Daarom moet het verbod op toeslagen uitdrukkelijk worden uitgebreid tot alle overmakingen en automatische afschrijvingen en niet alleen tot die welke onder Verordening (EU) nr. 260/2012 vallen, zoals het geval was bij Richtlijn (EU) 2015/2366.
(54) Rekeninginformatiediensten en betalingsinitiatiediensten, samen vaak “diensten inzake open bankieren” genoemd, zijn betalingsdiensten die toegang tot de gegevens van een betalingsdienstgebruiker inhouden voor betalingsdienstaanbieders die geen geldmiddelen van de rekeninghouder aanhouden noch een betaalrekening aanbieden. Rekeninginformatiediensten maken het mogelijk de gegevens van een gebruiker, op verzoek van de betalingsdienstgebruiker, met verschillende rekeninghoudende betalingsdienstaanbieders op één plaats samen te voegen. Betalingsinitiatiediensten maken het mogelijk een betaling vanaf de rekening van de gebruiker, zoals een overmaking of een automatische afschrijving, op een voor de gebruiker en de begunstigde gemakkelijke manier te initiëren zonder gebruik te maken van een instrument zoals een betaalkaart.
(55) Rekeninghoudende betalingsdienstaanbieders moeten rekeninginformatie- en betalingsinitiatiedienstaanbieders toegang verlenen tot betaalrekeninggegevens indien de betaalrekening voor de betalingsdienstgebruiker online toegankelijk is en de betalingsdienstgebruiker toestemming voor die toegang heeft verleend. Richtlijn (EU) 2015/2366 was gebaseerd op het beginsel van toegang tot betaalrekeninggegevens zonder dat er een contractuele relatie nodig was tussen de rekeninghoudende betalingsdienstaanbieder en de rekeninginformatie- en betalingsinitiatiedienstaanbieders, hetgeen tot gevolg had dat het in de praktijk niet mogelijk was om kosten in rekening te brengen voor toegang tot gegevens. De toegang tot gegevens in het kader van open bankieren vindt sinds de toepassing van Richtlijn (EU) 2015/2366 plaats op een dergelijke niet-contractuele basis en zonder kosten. Indien gereguleerde datatoegangsdiensten zouden worden onderworpen aan een kostprijs, waar er tot dusver geen kostprijs was, zou het effect op de voortzetting van deze diensten, en dus op de mededinging en innovatie op de betalingsmarkten, zeer aanzienlijk kunnen zijn. Dit beginsel moet derhalve worden gehandhaafd. De handhaving van die aanpak strookt met de hoofdstukken III en IV van het voorstel voor een verordening betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (dataverordening)46, met name artikel 9, lid 3, van dat voorstel inzake een vergoeding, waaraan deze verordening geen afbreuk doet. Het voorstel van de Commissie voor een verordening betreffende de toegang tot financiële gegevens (FIDA) voorziet in een mogelijke vergoeding voor de toegang tot gegevens die door FIDA zal worden gedekt. Een dergelijke regeling zou dus verschillen van die waarop deze verordening betrekking heeft. Dit verschil in behandeling wordt gerechtvaardigd door het feit dat, anders dan voor de toegang tot betaalrekeninggegevens, die sinds de inwerkingtreding van Richtlijn (EU) 2015/2366 door het Unierecht wordt geregeld, de toegang tot andere financiële gegevens nog niet aan regelgeving van de Unie is onderworpen. Er is dus geen risico op verstoring, aangezien deze markt, in tegenstelling tot de toegang tot betaalrekeninggegevens, voor het eerst met FIDA zal worden gereguleerd.
(56) Rekeninghoudende betalingsdienstaanbieders en rekeninginformatie- en betalingsinitiatiedienstaanbieders kunnen een contractuele relatie tot stand brengen, onder meer in het kader van een multilaterale contractuele regeling (bv. een systeem), eventueel met een vergoeding, voor de toegang tot betaalrekeninggegevens en de verlening van andere diensten inzake open bankieren dan die welke op grond van deze verordening vereist zijn. Een voorbeeld van dergelijke diensten met toegevoegde waarde die worden aangeboden via zogenaamde “premium” applicatieprogramma-interfaces (API’s) is de mogelijkheid om toekomstige variabele terugkerende betalingen te plannen. Elke vergoeding voor dergelijke diensten zou na de datum van toepassing in overeenstemming moeten zijn met de hoofdstukken III en IV van de voorgestelde dataverordening, met name wat betreft artikel 9, leden 1 en 2, inzake vergoedingen. Toegang door rekeninginformatie- en betalingsinitiatiedienstaanbieders tot betaalrekeninggegevens die onder deze verordening vallen, zonder dat daarvoor een contractuele relatie vereist is, en dus zonder kosten, moet altijd mogelijk zijn, zelfs in gevallen waarin een multilaterale contractuele regeling (bv. een systeem) van kracht is en dezelfde gegevens ook beschikbaar zijn in het kader van de genoemde multilaterale contractuele overeenkomst.
(57) Om een hoog niveau van beveiliging van de toegang tot en de uitwisseling van gegevens te waarborgen, moet toegang tot betaalrekeningen en de daarin opgenomen gegevens, behoudens specifieke omstandigheden, worden verleend aan rekeninginformatie- en betalingsinitiatiedienstaanbieders via een interface die is ontworpen en bestemd voor “open bankieren”, zoals een API. Daartoe moet de rekeninghoudende betalingsdienstaanbieder een beveiligde communicatie met rekeninginformatie- en betalingsinitiatiedienstaanbieders opzetten. Om onzekerheid te voorkomen over wie toegang heeft tot de gegevens van de betalingsdienstgebruiker, moet de speciale interface rekeninginformatie- en betalingsinitiatiedienstaanbieders in staat stellen zich te identificeren bij de rekeninghoudende betalingsdienstaanbieder en te vertrouwen op alle authenticatieprocedures die de rekeninghoudende betalingsdienstaanbieder aan de betalingsdienstgebruiker aanbiedt. Rekeninginformatie- en betalingsinitiatiedienstaanbieders moeten in de regel de voor hun toegang bestemde interface gebruiken en mogen daarom de cliënteninterface van een rekeninghoudende betalingsdienstaanbieder niet gebruiken voor gegevenstoegang, behalve in gevallen waarin de speciale interface onder de in deze verordening vastgestelde voorwaarden faalt of niet beschikbaar is. In dergelijke omstandigheden zou hun bedrijfscontinuïteit in gevaar komen doordat zij geen toegang hebben tot de gegevens waarvoor zij toestemming hebben gekregen. Het is onontbeerlijk dat rekeninginformatie- en betalingsinitiatiedienstaanbieders te allen tijde toegang hebben tot de gegevens die voor hen onmisbaar zijn om hun cliënten te bedienen.
(58) Om een vlot gebruik van de speciale interface te bevorderen, moeten de technische specificaties ervan naar behoren worden gedocumenteerd en moet de rekeninghoudende betalingsdienstaanbieder een samenvatting openbaar maken. Om de aanbieders van diensten inzake open bankieren in staat te stellen hun toekomstige toegang adequaat voor te bereiden en eventuele technische problemen op te lossen, moet de rekeninghoudende betalingsdienstaanbieder rekeninginformatie- en betalingsinitiatiedienstaanbieders in staat stellen een interface te testen vóór de datum waarop de interface wordt geactiveerd. Alleen vergunninghoudende rekeninginformatie- en betalingsinitiatiedienstaanbieders mogen via die interface toegang krijgen tot betaalrekeninggegevens, hoewel aanvragers van een vergunning als rekeninginformatie- en betalingsinitiatiedienstaanbieders de technische specificaties moeten kunnen raadplegen. Om de interoperabiliteit van verschillende technologische communicatieoplossingen te waarborgen, moet de interface gebruikmaken van communicatienormen die zijn ontwikkeld door internationale of Europese normalisatieorganisaties, waaronder het Europees Comité voor Normalisatie (CEN) of de Internationale Organisatie voor Normalisatie (ISO).
(59) Opdat rekeninginformatie- en betalingsinitiatiedienstaanbieders te allen tijde hun bedrijfscontinuïteit kunnen waarborgen en diensten van hoge kwaliteit aan hun cliënten kunnen verlenen, moet de speciale interface die zij naar verwachting zullen gebruiken, voldoen aan eisen van hoog niveau wat betreft prestaties en functionaliteiten. Hij moet ten minste zorgen voor “gegevenspariteit” met de cliënteninterface die door de rekeninghoudende betalingsdienstaanbieder aan zijn gebruikers wordt verstrekt, en moet dan ook de betaalrekeninggegevens omvatten die ook voor de betalingsdienstgebruikers beschikbaar zijn in de interface die hun door de rekeninghoudende betalingsdienstaanbieder ter beschikking wordt gesteld. Wat betalingsinitiatiediensten betreft, moet de speciale interface niet alleen het initiëren van eenmalige betalingen maar ook van doorlopende opdrachten en automatische afschrijvingen mogelijk maken. Meer gedetailleerde vereisten voor speciale interfaces moeten worden vastgelegd in door de EBA ontwikkelde technische reguleringsnormen.
(60) Gezien de dramatische gevolgen die een langdurige onbeschikbaarheid van een speciale interface zou hebben voor de bedrijfscontinuïteit van rekeninginformatie- en betalingsinitiatiedienstaanbieders, moeten rekeninghoudende betalingsdienstaanbieders deze onbeschikbaarheid onverwijld verhelpen. Rekeninghoudende betalingsdienstaanbieders moeten rekeninginformatie- en betalingsinitiatiedienstaanbieders onverwijld in kennis stellen van dergelijke onbeschikbaarheid van hun speciale interface en van de maatregelen die zijn genomen om deze te verhelpen. Indien een speciale interface niet beschikbaar is en de rekeninghoudende betalingsdienstaanbieder geen doeltreffende alternatieve oplossing aanbiedt, moeten rekeninginformatie- en betalingsinitiatiedienstaanbieders hun bedrijfscontinuïteit kunnen behouden. Zij moeten hun nationale bevoegde autoriteit kunnen verzoeken gebruik te maken van de interface die door de rekeninghoudende betalingsdienstaanbieder aan zijn gebruikers wordt aangeboden totdat de speciale interface opnieuw beschikbaar is. De bevoegde autoriteit moet na ontvangst van het verzoek onverwijld een besluit nemen. In afwachting van het besluit van de autoriteit moeten de verzoekende rekeninginformatie- en betalingsinitiatiedienstaanbieders tijdelijk gebruik kunnen maken van de interface die door de rekeninghoudende betalingsdienstaanbieder aan zijn gebruikers wordt aangeboden. De betrokken bevoegde autoriteit stelt de rekeninghoudende betalingsdienstaanbieder een termijn om de volledige werking van de speciale interface te herstellen, met de mogelijkheid om sancties op te leggen indien dit niet binnen de termijn gebeurt. Alle rekeninginformatie- en betalingsinitiatiedienstaanbieders, en niet alleen die welke het verzoek hebben ingediend, moeten toegang krijgen tot de gegevens die zij nodig hebben om hun bedrijfscontinuïteit te waarborgen.
(61) Een dergelijke tijdelijke rechtstreekse toegang mag geen negatieve gevolgen hebben voor de consument. Rekeninginformatie- en betalingsinitiatiedienstaanbieders moeten zich daarom altijd naar behoren identificeren en al hun verplichtingen nakomen, zoals de beperkingen van de toestemming die hun is verleend, en moeten met name alleen toegang krijgen tot de gegevens die zij nodig hebben om aan hun contractuele verplichtingen te voldoen en de gereguleerde dienst te verlenen. Toegang tot betalingsrekeninggegevens zonder behoorlijke identificatie (“screenscraping”) mag in geen geval worden uitgeoefend.
(62) Aangezien het opzetten van een speciale interface voor bepaalde rekeninghoudende betalingsdienstaanbieders als onevenredig belastend kan worden beschouwd, moet een nationale bevoegde autoriteit een rekeninghoudende betalingsdienstaanbieder op diens verzoek kunnen vrijstellen van de verplichting om over een specifieke gegevenstoegangsinterface te beschikken, en ofwel alleen via zijn “cliënteninterface” toegang tot betaalgegevens aan te bieden, ofwel helemaal geen interface voor gegevenstoegang voor open bankieren aan te bieden. Gegevenstoegang via de cliënteninterface (zonder speciale interface) kan passend zijn in het geval van een zeer kleine rekeninghoudende betalingsdienstaanbieder waarvoor een speciale interface een aanzienlijke financiële en middelenbelasting zou vormen. De vrijstelling van de verplichting om een interface voor gegevenstoegang voor “open bankieren” te onderhouden, kan gerechtvaardigd zijn wanneer de rekeninghoudende betalingsdienstaanbieder een specifiek bedrijfsmodel heeft, bijvoorbeeld wanneer diensten van open bankieren niet relevant zouden zijn voor zijn cliënten. Gedetailleerde criteria voor het verlenen van dergelijke verschillende soorten vrijstellingsbesluiten moeten worden vastgelegd in door de EBA ontwikkelde technische reguleringsnormen.
(63) Om het potentieel van open bankieren in de Unie ten volle te benutten, is het van essentieel belang elke discriminerende behandeling van rekeninginformatie- en betalingsinitiatiedienstaanbieders door rekeninghoudende betalingsdienstaanbieders te voorkomen. Wanneer de betalingsdienstgebruiker heeft besloten gebruik te maken van de diensten van een rekeninginformatiedienstaanbieder of een betalingsinitiatiedienstaanbieder, moet de rekeninghoudende betalingsdienstaanbieder die opdracht op dezelfde wijze behandelen als hij een dergelijk verzoek zou behandelen indien het door de betalingsdienstgebruiker rechtstreeks in zijn “cliënteninterface” wordt gedaan, tenzij de rekeninghoudende betalingsdienstaanbieder objectieve redenen heeft om het verzoek om toegang tot de rekening anders te behandelen, met inbegrip van ernstige vermoedens van fraude.
(64) Voor het aanbieden van betalingsinitiatiediensten moet de rekeninghoudende betalingsdienstaanbieder de betalingsinitiatiedienstaanbieder onmiddellijk na ontvangst van de betalingsopdracht alle voor hem toegankelijke informatie over de uitvoering van de betalingstransactie verstrekken. Soms krijgt de rekeninghoudende betalingsdienstaanbieder meer informatie nadat hij de betalingsopdracht heeft ontvangen, maar voordat hij de betalingstransactie heeft uitgevoerd. Indien relevant voor de betalingsopdracht en de uitvoering van de betalingstransactie, moet de rekeninghoudende betalingsdienstaanbieder die informatie aan de betalingsinitiatiedienstaanbieder verstrekken. De betalingsinitiatiedienstaanbieder moet kunnen gebruikmaken van de informatie die nodig is om de risico’s van niet-uitvoering van de geïnitieerde transactie te beoordelen. Deze informatie is onontbeerlijk om de betalingsinitiatiedienstaanbieder in staat te stellen aan een begunstigde namens wie hij de transactie initieert, een dienst aan te bieden waarvan de kwaliteit kan concurreren met andere elektronische betaalmiddelen waarover de begunstigde beschikt, waaronder betaalkaarten.
(65) Om het vertrouwen in open bankieren te vergroten, is het van essentieel belang dat betalingsdienstgebruikers die rekeninginformatie- en betalingsinitiatiediensten gebruiken, volledige controle hebben over hun gegevens en toegang hebben tot duidelijke informatie over de toestemmingen voor gegevenstoegang die deze betalingsdienstgebruikers aan betalingsdienstaanbieders hebben verleend, met inbegrip van het doel van de toestemming en de betrokken categorieën betaalrekeninggegevens, waaronder identiteitsgegevens van de rekening, de transactie en het rekeningsaldo. Rekeninghoudende betalingsdienstaanbieders moeten daarom aan betalingsdienstgebruikers die van dergelijke diensten gebruikmaken, een “dashboard” ter beschikking stellen voor het monitoren en intrekken of herstellen van de toegang tot gegevens die wordt verleend aan aanbieders van diensten inzake “open bankieren”. Toestemmingen voor het initiëren van eenmalige betalingen mogen niet op dat dashboard aanwezig zijn. Een dashboard mag een betalingsdienstgebruiker niet toestaan nieuwe toestemmingen voor gegevenstoegang vast te stellen met een rekeninginformatie- of betalingsinitiatiedienstaanbieder waartoe geen eerdere toegang tot gegevens is verleend. Rekeninghoudende betalingsdienstaanbieders moeten rekeninginformatie- en betalingsinitiatiedienstaanbieders onverwijld in kennis stellen van elke intrekking van de toegang tot gegevens. Rekeninginformatie- en betalingsinitiatiedienstaanbieders moeten rekeninghoudende betalingsdienstaanbieders onverwijld in kennis stellen van nieuwe en opnieuw ingevoerde toestemmingen voor gegevenstoegang die door betalingsdienstgebruikers zijn verleend, met inbegrip van de geldigheidsduur van de toestemming en het doel ervan (met name of de consolidatie van gegevens ten goede komt aan de gebruiker of aan derden). Een rekeninghoudende betalingsdienstaanbieder mag een betalingsdienstgebruiker op geen enkele wijze aanmoedigen om de aan rekeninginformatie- en betalingsinitiatiedienstaanbieders verleende toestemmingen in te trekken. Het dashboard moet de betalingsdienstgebruiker op een standaardmanier waarschuwen voor het risico van mogelijke contractuele gevolgen van de intrekking van de toegang tot gegevens aan een aanbieder van diensten inzake open bankieren, aangezien het dashboard de contractuele relatie tussen de gebruiker en een aanbieder van diensten inzake “open bankieren” niet beheert, maar het aan de betalingsdienstgebruiker is om dat risico te verifiëren. Een toestemmingsdashboard moet cliënten in staat stellen hun toestemmingen op een geïnformeerde en onpartijdige wijze te beheren en cliënten een sterke mate van controle geven over de wijze waarop hun persoonsgegevens en niet-persoonsgebonden gegevens worden gebruikt. In een toestemmingsdashboard moet in voorkomend geval rekening worden gehouden met de toegankelijkheidsvoorschriften van Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad.
(66) Uit de evaluatie van Richtlijn (EU) 2015/2366 is gebleken dat rekeninginformatie- en betalingsinitiatiedienstaanbieders nog steeds te maken krijgen met tal van ongerechtvaardigde belemmeringen, ondanks het bereikte harmonisatieniveau en het verbod op dergelijke obstakels als bedoeld in artikel 32, lid 3, van Gedelegeerde Verordening (EU) 2018/389 van de Commissie47. Deze belemmeringen beletten nog steeds in sterke mate dat het volledige potentieel van open bankieren in de Unie kan worden benut. Deze belemmeringen worden door rekeninginformatie- en betalingsinitiatiedienstaanbieders regelmatig gemeld aan toezichthouders, regelgevers en de Commissie. Zij werden geanalyseerd door de EBA in haar advies van juni 2020 over “Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC”. Ondanks verduidelijkingen bestaat er op de markt en bij toezichthouders nog steeds veel onzekerheid over wat een “verboden belemmering” voor gereguleerde diensten van open bankieren vormt. Daarom is het absoluut noodzakelijk een duidelijke en niet-uitputtende lijst van dergelijke verboden belemmeringen voor open bankieren op te stellen, waarbij met name wordt uitgegaan van de werkzaamheden van de EBA.
(67) De verplichting om persoonlijke beveiligingsgegevens veilig te bewaren is van uitermate groot belang om de geldmiddelen van de betalingsdienstgebruiker te beschermen en de risico’s inzake fraude en niet-toegestane toegang tot betaalrekeningen te beperken. Voorwaarden of andere verplichtingen die door de betalingsdienstaanbieders aan de betalingsdienstgebruikers worden opgelegd inzake het veilig bewaren van persoonlijke beveiligingsgegevens, moeten echter niet zo worden opgesteld dat betalingsdienstgebruikers geen gebruik kunnen maken van diensten die door andere betalingsdienstaanbieders worden aangeboden, met inbegrip van betalingsinitiatiediensten en rekeninginformatiediensten. Dergelijke voorwaarden mogen geen bepalingen bevatten die het gebruik van de betalingsdiensten van andere op grond van Richtlijn (EU) XXX (PSD3) vergunninghoudende of in het register ingeschreven betalingsdienstaanbieders op enige manier moeilijker zouden maken. Voorts is het passend te specificeren dat voor de activiteiten van betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders de naam van de rekeninghouder en het rekeningnummer geen gevoelige betalingsgegevens vormen.
(68) Om volledig succesvol te zijn, vereist “open bankieren” een robuuste en doeltreffende handhaving van de regels die die activiteit reguleren. Aangezien er op het niveau van de Unie geen enkele autoriteit bestaat om de rechten en plichten van “open bankieren” te handhaven, zijn de nationale bevoegde autoriteiten het eerste niveau voor de handhaving van open bankieren. Het is van essentieel belang dat de nationale bevoegde autoriteiten proactief en rigoureus toezien op de naleving van het gereguleerde kader van de Unie voor “open bankieren”. Ontoereikende handhaving door de betrokken autoriteiten wordt door exploitanten van open bankieren regelmatig genoemd als een van de redenen voor de nog steeds beperkte toepassing ervan in de Unie. De nationale bevoegde autoriteiten moeten over de nodige middelen beschikken om hun handhavingstaken doeltreffend en efficiënt uit te voeren. De nationale bevoegde autoriteiten moeten een soepele en regelmatige dialoog tussen de verschillende actoren van het ecosysteem van “open bankieren” bevorderen en stimuleren. Rekeninghoudende betalingsdienstaanbieders en rekeninginformatie- en betalingsinitiatiedienstaanbieders die hun verplichtingen niet nakomen, moeten aan passende sancties worden onderworpen. Regelmatige monitoring van de markt voor “open bankieren” in de Unie door de bevoegde autoriteiten, gecoördineerd door de EBA, moet de handhaving vergemakkelijken, en het verzamelen van gegevens over de markt voor “open bankieren” zal een bestaande gegevenslacune dichten, die momenteel belet dat de daadwerkelijke acceptatie van “open bankieren” in de Unie doeltreffend wordt gemeten. Rekeninghoudende betalingsdienstaanbieders en rekeninginformatie- en betalingsinitiatiedienstaanbieders moeten toegang hebben tot geschillenbeslechtingsorganen, overeenkomstig artikel 10 van het voorstel voor de dataverordening, zodra die verordening in werking treedt.
(69) Het parallelle gebruik van de term “uitdrukkelijke instemming” in Richtlijn (EU) 2015/2366 en Verordening (EU) 2016/679 van het Europees Parlement en de Raad48 heeft geleid tot misinterpretaties. De uitdrukkelijke instemming uit hoofde van artikel 94, lid 2, van Richtlijn (EU) 2015/2366 betreft het verkrijgen van toestemming tot toegang tot die persoonsgegevens om de persoonsgegevens die noodzakelijk zijn voor het aanbieden van de betalingsdienst te kunnen verwerken en bewaren. Daarom moet een verduidelijking worden aangebracht om de rechtszekerheid te vergroten en een duidelijk onderscheid te maken met de regels inzake gegevensbescherming. Waar de term “uitdrukkelijke instemming” in Richtlijn (EU) 2015/2366 werd gebruikt, moet in deze verordening de term “toestemming” worden gebruikt. Wanneer naar “toestemming” wordt verwezen, mag die verwijzing geen afbreuk doen aan de verplichtingen van betalingsdienstaanbieders uit hoofde van artikel 6 van Verordening (EU) 2016/679. Daarom mag toestemming niet uitsluitend worden opgevat als “instemming” of “uitdrukkelijke instemming” in de zin van Verordening (EU) 2016/679.
(70) De veiligheid van overmakingen is van fundamenteel belang om het vertrouwen van betalingsdienstgebruikers in dergelijke diensten te vergroten en het gebruik ervan te waarborgen. Betalers die voornemens zijn een overmaking naar een bepaalde begunstigde te zenden, kunnen, als gevolg van fraude of fouten, een unieke identificator verstrekken die niet overeenstemt met een rekening die door die begunstigde wordt aangehouden. Om fraude en fouten te helpen verminderen, moeten betalingsdienstgebruikers profiteren van een dienst die nagaat of er een discrepantie bestaat tussen de unieke identificator van de begunstigde en de naam van de begunstigde die door de betaler wordt verstrekt, en die, indien dergelijke discrepanties worden ontdekt, de betaler daarvan in kennis stelt. Dergelijke diensten hebben in de landen waar zij bestaan een aanzienlijk positief effect gehad op het niveau van fraude en fouten. Gezien het belang van deze dienst voor de preventie van fraude en fouten, moet een dergelijke dienst gratis beschikbaar zijn voor de consument. Om onnodige fricties of vertragingen bij de verwerking van de transactie te voorkomen, moet de betalingsdienstaanbieder van de betaler een dergelijke kennisgeving verstrekken binnen enkele seconden nadat de betaler de informatie over de begunstigde heeft ingevoerd. Om de betaler in staat te stellen te beslissen of de voorgenomen transactie wordt uitgevoerd, moet de betalingsdienstaanbieder van de betaler een dergelijke kennisgeving verstrekken voordat de betaler de transactie goedkeurt. Voor betalers kunnen bepaalde oplossingen voor het initiëren van overmakingen beschikbaar zijn, zodat zij een betalingsopdracht kunnen plaatsen zonder zelf de unieke identificator in te voeren. In plaats daarvan worden dergelijke gegevenselementen verstrekt door de aanbieder van die initiatieoplossing. In dergelijke gevallen is het niet nodig dat een dienst de overeenstemming tussen de unieke identificator en de naam van de begunstigde controleert, aangezien het risico op fraude of fouten aanzienlijk is verminderd.
(71) Verordening (EU) XXX tot wijziging van Verordening (EU) nr. 260/2012 voorziet in een dienst die de overeenstemming verifieert tussen de unieke identificator en de naam van de begunstigde en die moet worden aangeboden aan gebruikers van instantovermakingen in euro. Om een coherent kader voor alle overmakingen tot stand te brengen en tegelijkertijd onnodige overlapping te voorkomen, moet de in deze verordening bedoelde verificatiedienst alleen van toepassing zijn op overmakingen die niet onder Verordening (EU) XXX tot wijziging van Verordening (EU) nr. 260/2012 vallen.
(72) Sommige attributen van de naam van de begunstigde op wiens rekening de betaler een overmaking wenst te verrichten, kunnen de kans vergroten dat de betalingsdienstaanbieder een discrepantie ontdekt, zoals de aanwezigheid van diakritische tekens of verschillende mogelijke transliteraties van namen in verschillende alfabetten, verschillen tussen doorgaans gebruikte namen en namen die in formele identificatiedocumenten worden vermeld in geval van natuurlijke personen, of verschillen tussen de handelsnaam en de officiële naam in geval van rechtspersonen. Om onnodige fricties bij de verwerking van overmakingen te voorkomen en het besluit van de betaler over het al dan niet uitvoeren van de voorgenomen transactie te vergemakkelijken, moeten betalingsdienstaanbieders de mate van discrepantie aangeven door in de kennisgeving aan te geven wanneer er “geen overeenstemming” of een “grote overeenstemming” is.
(73) Het toestaan van een betalingstransactie ondanks het feit dat de matchingverificatiedienst een discrepantie heeft ontdekt en de betalingsdienstgebruiker van die discrepantie in kennis heeft gesteld, kan ertoe leiden dat de geldmiddelen aan een onbedoelde begunstigde worden overgemaakt. Betalingsdienstaanbieders moeten betalingsdienstgebruikers informeren over de mogelijke gevolgen van hun keuze om de gemelde discrepantie buiten beschouwing te laten en de transactie uit te voeren. Betalingsdienstgebruikers moeten tijdens hun contractuele relatie met de betalingsdienstaanbieder te allen tijde kunnen afzien van het gebruik van een dergelijke dienst. Na de opt-out moeten betalingsdienstgebruikers opnieuw van de dienst kunnen gebruikmaken.
(74) De betalingsdienstgebruiker moet de betalingsdienstaanbieder zo spoedig mogelijk in kennis te stellen van betwistingen betreffende vermeende niet-toegestane, onjuist uitgevoerde betalingstransacties of toegestane overmakingen waarbij de matchingverificatiedienst niet goed functioneerde, mits de betalingsdienstaanbieder aan zijn informatieverplichtingen heeft voldaan. Indien deze kennisgevingstermijn door de betalingsdienstgebruiker is nageleefd, moet deze de desbetreffende vorderingen, behoudens nationale verjaringstermijnen, kunnen instellen. Dat moet andere vorderingen tussen betalingsdienstgebruikers en hun betalingsdienstaanbieders onverlet laten.
(75) De toewijzing van verliezen in het geval van niet-toegestane betalingstransacties of specifieke toegestane overmakingen moet worden geregeld. Voor andere betalingsdienstgebruikers dan consumenten kunnen andere bepalingen gelden, aangezien dergelijke gebruikers gewoonlijk in een zodanige positie verkeren dat zij beter in staat zijn het frauderisico in te schatten en tegenmaatregelen te treffen. Om een hoog niveau van consumentenbescherming te garanderen, moeten betalers altijd het recht hebben hun restitutieverzoek aan hun rekeninghoudende betalingsdienstaanbieder te richten, ook indien een betalingsinitiatiedienstaanbieder bij de betalingstransactie betrokken is. Dit moet de toewijzing van aansprakelijkheid tussen de betalingsdienstaanbieders onverlet laten.
(76) In het geval van betalingsinitiatiediensten moet de toewijzing van de aansprakelijkheid tussen de rekeninghoudende betalingsdienstaanbieder en de betalingsinitiatiedienstaanbieder die bij de transactie betrokken is, beiden verplichten de verantwoordelijkheid te nemen voor het respectieve deel van de transactie waarover zij controle hebben.
(77) In het geval van een niet-toegestane betalingstransactie moet de betalingsdienstaanbieder het bedrag van die transactie onmiddellijk aan de betaler terugbetalen. Wanneer er echter een sterk vermoeden bestaat dat een niet-toegestane transactie het resultaat is van frauduleus gedrag van de betaler en dit vermoeden gebaseerd is op objectieve gronden die door de betalingsdienstaanbieder aan de betrokken nationale autoriteit worden meegedeeld, moet de betalingsdienstaanbieder een onderzoek kunnen instellen alvorens de betaler terug te betalen. De betalingsdienstaanbieder moet binnen tien werkdagen nadat hij zich rekenschap heeft gegeven van de transactie of daarvan in kennis is gesteld, de betaler het bedrag van de niet-toegestane betalingstransactie terugbetalen of de betaler de redenen en bewijsstukken meedelen om de terugbetaling te weigeren en aangeven tot welke instanties de betaler zich kan wenden indien de betaler de opgegeven redenen niet aanvaardt. Om de betaler te beschermen tegen enig nadeel, mag de valutadatum van de creditering niet later zijn dan de datum waarop het bedrag werd afgeschreven. Om de betalingsdienstgebruiker ertoe aan te sporen de betalingsdienstaanbieder onverwijld van een eventuele diefstal of een eventueel verlies van een betaalinstrument in kennis te stellen en aldus het risico van niet-toegestane betalingstransacties te verminderen, mag de gebruiker slechts voor een zeer beperkt bedrag aansprakelijk zijn, tenzij de betalingsdienstgebruiker frauduleus of ernstig nalatig heeft gehandeld. In dit verband lijkt een bedrag van 50 EUR passend om een geharmoniseerd en hoog niveau van gebruikersbescherming binnen de Unie te waarborgen. Indien de betaler zich niet van het verlies, de diefstal of het onrechtmatig gebruik van het betaalinstrument bewust kon zijn, mag er geen aansprakelijkheid zijn. Zodra een betalingsdienstgebruiker een betalingsdienstaanbieder ervan in kennis heeft gesteld dat zijn betaalinstrument gecompromitteerd kan zijn, mag van de betalingsdienstgebruiker bovendien niet worden verlangd dat hij verdere verliezen dekt die uit een niet-toegestaan gebruik van dat instrument voortvloeien. Betalingsdienstaanbieders moeten verantwoordelijk zijn voor de technische beveiliging van hun eigen producten.
(78) Aansprakelijkheidsbepalingen in het geval van toegestane overmakingen waarbij sprake is van een onjuiste toepassing of storing van de dienst waarbij discrepanties tussen de naam en de unieke identificator van een begunstigde worden vastgesteld, zouden betalingsdienstaanbieders de juiste stimulansen bieden om een volledig functionerende dienst aan te bieden, met als doel het risico op ondoordachte betalingstoelatingen te beperken. Indien de betaler besluit van een dergelijke dienst gebruik te maken, moet de betalingsdienstaanbieder van de betaler aansprakelijk worden gesteld voor het volledige bedrag van de overmaking in gevallen waarin die betalingsdienstaanbieder verzuimde om de betaler in kennis te stellen van een discrepantie tussen de unieke identificator en de naam van de begunstigde die door de betaler is verstrekt, terwijl hij die kennisgeving had moeten doen als hij naar behoren functioneerde, en een dergelijk verzuim de betaler financiële schade heeft berokkend. Wanneer de aansprakelijkheid van de betalingsdienstaanbieder van de betaler kan worden toegerekend aan de betalingsdienstaanbieder van de begunstigde, moet de betalingsdienstaanbieder van de begunstigde de betalingsdienstaanbieder van de betaler vergoeden voor de geleden financiële schade.
(79) Consumenten moeten adequaat worden beschermd in de context van bepaalde frauduleuze betalingstransacties die zij hebben toegestaan zonder te weten dat deze transacties frauduleus waren. Het aantal gevallen van “social engineering” waarin consumenten worden misleid om een betalingstransactie aan een fraudeur toe te staan, is de afgelopen jaren aanzienlijk toegenomen. Gevallen van “spoofing”, waarin fraudeurs zich uitgeven voor werknemers van de betalingsdienstaanbieder van een cliënt en misbruik maken van de naam, het e-mailadres of het telefoonnummer van de betalingsdienstaanbieder om het vertrouwen van de cliënten te winnen en hen tot bepaalde handelingen te verlokken, komen helaas steeds vaker voor in de Unie. Deze nieuwe soorten spoofingfraude doen het in Richtlijn (EU) 2015/2366 bestaande verschil tussen toegestane en niet-toegestane transacties vervagen. Het wordt ook complexer om de middelen te identificeren waarmee kan worden aangenomen dat de toestemming wordt verleend, aangezien fraudeurs de controle kunnen overnemen over het gehele toestemmings- en authenticatieproces, met inbegrip van de voltooiing van de sterke cliëntauthenticatie. De voorwaarden waaronder de cliënt een transactie heeft toegestaan door hiervoor toestemming te verlenen, moeten naar behoren in aanmerking worden genomen, ook door de rechter, om een transactie als toegestaan of niet-toegestaan aan te merken. Een transactie kan inderdaad zijn toegestaan in omstandigheden waarin een dergelijke toelating is verleend in gemanipuleerde ruimten die de integriteit van de toestemming aantasten. Daarom is het niet langer mogelijk om, zoals in Richtlijn (EU) 2015/2366, de terugbetaling te beperken tot niet-toegestane transacties. Het zou echter onevenredig en financieel zeer duur zijn voor betalingsdienstaanbieders om elke al dan niet toegestane frauduleuze transactie open te stellen voor een systematisch terugbetalingsrecht. Het kan ook een moreel risico met zich meebrengen en de waakzaamheid van de cliënt verminderen.
(80) Betalingsdienstaanbieders kunnen ook worden beschouwd als slachtoffers van “spoofing”-zaken, aangezien hun gegevens werden gekaapt. Betalingsdienstaanbieders hebben echter meer middelen dan consumenten om een einde te maken aan deze fraudegevallen, door middel van adequate preventie en robuuste technische waarborgen die zijn ontwikkeld met aanbieders van elektronischecommunicatiediensten zoals exploitanten van mobiele netwerken, internetplatforms enz. Fraudegevallen waarbij de fraudeurs zich uitgeven voor bankmedewerkers hebben gevolgen voor de goede reputatie van de bank en van de banksector als geheel en kunnen aanzienlijke financiële schade toebrengen aan consumenten in de Unie, waardoor hun vertrouwen in elektronische betalingen en in het banksysteem wordt aangetast. Een consument te goeder trouw die het slachtoffer is geweest van dergelijke spoofingfraude waarbij fraudeurs zich uitgeven voor werknemers van een betalingsdienstaanbieder van een cliënt en misbruik maken van de naam, het e-mailadres of het telefoonnummer van de betalingsdienstaanbieder, moet derhalve recht hebben op terugbetaling van het volledige bedrag van de frauduleuze betalingstransactie door de betalingsdienstaanbieder, tenzij de betaler frauduleus of met “grove nalatigheid” heeft gehandeld. Zodra de consument zich ervan bewust wordt dat hij het slachtoffer is geweest van dit soort spoofingfraude, moet de consument het incident onverwijld melden bij de politie, bij voorkeur via onlineklachtenprocedures, indien deze door de politie ter beschikking worden gesteld, en bij zijn betalingsdienstaanbieder, met alle nodige bewijsstukken. Er mag geen terugbetaling worden toegekend wanneer niet aan deze procedurele voorwaarden is voldaan.
(81) Gezien hun verplichtingen om de veiligheid van hun diensten te waarborgen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad49, hebben aanbieders van elektronischecommunicatiediensten de capaciteit om bij te dragen aan de collectieve bestrijding van spoofingfraude. Daarom, en onverminderd de verplichtingen die zijn vastgelegd in de nationale wetgeving tot uitvoering van die richtlijn, moeten aanbieders van elektronischecommunicatiediensten samenwerken met betalingsdienstaanbieders om verdere voorvallen van dat soort fraude te voorkomen, onder meer door onmiddellijk op te treden om ervoor te zorgen dat passende organisatorische en technische maatregelen worden getroffen om de veiligheid en vertrouwelijkheid van communicatie te waarborgen overeenkomstig Richtlijn 2002/58/EG. Elke vordering die een betalingsdienstaanbieder instelt tegen andere aanbieders, zoals aanbieders van elektronischecommunicatiediensten, wegens financiële schade die in het kader van dit soort fraude is veroorzaakt, moet overeenkomstig het nationale recht worden ingediend.
(82) Om te kunnen beoordelen of er bij de betalingsdienstgebruiker sprake was van nalatigheid of grove nalatigheid moeten alle omstandigheden in aanmerking worden genomen. In de regel moeten het bewijs voor en de mate van de beweerde nalatigheid volgens het nationale recht worden beoordeeld. Hoewel het begrip nalatigheid een schending van de zorgvuldigheidsplicht impliceert, moet onder “grove nalatigheid” echter meer worden verstaan dan loutere nalatigheid en is er daarbij sprake van gedragingen die een aanzienlijke mate van onachtzaamheid vertonen; bijvoorbeeld het bewaren van de voor het verlenen van toestemming voor een betalingstransactie gebruikte beveiligingsgegevens naast het betaalinstrument in een open en voor derden gemakkelijk op te sporen formaat. Het feit dat een consument reeds een terugbetaling heeft ontvangen van een betalingsdienstaanbieder nadat hij het slachtoffer is geworden van fraude waarbij de fraudeurs zich uitgaven voor bankmedewerkers en een andere terugbetalingsvordering indient bij dezelfde betalingsdienstaanbieder nadat hij opnieuw het slachtoffer is geworden van dezelfde vorm van fraude, kan worden beschouwd als “grove nalatigheid”, aangezien dit zou kunnen wijzen op een hoge mate van onvoorzichtigheid van de gebruiker, die waakzamer had moeten zijn nadat hij reeds het slachtoffer was geweest van dezelfde frauduleuze modus operandi.
(83) Contractuele clausules en voorwaarden met betrekking tot de verstrekking en het gebruik van het betaalinstrument die de bewijslast voor de consument vergroten of de bewijslast voor de verstrekker verminderen, moeten als nietig worden beschouwd. In specifieke situaties en met name wanneer het betaalinstrument niet aanwezig is op het verkooppunt, zoals bij onlinebetalingen, is het voorts passend te eisen dat het bewijs van de beweerde nalatigheid door de betalingsdienstaanbieder wordt geleverd, aangezien de betaler slechts zeer beperkte middelen heeft om in zulke gevallen het tegendeel te bewijzen.
(84) Consumenten zijn bijzonder kwetsbaar in het geval van op kaarten gebaseerde betalingstransacties waarbij het precieze bedrag van de transactie op het moment waarop de betaler toestemming geeft voor het uitvoeren van de betalingstransactie, bijvoorbeeld bij automatische tankstations, in autoverhuurcontracten of bij het maken van hotelreserveringen, niet bekend is. De betalingsdienstaanbieder van de betaler moet op de betaalrekening van de betaler een bedrag aan geldmiddelen kunnen blokkeren in verhouding tot het bedrag van de betalingstransactie dat redelijkerwijs door de betaler kan worden verwacht, en alleen als de betaler ermee heeft ingestemd dat dit precieze bedrag wordt geblokkeerd. Deze geldmiddelen moeten onmiddellijk na ontvangst van de informatie over het exacte definitieve bedrag van de betalingstransactie en ten laatste onmiddellijk na ontvangst van de betalingsopdracht worden vrijgegeven. Om ervoor te zorgen dat het verschil tussen het geblokkeerde bedrag en het precieze bedrag van de betalingstransactie onmiddellijk wordt vrijgegeven, moet de begunstigde de betalingsdienstaanbieder onmiddellijk na de levering van de dienst of goederen aan de betaler daarvan in kennis stellen.
(85) In lidstaten die niet de euro als munt hebben, blijven er echter historische niet in euro luidende automatischeafschrijvingsregelingen bestaan. Deze regelingen blijken efficiënt te zijn en hetzelfde hoog niveau van bescherming aan de betaler garanderen door andere beschermingsmaatregelen, die niet altijd op een onvoorwaardelijk recht op terugbetaling zijn gebaseerd. In dat geval moet de betaler beschermd worden door de algemene regel voor een terugbetaling wanneer het bedrag van de uitgevoerde betalingstransactie het bedrag overschrijdt dat redelijkerwijs kon worden verwacht. Daarnaast moeten lidstaten regels kunnen bepalen inzake het recht op terugbetaling die gunstiger zijn voor de betaler dan die welke in deze verordening zijn vastgesteld. Het zou evenredig zijn om de betaler en de betalingsdienstaanbieder van de betaler toe te staan in een raamovereenkomst overeen te komen dat de betaler geen recht heeft op terugbetaling in situaties waarin de betaler beschermd is. Dit kan het gevolg zijn van het feit dat de betaler zijn betalingsdienstaanbieder toestemming heeft gegeven om een transactie rechtstreeks uit te voeren, ook wanneer de betalingsdienstaanbieder namens de begunstigde optreedt, of omdat informatie over de toekomstige betalingstransactie ten minste vier weken voor de vervaldag door de betalingsdienstaanbieder of door de begunstigde op een overeengekomen wijze aan de betaler is verstrekt of ter beschikking is gesteld. In ieder geval moet de betaler door de algemene terugbetalingsregel worden beschermd in het geval van niet-toegestane of onjuist uitgevoerde betalingstransacties of toegestane overmakingen die het gevolg zijn van een onjuiste toepassing van de matchingverificatiedienst of in het geval van impersonatiefraude in verband met de betalingsdienstaanbieder.
(86) Met het oog op financiële planning en het tijdig nakomen van betalingsverplichtingen moeten consumenten en ondernemingen zekerheid hebben omtrent de tijd die voor de uitvoering van een betalingsopdracht nodig zal zijn. Daarom moet worden bepaald wanneer rechten en verplichtingen van kracht worden, namelijk wanneer de betalingsdienstaanbieder de betalingsopdracht ontvangt, ook wanneer de betalingsdienstaanbieder de gelegenheid heeft gehad deze te ontvangen via het in de betalingsdienstenovereenkomst overeengekomen communicatiemiddel. Dit doet geen afbreuk aan enige eerdere betrokkenheid bij het proces dat leidt tot het ontstaan en de toezending van de betalingsopdracht, met inbegrip van veiligheidscontroles en controles van de beschikbaarheid van de middelen, informatie over het gebruik van het persoonlijk identificatienummer, of afgifte van een belofte tot betaling. Bovendien zou het tijdstip van ontvangst van een betalingsopdracht het tijdstip moeten zijn waarop de betalingsdienstaanbieder van de betaler de opdracht tot debitering van de rekening van de betaler ontvangt. Het tijdstip waarop een begunstigde aan de betalingsdienstaanbieder betalingsopdrachten toezendt voor de inning van bijvoorbeeld kaartbetalingen of automatische afschrijvingen, of waarop de begunstigde door de betalingsdienstaanbieder een voorfinanciering van de desbetreffende bedragen wordt verleend (door dienovereenkomstige creditering van de rekening) zou in dit verband niet ter zake mogen doen. De gebruiker moet ervan kunnen uitgaan dat een volledige en geldige betalingsopdracht goed wordt uitgevoerd indien de betalingsdienstaanbieder geen contractuele of wettelijke weigeringsgrond kan aanvoeren. Indien de betalingsdienstaanbieder een betalingsopdracht weigert, moeten de weigering en de weigeringsgrond zo spoedig mogelijk aan de betalingsdienstgebruiker worden meegedeeld, onverminderd de voorschriften van het Unierecht en het nationale recht. Indien een raamovereenkomst bepaalt dat de betalingsdienstaanbieder een weigeringsvergoeding kan aanrekenen, moet die vergoeding objectief gerechtvaardigd en zo laag mogelijk zijn.
(87) Gezien de snelheid waarmee volautomatische betalingssystemen betalingstransacties verwerken — hetgeen inhoudt dat betalingsopdrachten na een zeker tijdstip niet meer kunnen worden herroepen zonder dat dit hoge kosten voor manuele interventie met zich brengt —, is het noodzakelijk een duidelijk tijdstip vast te stellen waarna geen herroeping meer mogelijk is. Afhankelijk van de soort betalingsdienst en de betalingsopdracht moet het evenwel mogelijk zijn de termijn voor het herroepen van betalingen tussen de partijen overeen te komen. De herroeping in dit verband moet alleen van toepassing zijn tussen een betalingsdienstgebruiker en een betalingsdienstaanbieder en laat de onherroepelijkheid en het definitieve karakter van betalingstransacties in betalingssystemen onverlet.
(88) De onherroepelijkheid van een betalingsopdracht mag geen afbreuk doen aan de rechten of verplichtingen die een betalingsdienstaanbieder krachtens de wetgeving van lidstaten heeft om, uit hoofde van de raamovereenkomst van de betaler of van nationale wettelijke of bestuursrechtelijke bepalingen of richtsnoeren, het bedrag van de uitgevoerde betalingstransactie aan de betaler terug te betalen in geval van een geschil tussen de betaler en een begunstigde. Een dergelijke terugbetaling moet als een nieuwe betalingsopdracht worden aangemerkt. Met uitzondering van die gevallen zou een juridisch geschil dat rijst in een aan de betalingsopdracht ten grondslag liggende betrekking louter tussen de betaler en de begunstigde beslecht moeten worden.
(89) Ten behoeve van een volledig geïntegreerde automatische verwerking van betalingen van begin tot einde en voor het bieden van rechtszekerheid wat de nakoming van elke onderliggende verplichting tussen betalingsdienstgebruikers betreft, is het van essentieel belang dat het volledige bedrag dat door de betaler is overgemaakt, op de rekening van de begunstigde wordt gecrediteerd. Het mag bijgevolg niet mogelijk zijn dat een van de bij de uitvoering van betalingstransacties betrokken intermediairs inhoudingen op het overgemaakte bedrag toepast. Het moet echter wel mogelijk zijn voor de begunstigde om met zijn betalingsdienstaanbieder een overeenkomst te sluiten op grond waarvan laatstgenoemde zijn provisies mag inhouden. Om de begunstigde in staat te stellen na te gaan of het verschuldigde bedrag correct is betaald, moet de achteraf over de betalingstransactie verstrekte informatie evenwel naast het volledige overgemaakte bedrag ook het bedrag van de eventuele ingehouden kosten vermelden.
(90) Teneinde de doelmatigheid van betalingen overal in de Unie te bevorderen, moet een maximale uitvoeringstermijn van één dag worden vastgesteld voor alle door de betaler geïnitieerde, in euro of in een valuta van een lidstaat wiens munteenheid niet de euro is, luidende betalingsopdrachten, met inbegrip van niet-instantovermakingen en geldtransfers. Voor alle andere betalingen, zoals door of via een begunstigde geïnitieerde betalingen, met inbegrip van automatische afschrijvingen en kaartbetalingen, moet dezelfde uitvoeringstermijn van één dag gelden indien er tussen de betalingsdienstaanbieder en de betaler geen uitdrukkelijke overeenkomst bestaat waarin een langere uitvoeringstermijn is vastgesteld. Indien de betalingsopdracht op papier wordt gegeven, moet het mogelijk zijn deze termijnen met nog eens een werkdag te verlengen, zodat het aanbieden van betalingsdiensten aan consumenten die louter aan papieren documenten gewend zijn, kan worden voortgezet. Bij gebruikmaking van automatische afschrijving moet de betalingsdienstaanbieder van de begunstigde de opdracht tot inning toezenden binnen de tussen de begunstigde en de betalingsdienstaanbieder overeengekomen termijnen, zodat de afwikkeling op de afgesproken datum kan plaatsvinden. Het moet mogelijk zijn regels te handhaven of vast te stellen waarin een uitvoeringstermijn van minder dan één werkdag wordt vastgesteld.
(91) De regels betreffende de uitvoering voor het volledige bedrag en de uitvoeringstermijn moeten als goede praktijk gelden wanneer een van de betalingsdienstaanbieders zich niet in de Unie bevindt. Bij het verrichten van een overmaking of geldtransfer aan een buiten de Unie gevestigde begunstigde moet de betalingsdienstaanbieder van de betaler de betaler een raming verstrekken van de tijd die nodig is om de overmaking of geldtransfer aan de buiten de Unie gevestigde betalingsdienstaanbieder van de begunstigde te crediteren. Van een betalingsdienstaanbieder in de Unie kan niet worden verwacht dat hij een raming maakt van de tijd die een betalingsdienstaanbieder buiten de Unie nodig heeft om, na ontvangst van de geldmiddelen, deze geldmiddelen op de rekening van de begunstigde te crediteren.
(92) Om hun vertrouwen in de betalingsmarkten te versterken, is het van essentieel belang dat betalingsdienstgebruikers de werkelijke kosten van betalingsdiensten kennen. Het hanteren van niet-transparante prijsstellingsmethoden moet dan ook worden verboden, aangezien algemeen wordt erkend dat dergelijke methoden het voor gebruikers bijzonder moeilijk maken om de werkelijke prijs van de betalingsdienst te bepalen. Met name het gebruik van valutering in het nadeel van de gebruiker mag niet worden toegestaan.
(93) Het moet mogelijk zijn voor de betalingsdienstaanbieder om op ondubbelzinnige wijze aan te geven welke informatie nodig is om een betalingsopdracht correct uit te voeren. De betalingsdienstaanbieder van de betaler moet zorgvuldig handelen en nagaan, voor zover zulks technisch en zonder manuele interventie mogelijk is, of de unieke identificator coherent is, en, indien de unieke identificator niet coherent blijkt te zijn, de betalingsopdracht weigeren en de betaler daaromtrent inlichten.
(94) Voor een vlotte en efficiënte werking van betalingssystemen moet de gebruiker erop kunnen vertrouwen dat de betalingsdienstaanbieder de betalingstransactie correct en binnen de overeengekomen termijn uitvoert. De betalingsdienstaanbieder is doorgaans in staat om de risico’s die aan de betalingstransactie verbonden zijn, te beoordelen. De betalingsdienstaanbieder stelt het betalingssysteem beschikbaar en treft de regelingen om op de verkeerde plaats terechtgekomen of verkeerd toegewezen geldmiddelen terug te roepen, en beslist in de meeste gevallen welke intermediairs bij de uitvoering van een transactie worden betrokken. In het licht van het bovenstaande is het, behoudens abnormale en onvoorziene omstandigheden, passend dat de aansprakelijkheid voor de uitvoering van een betalingstransactie die een betalingsdienstaanbieder van de gebruiker heeft aanvaard, bij die betalingsdienstaanbieder berust, met uitzondering van het handelen en nalaten van de betalingsdienstaanbieder van de begunstigde, voor de keuze waarvan louter de begunstigde aansprakelijk is. Teneinde evenwel de betaler niet onbeschermd achter te laten in de onwaarschijnlijke omstandigheid waarin niet duidelijk is dat het bedrag van de betaling door de betalingsdienstaanbieder van de begunstigde naar behoren werd ontvangen, moet de bewijslast dienaangaande bij de betalingsdienstaanbieder van de betaler worden gelegd. In de regel kan worden verwacht dat de intermediair, doorgaans een onpartijdige instelling zoals een centrale bank of een clearinginstelling, die het bedrag van de betaling van de verzendende aan de ontvangende betalingsdienstaanbieder overmaakt, de rekeninggegevens opslaat en indien nodig de gegevens kan verstrekken. Wanneer het bedrag van de betaling op de rekening van de ontvangende betalingsdienstaanbieder is gecrediteerd, heeft de begunstigde een vordering op de betalingsdienstaanbieder tot creditering van de rekening.
(95) De betalingsdienstaanbieder van de betaler, namelijk de rekeninghoudende betalingsdienstaanbieder of, in voorkomend geval, de betalingsinitiatiedienstaanbieder, moet aansprakelijk zijn voor de correcte uitvoering van de betaling, onder meer wat betreft het volledige bedrag van de betalingstransactie en de uitvoeringstermijn, en moet volledig verantwoordelijk zijn voor enigerlei nalatigheid van andere partijen in de betalingsketen tot en met de rekening van de begunstigde. Uit hoofde van deze aansprakelijkheid moet de betalingsdienstaanbieder van de betaler, wanneer de betalingsdienstaanbieder van de begunstigde niet of te laat voor het volledige bedrag wordt gecrediteerd, de betalingstransactie corrigeren of de betaler onverwijld het toepasselijke bedrag van de transactie terugbetalen, onverminderd andere mogelijke vorderingen conform het nationale recht. Gezien de aansprakelijkheid van de betalingsdienstaanbieder mogen de betaler noch de begunstigde kosten in verband met een onjuiste betaling worden opgelegd. In het geval van niet-uitvoering, onjuiste uitvoering of te late uitvoering van betalingstransacties moet de valutadatum van de door de betalingsdienstaanbieder verrichte correctiebetaling altijd dezelfde zijn als de valutadatum bij correcte uitvoering.
(96) Voor het goed functioneren van overmakingen en andere betalingsdiensten moeten betalingsdienstaanbieders en hun intermediairs, waaronder verwerkers, overeenkomsten hebben waarin hun wederzijdse rechten en verplichtingen zijn vastgelegd. Vraagstukken in verband met aansprakelijkheden vormen een essentieel onderdeel van deze overeenkomsten. Om de onderlinge betrouwbaarheid van de bij een betalingstransactie betrokken betalingsdienstaanbieders en intermediairs te garanderen, moet de rechtszekerheid worden geboden dat een betalingsdienstaanbieder die niet aansprakelijk blijkt te zijn, een vergoeding krijgt voor alle verliezen die hij heeft geleden of de bedragen die hij heeft betaald uit hoofde van de regels betreffende aansprakelijkheid. Verdere rechten inzake regres en wat regres precies inhoudt, alsmede de wijze van behandeling van vorderingen tegen de betalingsdienstaanbieder of de intermediair op grond van een gebrekkig uitgevoerde betalingstransactie, moeten bij overeenkomst worden geregeld.
(97) Het aanbieden van betalingsdiensten door de betalingsdienstaanbieders kan de verwerking van persoonsgegevens met zich meebrengen. Het aanbieden van rekeninginformatiediensten kan gepaard gaan met de verwerking van persoonsgegevens van een betrokkene die niet de gebruiker is van een specifieke betalingsdienstaanbieder, maar wiens persoonsgegevens door die specifieke betalingsdienstaanbieder moeten worden verwerkt voor de uitvoering van een overeenkomst tussen de aanbieder en de betalingsdienstgebruiker. Wanneer persoonsgegevens worden verwerkt, moet de verwerking plaatsvinden overeenkomstig Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad50, met inbegrip van de beginselen van doelbinding, minimale gegevensverwerking en opslagbeperking. In alle gegevensverwerkingsystemen die in het kader van deze verordening worden ontwikkeld en gebruikt, moeten de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen in acht worden genomen. Daarom moeten de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 verantwoordelijk zijn voor het toezicht op de verwerking van persoonsgegevens in het kader van deze verordening.
(98) Zoals in de mededeling van de Commissie over een strategie voor retailbetalingen voor de EU wordt erkend, is de goede werking van de betalingsmarkten in de EU van groot algemeen belang. Wanneer dit in het kader van deze verordening noodzakelijk is voor het aanbieden van betalingsdiensten en voor de naleving van deze verordening, moeten betalingsdienstaanbieders en exploitanten van betalingssystemen derhalve in staat zijn bijzondere categorieën persoonsgegevens te verwerken in de zin van artikel 9, lid 1, van Verordening (EU) 2016/679 en artikel 10, lid 1, van Verordening (EU) 2018/1725. Wanneer bijzondere categorieën persoonsgegevens worden verwerkt, moeten betalingsdienstaanbieders en exploitanten van betalingssystemen passende technische en organisatorische maatregelen treffen om de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen. Die maatregelen moeten technische beperkingen op het hergebruik van gegevens omvatten evenals het gebruik van geavanceerde beveiligings- en privacybeschermingsmaatregelen, met inbegrip van pseudonimisering, of versleuteling om de naleving van de beginselen van doelbinding, minimale gegevensverwerking en opslagbeperking, zoals vastgelegd in Verordening (EU) 2016/679, te waarborgen. De betalingsdienstaanbieders en exploitanten van betalingssystemen moeten ook specifieke organisatorische maatregelen treffen, waaronder opleiding over de verwerking van dergelijke gegevens, het beperken van de toegang tot bijzondere categorieën gegevens en het vastleggen van die toegang.
(99) De informatieverstrekking aan natuurlijke personen over de verwerking van persoonsgegevens moet plaatsvinden in overeenstemming met Verordening (EU) 2016/679 en Verordening (EU) 2018/1725.
(100) Fraudeurs richten zich vaak op de meest kwetsbare personen in onze samenleving. De tijdige opsporing van frauduleuze betalingstransacties is van essentieel belang en transactiemonitoring speelt een belangrijke rol bij die opsporing. Het is daarom passend van betalingsdienstaanbieders te verlangen dat zij beschikken over transactiemonitoringmechanismen, die de cruciale bijdrage van die mechanismen aan het voorkomen van fraude weerspiegelen en verder gaan dan de bescherming die wordt geboden door een sterke cliëntauthenticatie met betrekking tot betalingstransacties, met inbegrip van transacties waarbij betalingsinitiatiediensten betrokken zijn.
(101) De EBA moet ontwerpen van technische reguleringsnormen ontwikkelen met betrekking tot de specifieke technische vereisten in verband met transactiemonitoringmechanismen. Dergelijke vereisten moeten voortbouwen op de toegevoegde waarde die voortvloeit uit omgevings- en gedragskenmerken die verband houden met de betalingsgewoonten van de betalingsdienstgebruiker.
(102) Om ervoor te zorgen dat transactiemonitoringmechanismen doeltreffend werken om betalingsdienstaanbieders in staat te stellen fraude op te sporen en te voorkomen, met name door atypisch gebruik van betalingsdiensten op te sporen dat kan wijzen op een potentieel frauduleuze transactie, moeten betalingsdienstaanbieders informatie over transacties van hun cliënten en hun betaalrekeningen kunnen verwerken. Betalingsdienstaanbieders moeten echter passende bewaartermijnen vaststellen voor de verschillende soorten gegevens die worden gebruikt voor het voorkomen van fraude. Die bewaartermijnen moeten strikt beperkt blijven tot de periode die nodig is om atypisch, potentieel frauduleus gedrag op te sporen, en betalingsdienstaanbieders moeten regelmatig de gegevens verwijderen die niet langer nodig zijn voor het opsporen en voorkomen van fraude. Gegevens die voor transactiemonitoring worden verwerkt, mogen niet worden gebruikt nadat de betalingsdienstgebruiker niet langer cliënt van de betalingsdienstaanbieder is.
(103) Fraude bij overmakingen is inherent adaptief en omvat een eindeloze verscheidenheid aan praktijken en technieken, waaronder het stelen van authenticatiegegevens, manipulatie van facturen en sociale manipulatie. Om steeds nieuwe vormen van fraude te kunnen voorkomen, moet transactiemonitoring dan ook voortdurend worden verbeterd, waarbij ten volle wordt gebruikgemaakt van technologie zoals artificiële intelligentie. Vaak heeft één betalingsdienstaanbieder niet het volledige beeld van alle elementen die tot tijdige opsporing van fraude kunnen leiden. Dat beeld kan echter doeltreffender worden gemaakt met een grotere hoeveelheid informatie over mogelijk frauduleuze activiteiten die afkomstig is van andere betalingsdienstaanbieders. Daarom moet het delen van alle relevante informatie tussen betalingsdienstaanbieders mogelijk zijn. Om frauduleuze betalingstransacties beter op te sporen en hun cliënten te beschermen, moeten betalingsdienstaanbieders voor transactiemonitoring gebruikmaken van gegevens over betalingsfraude die op multilaterale basis door andere betalingsdienstaanbieders worden gedeeld, zoals specifieke IT-platforms op basis van regelingen voor de uitwisseling van informatie. Om betalers beter te beschermen tegen fraude bij overmakingen, moeten betalingsdienstaanbieders zich kunnen baseren op informatie die zo volledig en actueel mogelijk is, namelijk door collectief gebruik te maken van informatie over unieke identificatoren, manipulatietechnieken en andere omstandigheden in verband met frauduleuze overmakingen die individueel door elke betalingsdienstaanbieder worden geïdentificeerd. Alvorens een regeling voor de uitwisseling van informatie te sluiten, moeten betalingsdienstaanbieders een gegevensbeschermingseffectbeoordeling uitvoeren overeenkomstig artikel 35 van Verordening (EU) 2016/679. Indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking, bij gebrek aan waarborgen, beveiligingsmaatregelen en mechanismen om het risico te beperken, zou leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen, moeten betalingsdienstaanbieders de relevante gegevensbeschermingsautoriteit raadplegen overeenkomstig artikel 36 van die Verordening (EU) 2016/679. Een nieuwe effectbeoordeling mag niet vereist zijn wanneer een betalingsdienstaanbieder zich aansluit bij een bestaande regeling voor de uitwisseling van informatie waarvoor reeds een gegevensbeschermingseffectbeoordeling is uitgevoerd. In de regeling voor de uitwisseling van informatie moeten technische en organisatorische maatregelen ter bescherming van persoonsgegevens worden vastgesteld. De taken en verantwoordelijkheden van alle betalingsdienstaanbieders, ook in het geval van gezamenlijke verwerkingsverantwoordelijken, uit hoofde van de wetgeving inzake gegevensbescherming moeten erin worden vastgelegd.
(104) Voor de uitwisseling van persoonsgegevens met andere betalingsdienstaanbieders die onder regelingen voor de uitwisseling van informatie vallen, moet onder “unieke identificator” worden verstaan “IBAN” in de zin van artikel 2, punt 15, van Verordening (EU) nr. 260/2012.
(105) Om te voorkomen dat legitieme uitwisseling van informatie over potentieel frauduleuze activiteiten leidt tot ongerechtvaardigde risicobeperking of tot het zonder uitleg of verhaalsrecht ontzeggen van betaalrekeningdiensten aan betalingsdienstgebruikers, is het passend te voorzien in waarborgen. Betalingsfraudegegevens die worden uitgewisseld in het kader van een multilaterale regeling voor de uitwisseling van informatie die de openbaarmaking van persoonsgegevens kan inhouden, met inbegrip van unieke identificatoren van begunstigden die mogelijk betrokken zijn bij fraude bij overmakingen, mogen door betalingsdienstaanbieders alleen worden gebruikt om de transactiemonitoring te verbeteren. Betalingsdienstaanbieders moeten aanvullende waarborgen bieden, zoals contactopname met de cliënt als die de betaler is van een overmaking die als frauduleus kan worden beschouwd, en verdere monitoring van een rekening, waarbij de als potentieel frauduleus gedeelde unieke identificator een cliënt van die betalingsdienstaanbieder aanduidt. Betalingsfraudegegevens die in het kader van dergelijke regelingen tussen betalingsdienstaanbieders worden uitgewisseld, mogen geen reden zijn om bankdiensten zonder grondig onderzoek op te zeggen.
(106) Betalingsfraude wordt steeds geraffineerder: fraudeurs gebruiken manipulatieve en impersonatietechnieken die moeilijk op te sporen zijn voor betalingsdienstgebruikers die zich onvoldoende bewust zijn van fraude en er te weinig over weten. Betalingsdienstaanbieders kunnen een belangrijke rol spelen bij het versterken van fraudepreventie door regelmatig alle nodige initiatieven te nemen om hun betalingsdienstgebruikers meer inzicht te geven in en bewuster te maken van de risico’s en trends van betalingsfraude. Betalingsdienstaanbieders moeten met name passende bewustmakingsprogramma’s en -campagnes voeren over fraudetrends en -risico’s die gericht zijn op cliënten en werknemers van betalingsdienstaanbieders, om cliënten ervan bewust te maken dat zij het slachtoffer zijn van een poging tot fraude. Betalingsdienstaanbieders moeten hun consumenten via verschillende media aangepaste informatie over fraude verstrekken, zodat zij duidelijke boodschappen en waarschuwingen krijgen en naar behoren kunnen reageren wanneer zij worden blootgesteld aan potentieel frauduleuze situaties. De EBA moet richtsnoeren ontwikkelen over de verschillende soorten programma’s die betalingsdienstaanbieders moeten ontwikkelen met betrekking tot betalingsfrauderisico’s, rekening houdend met de voortdurend veranderende aard van fraudegerelateerde risico’s.
(107) De beveiliging van elektronische betalingen is van essentieel belang om de bescherming van gebruikers en de ontwikkeling van een gezonde omgeving voor elektronische handel te garanderen. Alle elektronische betalingsdiensten moeten op een beveiligde wijze worden uitgevoerd, met gebruik van technologieën die een veilige authenticatie van de gebruiker kunnen garanderen en het risico op fraude zoveel mogelijk kunnen beperken. Op het gebied van fraude was de belangrijkste vernieuwing van Richtlijn (EU) 2015/2366 de invoering van sterke cliëntauthenticatie (SCA). De Commissie heeft in haar evaluatie van de uitvoering van Richtlijn (EU) 2015/2366 geconcludeerd dat sterke cliëntauthenticatie al zeer succesvol is geweest bij het terugdringen van fraude.
(108) SCA mag niet worden omzeild door met name ongerechtvaardigd gebruik te maken van SCA-vrijstellingen. Er moeten duidelijke definities van door handelaren geïnitieerde transacties en aankopen per post of via de telefoon worden ingevoerd, aangezien deze begrippen, waarop een beroep kan worden gedaan om de niet-toepassing van SCA te rechtvaardigen, verschillend worden begrepen en toegepast en het voorwerp zijn van misbruik. Wat door handelaren geïnitieerde transacties betreft, moet sterke cliëntauthenticatie worden toegepast bij het opzetten van het oorspronkelijke mandaat, zonder dat SCA hoeft te worden toegepast op daaropvolgende door handelaren geïnitieerde betalingstransacties. Wat aankopen per post of via de telefoon betreft, hoeft alleen het initiëren van betalingstransacties — en niet de uitvoering ervan — niet-digitaal te zijn opdat een transactie als aankoop per post of via de telefoon wordt aangemerkt en derhalve niet onder de verplichting valt om SCA toe te passen. Betalingstransacties op basis van betalingsopdrachten op papier, aankopen per post of via de telefoon die door de betaler worden geplaatst, moeten echter nog steeds beveiligingsvoorschriften en -controles door de betalingsdienstaanbieder van de betaler omvatten die de authenticatie van de betalingstransactie mogelijk maken. SCA mag ook niet worden omzeild door praktijken zoals het inschakelen van een buiten de Unie gevestigde aankoper om aan de SCA-vereisten te ontsnappen.
(109) Aangezien de betalingsdienstaanbieder die sterke cliëntauthenticatie moet toepassen, de betalingsdienstaanbieder is die de persoonlijke beveiligingsgegevens afgeeft, mogen betalingstransacties die niet door de betaler maar alleen door de begunstigde worden geïnitieerd, niet worden onderworpen aan sterke cliëntauthenticatie voor zover die transacties worden geïnitieerd zonder interactie of betrokkenheid van de betaler. Voor door handelaren geïnitieerde transacties en voor automatische afschrijvingen — allebei transacties die door de begunstigde worden geïnitieerd — moeten onderling afgestemde regels gelden, evenals dezelfde maatregelen ter bescherming van de consument, met inbegrip van terugbetalingen.
(110) Om de financiële inclusie te verbeteren, en in overeenstemming met Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad51 betreffende de toegankelijkheidsvoorschriften voor producten en diensten, moeten alle betalingsdienstgebruikers, met inbegrip van personen met een handicap, ouderen, personen met lage digitale vaardigheden en personen die geen toegang hebben tot digitale apparaten zoals smartphones, profiteren van de door SCA geboden bescherming tegen fraude, met name wat betreft het gebruik van digitale betalingstransacties op afstand en onlinetoegang tot betaalrekeningen als fundamentele financiële diensten. Met de invoering van SCA vonden bepaalde consumenten in de Unie het onmogelijk om onlinetransacties uit te voeren vanwege hun materiële onvermogen om SCA uit te voeren. Daarom moeten betalingsdienstaanbieders ervoor zorgen dat hun cliënten verschillende methoden kunnen benutten om SCA uit te voeren die aan hun behoeften en situaties zijn aangepast. Deze methoden mogen niet afhangen van één technologie, apparaat of mechanisme, noch van het bezit van een smartphone.
(111) Europese portemonnees voor digitale identiteit die worden uitgevoerd bij Verordening (EU) nr. 910/201452 van het Europees Parlement en de Raad, zoals gewijzigd bij Verordening [XXX], zijn elektronische identificatiemiddelen die identificatie- en authenticatie-instrumenten aanbieden om toegang te krijgen tot financiële diensten over de grenzen heen, waaronder betalingsdiensten. De invoering van de Europese portemonnee voor digitale identiteit zou de grensoverschrijdende digitale identificatie en authenticatie voor veilige digitale betalingen verder vergemakkelijken en de ontwikkeling van een pan-Europees digitaal betalingslandschap bevorderen.
(112) De groei van de elektronische handel en mobiele betalingen moet hand in hand gaan met een algemene verbetering van de beveiligingsmaatregelen. In geval van initiëring op afstand van een betalingstransactie, d.w.z. wanneer een betalingsopdracht via internet wordt geplaatst, moet de authenticatie van transacties berusten op dynamische codes om de gebruiker te allen tijde bewust te maken van het bedrag en de begunstigde van de transactie die de gebruiker toestaat.
(113) Het vereiste om SCA toe te passen op betalingstransacties op afstand door middel van codes die de transactie dynamisch koppelen aan een specifiek bedrag en een specifieke begunstigde, moet de groei van mobiele betalingen en de opkomst van verschillende modellen voor de uitvoering van mobiele betalingen weerspiegelen.
(114) Aangezien dynamische koppeling niet alleen de risico’s van manipulatie van de naam van de begunstigde en het specifieke bedrag van de transactie tussen het moment waarop een betalingsopdracht wordt geplaatst en de authenticatie van betalingen aanpakt, maar ook het risico van fraude in het algemeen, voor mobiele betalingen waarvoor sterke cliëntauthenticatie alleen kan worden verricht met gebruik van internet op het apparaat van de betaler, moeten betalingsdienstaanbieders ook elementen toepassen die de transactie dynamisch koppelen aan een specifiek bedrag en een specifieke begunstigde, of geharmoniseerde beveiligingsmaatregelen met hetzelfde effect, die de vertrouwelijkheid, authenticiteit en integriteit van de transactie gedurende alle fasen van de initiëring waarborgen.
(115) Op grond van de vrijstelling van de SCA op grond van artikel 18 van Gedelegeerde Verordening (EU) 2018/389 was het betalingsdienstaanbieders toegestaan om sterke cliëntauthenticatie niet toe te passen wanneer de betaler een elektronische betalingstransactie op afstand initieerde die de betalingsdienstaanbieder op grond van transactiemonitoringmechanismen had geïdentificeerd als een transactie die weinig risico oplevert. Uit feedback van de markt is echter gebleken dat, om ervoor te zorgen dat meer betalingsdienstaanbieders een transactierisicoanalyse uitvoeren, passende regels moeten worden vastgesteld voor de reikwijdte van de transactierisicoanalyse, en daarbij duidelijke auditvereisten in te voeren en uitvoerigere en betere definities te geven van de vereisten inzake risicomonitoring en de uit te wisselen gegevens, en moet worden nagegaan wat de potentiële voordelen zijn als betalingsdienstaanbieders frauduleuze transacties mogen melden waarvoor zij als enige aansprakelijk zijn. De EBA moet ontwerpen van technische reguleringsnormen opstellen met regels voor transactierisicoanalyse.
(116) De veiligheidsmaatregelen moeten in verhouding staan tot het risiconiveau dat aan de betalingsdienst verbonden is. Teneinde de ontwikkeling van gebruiksvriendelijke en toegankelijke betaalmiddelen voor betalingen met een laag risico, zoals contactloze betalingen van een laag bedrag in het verkooppunt, al dan niet gebaseerd op een mobiele telefoon, niet in de weg te staan, moeten de vrijstellingen van de toepassing van beveiligingsvoorschriften derhalve in de technische reguleringsnormen worden gespecificeerd. Het veilig gebruik van persoonlijke beveiligingsgegevens is nodig om de risico’s van spoofing, phishing en andere frauduleuze activiteiten te beperken. De gebruiker moet de zekerheid hebben dat maatregelen worden vastgesteld ter bescherming van de vertrouwelijkheid en integriteit van persoonlijke beveiligingsgegevens.
(117) Betalingsdienstaanbieders moeten SCA toepassen, onder meer, wanneer de betalingsdienstgebruiker via een kanaal op afstand een handeling uitvoert die het risico van betalingsfraude of andere vormen van misbruik met zich mee kan brengen. Betalingsdienstaanbieders moeten beschikken over passende beveiligingsmaatregelen om de vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van de betalingsdienstgebruiker te beschermen.
(118) De marktbelanghebbenden in de lidstaten hebben geen samenhangend begrip van de SCA-vereisten die van toepassing zijn op de inschrijving van betaalinstrumenten, met name betaalkaarten, in digitale portemonnees. Het creëren van een token of het vervangen ervan kan een risico van betalingsfraude of andere vormen van misbruik met zich meebrengen. Voor het creëren of vervangen van een token van een betaalinstrument via een kanaal op afstand met de deelname van de betalingsdienstgebruiker, moet dan ook de toepassing van SCA door de betalingsdienstaanbieder van de betalingsdienstgebruiker vereist zijn op het moment van uitgifte of vervanging van het token. Door SCA toe te passen in de fase van het creëren of vervangen van een token, moet de betalingsdienstaanbieder op afstand verifiëren of de betalingsdienstgebruiker de rechtmatige gebruiker van het betaalinstrument is en de gebruiker en de gedigitaliseerde versie van het betaalinstrument associëren met het respectieve apparaat.
(119) Exploitanten van digitale doorgifteportemonnees die de elementen van SCA verifiëren wanneer in de digitale portemonnees opgeslagen getokeniseerde instrumenten worden gebruikt voor betalingen, moeten worden verplicht uitbestedingsovereenkomsten te sluiten met de betalingsdienstaanbieders van de betalers om hen in staat te stellen dergelijke verificaties te blijven verrichten, maar ook om hen te verplichten te voldoen aan de essentiële beveiligingsvereisten. De betalingsdienstaanbieders van de betaler moeten op grond van dergelijke overeenkomsten volledig aansprakelijk blijven voor elk verzuim van exploitanten van digitale doorgifteportemonnees om SCA toe te passen en zij moeten het recht hebben om de beveiligingsvoorschriften van de exploitant van de portemonnee te auditen en te controleren.
(120) Wanneer technischedienstaanbieders of exploitanten van betalingssystemen diensten verlenen aan begunstigden of aan de betalingsdienstaanbieders van begunstigden of betalers, moeten zij de toepassing van sterke cliëntauthenticatie ondersteunen binnen de grenzen van hun rol bij het initiëren of uitvoeren van betalingstransacties. Gezien de rol die zij spelen om ervoor te zorgen dat de belangrijkste beveiligingsvereisten met betrekking tot retailbetalingen naar behoren worden uitgevoerd, onder meer door passende IT-oplossingen aan te bieden, moeten technischedienstaanbieders en exploitanten van betalingssystemen aansprakelijk worden gesteld voor de financiële schade die wordt berokkend aan begunstigden of aan de betalingsdienstaanbieders van de begunstigden of van de betalers indien zij de toepassing van sterke cliëntauthenticatie niet ondersteunen.
(121) De lidstaten moeten de autoriteiten aanwijzen die bevoegd zijn voor het verlenen van vergunningen aan betalingsinstellingen en voor de accreditatie van en de monitoring van procedures voor alternatieve geschillenbeslechting (alternative dispute resolution — ADR).
(122) Onverminderd het recht van cliënten om een rechtsvordering in te stellen, moeten de lidstaten ervoor zorgen dat er tussen betalingsdienstaanbieders en betalingsdienstgebruikers gemakkelijk toegankelijke, adequate, onafhankelijke, onpartijdige, transparante en doeltreffende ADR-procedures bestaan. In Verordening (EG) nr. 593/2008 van het Europees Parlement en de Raad53 is bepaald dat een bij overeenkomst gemaakte keuze betreffende het op de overeenkomst toepasselijke recht de bescherming die consumenten genieten op grond van de dwingende bepalingen van het recht van het land waar zij hun gewone verblijfplaats hebben, niet mag aantasten. Met het oog op de vaststelling van een efficiënte en doeltreffende geschillenbeslechtingsprocedure moeten de lidstaten ervoor zorgen dat betalingsdienstaanbieders zich aansluiten bij een ADR-procedure die voldoet aan de kwaliteitseisen van Richtlijn 2013/11/EU van het Europees Parlement en de Raad54, om geschillen te beslechten voordat zij zich tot een rechtbank wenden. De aangewezen bevoegde autoriteiten moeten de Commissie in kennis stellen van een of meer bevoegde ADR-entiteiten van goede kwaliteit op hun grondgebied om nationale en grensoverschrijdende geschillen te beslechten en samen te werken met betrekking tot geschillen over rechten en plichten uit hoofde van deze verordening.
(123) Consumenten moeten het recht hebben hun rechten met betrekking tot de verplichtingen die uit hoofde van deze verordening aan aanbieders van betalingsdiensten en elektronischgelddiensten worden opgelegd, af te dwingen door middel van representatieve vorderingen overeenkomstig Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad55.
(124) Er moeten passende procedures worden vastgesteld om klachten in te dienen tegen betalingsdienstaanbieders die hun verplichtingen niet nakomen en om ervoor te zorgen dat in voorkomend geval doeltreffende, evenredige en afschrikkende sancties worden opgelegd. Om ervoor te zorgen dat deze verordening daadwerkelijk wordt nageleefd, moeten de lidstaten bevoegde autoriteiten aanwijzen die voldoen aan de voorwaarden van Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad56 en die onafhankelijk van de betalingsdienstaanbieders optreden. De lidstaten moeten de Commissie meedelen welke autoriteiten zijn aangewezen, met een duidelijke beschrijving van hun taken.
(125) Onverminderd het recht om een gerechtelijke procedure in te stellen teneinde de naleving van deze verordening te waarborgen, moeten de bevoegde autoriteiten de krachtens deze verordening verleende noodzakelijke bevoegdheden uitoefenen, waaronder de bevoegdheid om vermeende inbreuken te onderzoeken en administratieve sancties en administratieve maatregelen op te leggen, wanneer de betalingsdienstaanbieder de in deze verordening vastgestelde rechten en plichten niet nakomt, met name indien er sprake is van een risico op herhaling of een ander punt van zorg voor collectieve consumentenbelangen. De bevoegde autoriteiten moeten doeltreffende mechanismen opzetten om de melding van potentiële of feitelijke inbreuken aan te moedigen. Deze mechanismen mogen geen afbreuk doen aan de rechten van de verdediging van eenieder tegen wie een vervolging is ingesteld.
(126) Van de lidstaten moet worden verlangd dat zij voorzien in doeltreffende, evenredige en afschrikkende administratieve sancties en administratieve maatregelen met betrekking tot inbreuken op de bepalingen van deze verordening. Die administratieve sancties, dwangsommen en administratieve maatregelen moeten voldoen aan bepaalde minimumvereisten, waaronder de minimale bevoegdheden die de bevoegde autoriteiten moeten krijgen om deze op te leggen, de criteria waarmee de bevoegde autoriteiten bij de toepassing ervan rekening moeten houden bij de bekendmaking ervan en bij de rapportage daarover. De lidstaten moeten specifieke regels en doeltreffende mechanismen vaststellen voor de toepassing van dwangsommen.
(127) Aan de bevoegde autoriteiten moet de bevoegdheid worden verleend om administratieve geldboeten op te leggen die hoog genoeg zijn om de te verwachten winsten teniet te doen en die zelfs op grotere instellingen een afschrikkend effect hebben.
(128) Bij het opleggen van administratieve sancties en maatregelen moeten de bevoegde autoriteiten bij het bepalen van het soort administratieve sancties of andere administratieve maatregelen en de hoogte van administratieve geldboeten rekening houden met eerdere strafrechtelijke sancties die zijn opgelegd aan dezelfde natuurlijke persoon of rechtspersoon die voor dezelfde inbreuk verantwoordelijk is. Dit moet ervoor zorgen dat alle sancties en andere administratieve maatregelen die met het oog op bestraffing worden opgelegd in geval van duplicatie van administratieve en strafrechtelijke procedures, niet strenger zijn dan gezien de ernst van de betrokken inbreuk noodzakelijk is.
(129) Een doeltreffend toezichtsysteem vereist dat toezichthouders op de hoogte zijn van de zwakke punten in de naleving door de betalingsdienstaanbieders van de regels van deze verordening. Daarom is het belangrijk dat toezichthouders elkaar in kennis kunnen stellen van administratieve sancties en maatregelen die aan betalingsdienstaanbieders worden opgelegd, wanneer dergelijke informatie ook voor andere toezichthouders relevant zou zijn.
(130) De doeltreffendheid van het Uniekader voor betalingsdiensten hangt af van de samenwerking tussen een breed scala aan bevoegde autoriteiten, waaronder de nationale autoriteiten die verantwoordelijk zijn voor belastingen, gegevensbescherming, mededinging, consumentenbescherming, audit, politie en andere handhavingsautoriteiten. De lidstaten moeten ervoor zorgen dat hun rechtskader een dergelijke samenwerking waar nodig mogelijk maakt en vergemakkelijkt om de doelstellingen van het Uniekader voor betalingsdiensten te verwezenlijken, ook door een correcte handhaving van de regels ervan. Deze samenwerking moet de uitwisseling van informatie en wederzijdse bijstand voor de doeltreffende tenuitvoerlegging van administratieve sancties omvatten, met name bij de grensoverschrijdende invordering van geldboeten.
(131) Ongeacht hun benaming in het nationale recht zijn vormen van versnelde tenuitvoerleggingsprocedures of schikkingsovereenkomsten in veel lidstaten te vinden en worden zij gebruikt als alternatief voor formele procedures om te komen tot een snellere vaststelling van een besluit tot oplegging van een administratieve sanctie of administratieve maatregel of om een einde te maken aan de vermeende inbreuk en de gevolgen ervan voordat een formele sanctieprocedure wordt ingeleid. Hoewel het niet passend lijkt te streven naar harmonisatie op het niveau van de Unie van dergelijke door veel lidstaten ingevoerde handhavingsmethoden, gezien de zeer uiteenlopende juridische benaderingen die op nationaal niveau worden gehanteerd, moet worden erkend dat dergelijke methoden de bevoegde autoriteiten die deze kunnen toepassen, in staat stellen om inbreukzaken in bepaalde omstandigheden sneller, goedkoper en in het algemeen doeltreffender te behandelen, en daarom moeten deze worden aangemoedigd. De lidstaten mogen echter niet worden verplicht dergelijke handhavingsmethoden in hun rechtskader op te nemen of de bevoegde autoriteiten te verplichten deze toe te passen indien zij dit niet passend achten.
(132) De lidstaten hebben een breed scala aan administratieve sancties en administratieve maatregelen vastgesteld waarin zij momenteel voorzien voor inbreuken op de belangrijkste bepalingen inzake de regulering van de betalingsdienstverlening en voor inconsistente benaderingen bij het onderzoeken en bestraffen van schendingen van die bepalingen. Als niet duidelijker wordt aangegeven welke kernbepalingen overal in de Unie moeten leiden tot een voldoende afschrikkende handhaving, zou dit de verwezenlijking van de eengemaakte markt voor betalingsdiensten in de weg staan en zou forumshopping kunnen worden gestimuleerd, in de mate dat de bevoegde autoriteiten ongelijk zijn toegerust om deze inbreuken snel en met dezelfde afschrikkende werking in de lidstaten af te dwingen.
(133) Aangezien de dwangsommen tot doel hebben natuurlijke of rechtspersonen die verantwoordelijk zijn bevonden voor een lopende inbreuk of die een bevel van de onderzoekende bevoegde autoriteit moeten opvolgen, te dwingen dat bevel na te leven of de lopende inbreuk te beëindigen, mag de toepassing van dwangsommen de bevoegde autoriteiten er niet van weerhouden verdere administratieve sancties op te leggen voor dezelfde inbreuk.
(134) Tenzij de lidstaten anders bepalen, moeten dwangsommen op een dagelijkse basis worden berekend.
(135) De bevoegde autoriteiten moeten van de lidstaten de bevoegdheid krijgen om dergelijke administratieve sancties en administratieve maatregelen op te leggen aan betalingsdienstaanbieders of andere natuurlijke of rechtspersonen indien dit relevant is om de situatie in het geval van een inbreuk te verhelpen. Het scala aan sancties en maatregelen moet voldoende breed zijn om de lidstaten en de bevoegde autoriteiten in staat te stellen rekening te houden met de verschillen tussen betalingsdienstaanbieders, met name tussen kredietinstellingen en andere betalingsinstellingen, wat de omvang, kenmerken en aard van hun bedrijfsactiviteiten betreft.
(136) De bekendmaking van een administratieve sanctie of maatregel voor inbreuken op bepalingen van deze verordening kan een sterk afschrikkend effect hebben om herhaling van een dergelijke inbreuk tegen te gaan. Door deze bekendmaking worden ook andere entiteiten, alvorens een zakelijke relatie aan te gaan, geïnformeerd over de risico’s die verbonden zijn aan de aan sancties onderworpen betalingsdienstaanbieder, en worden de bevoegde autoriteiten in andere lidstaten geholpen met betrekking tot de risico’s die verbonden zijn aan een betalingsdienstaanbieder die grensoverschrijdend actief is in hun lidstaat. Om die redenen moet de bekendmaking van besluiten inzake administratieve sancties en administratieve maatregelen worden toegestaan voor zover het rechtspersonen betreft. Bij het nemen van een besluit over de bekendmaking van een administratieve sanctie of administratieve maatregel moeten de bevoegde autoriteiten rekening houden met de ernst van de inbreuk en de afschrikkende werking die de bekendmaking waarschijnlijk zal hebben. Een dergelijke bekendmaking met betrekking tot natuurlijke personen kan echter op onevenredige wijze afbreuk doen aan hun rechten die voortvloeien uit het Handvest van de grondrechten en de toepasselijke wetgeving van de Unie inzake gegevensbescherming. Daarom moet de bekendmaking op geanonimiseerde wijze plaatsvinden, tenzij de bevoegde autoriteit het noodzakelijk acht besluiten met persoonsgegevens bekend te maken met het oog op de doeltreffende handhaving van deze verordening, ook in het geval van openbare verklaringen of tijdelijke verboden. In dergelijke gevallen moet de bevoegde autoriteit haar besluit motiveren.
(137) Om nauwkeurigere informatie te verzamelen over de mate van naleving van het Unierecht in de praktijk en tegelijkertijd de handhavingsactiviteiten van de bevoegde autoriteiten zichtbaarder te maken, moet het toepassingsgebied worden uitgebreid en de kwaliteit worden verbeterd van de gegevens die de bevoegde autoriteiten aan de EBA rapporteren. De te rapporteren informatie moet worden geanonimiseerd om te voldoen aan de geldende gegevensbeschermingsregels en in geaggregeerde vorm worden verstrekt om te voldoen aan de regels inzake beroepsgeheim en vertrouwelijkheid met betrekking tot procedures. De EBA moet regelmatig verslag uitbrengen aan de Commissie over de voortgang van de handhavingsmaatregelen in de lidstaten.
(138) Aan de Commissie moet de bevoegdheid worden gedelegeerd om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen tot actualisering, teneinde rekening te houden met de inflatie, van de bedragen tot welke een betaler kan worden verplicht de verliezen te dragen die voortvloeien uit niet-toegestane betalingstransacties die voortvloeien uit het gebruik van een verloren of gestolen betaalinstrument of uit het onrechtmatig gebruik van een betaalinstrument. De Commissie moet er bij de voorbereiding van gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.
(139) Om een consistente toepassing van deze verordening te waarborgen, moet de Commissie een beroep kunnen doen op de deskundigheid en ondersteuning van de EBA, die tot taak moet hebben richtsnoeren en ontwerpen van technische regulerings- en uitvoeringsnormen op te stellen. De Commissie moet de bevoegdheid krijgen om deze ontwerpen van technische reguleringsnormen vast te stellen. Bij de opstelling van richtsnoeren, ontwerpen van technische reguleringsnormen en ontwerpen van technische uitvoeringsnormen uit hoofde van deze verordening en overeenkomstig Verordening (EU) nr. 1093/2010, moet de EBA alle relevante belanghebbenden raadplegen, onder meer deze op de markt voor betalingsdiensten, waarbij alle betrokken belangen tot uiting komen.
(140) Overeenkomstig artikel 9, lid 5, van Verordening (EU) nr. 1093/2010 moeten aan de EBA productinterventiebevoegdheden worden verleend om bepaalde soorten of specifieke kenmerken van een betalingsdienst of een elektronischgelddienst waarvan is vastgesteld dat zij consumenten schade kunnen berokkenen en de ordelijke werking en de integriteit van de financiële markten bedreigen, tijdelijk te verbieden of te beperken in de Unie. Verordening (EU) nr. 1093/2010 moet derhalve dienovereenkomstig worden gewijzigd.
(141) De bijlage bij Verordening (EU) 2017/2394 van het Europees Parlement en de Raad57 moet worden gewijzigd om een verwijzing naar deze verordening op te nemen om de grensoverschrijdende samenwerking bij de handhaving van deze verordening te vergemakkelijken.
(142) Daar de doelstelling van deze verordening, te weten verdere integratie van een interne markt voor betalingsdiensten, niet voldoende door de lidstaten kan worden verwezenlijkt, omdat zulks de harmonisatie vereist van een aantal verschillende voorschriften van Unie- en nationaal recht, maar vanwege de omvang en de gevolgen ervan beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.
(143) In overweging genomen dat deze verordening en Richtlijn (EU) XXX (PSD3) het rechtskader voor het aanbieden van retailbetalingsdiensten en elektronischgelddiensten binnen de Unie vaststellen, moet deze verordening, teneinde de rechtszekerheid en de samenhang van het rechtskader van de Unie te waarborgen, van toepassing zijn met ingang van dezelfde datum als de datum van toepassing van de wettelijke en bestuursrechtelijke bepalingen die de lidstaten moeten vaststellen om te voldoen aan Richtlijn (EU) XXX (PSD3). De bepalingen op grond waarvan betalingsdienstaanbieders in geval van overmakingen discrepanties tussen de naam en de unieke identificator van een begunstigde moeten verifiëren en de bijbehorende aansprakelijkheidsregeling moeten echter 24 maanden na de datum van inwerkingtreding van deze verordening van toepassing zijn, zodat betalingsdienstaanbieders voldoende tijd krijgen om de nodige stappen te ondernemen om hun interne systemen aan te passen om aan die vereisten te voldoen.
(144) In overeenstemming met de beginselen van betere regelgeving moet deze verordening worden geëvalueerd op haar doeltreffendheid en efficiëntie bij de verwezenlijking van haar doelstellingen. De evaluatie moet voldoende lang na de datum van toepassing van deze verordening plaatsvinden, zodat er voldoende bewijsmateriaal is waarop de evaluatie kan worden gebaseerd. Vijf jaar wordt als een passende periode beschouwd. Hoewel bij de herziening rekening moet worden gehouden met deze verordening als geheel, moet bijzondere aandacht worden besteed aan bepaalde onderwerpen, namelijk het functioneren van open bankieren, het aanrekenen van kosten voor betalingsdiensten en verdere oplossingen ter bestrijding van fraude. Wat het toepassingsgebied van deze verordening betreft, is het echter passend om al eerder, drie jaar na de inwerkingtreding, een evaluatie uit te voeren, gezien het belang dat aan dat onderwerp wordt gehecht in artikel 58, lid 2, van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad58. Bij die evaluatie van het toepassingsgebied moeten zowel de mogelijke uitbreiding van de lijst van onder de verordening vallende betalingsdiensten tot diensten zoals die welke door betalingssystemen en betalingsregelingen worden verricht, als de mogelijke opneming in het toepassingsgebied van sommige technische diensten die momenteel zijn uitgesloten, in aanmerking worden genomen.
(145) Deze verordening eerbiedigt de grondrechten en neemt de beginselen in acht die bij het Handvest van de grondrechten van de Europese Unie zijn erkend, waaronder het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht om niet tweemaal in een strafrechtelijke procedure voor hetzelfde delict te worden berecht of gestraft. Deze verordening moet worden toegepast overeenkomstig deze rechten en beginselen.
(146) Verwijzingen naar bedragen in euro moeten worden opgevat als het corresponderende bedrag in de eigen munteenheid van lidstaten die niet de euro als munt hebben.
(147) De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad59 en heeft op [XX 2023] een advies uitgebracht60.