Question ID:
2018_4123
Legal Act:
Directive 2015/2366/EU (PSD2)
Topic:
Other topics
Article:
64
COM Delegated or Implementing Acts/RTS/ITS/GLs:
Regulation (EU) 2018/389 - RTS on strong customer authentication and secure communication
Article/Paragraph:
Art. 32, paragraph 3
Type of submitter:
Individual
Subject Matter:
Explicit consent required by the ASPSP from the PSU to enable the PSU to use the services provided by TPPs / Consenso esplicito richiesto dall’ASPSP al PSU per consentirgli di avvalersi dei servizi prestati dai TPP
Question:

May the requirement by the ASPSP for the PSU to give additional explicit consent in order to be allowed to use the services provided by TPPs, in addition to the consent given by the PSU to the TPP, be considered an ‘obstacle to the provision of payment initiation services and of account information services’ pursuant to Article 32 of the RTS?

***

IT:

Puo’ un ulteriore consenso esplicito richiesto dall’ASPSP al PSU per consentirgli di avvalersi dei servizi prestati dai TPP, in aggiunta al consenso prestato dal PSU al TPP, essere considerato un “ostacolo alla prestazione dei servizi di disposizione di ordine di pagamento e di informazione sui conti” ai sensi dell’Articolo 32 del RTS?

Background on the question:

With reference to Article 32 of the EBA document entitled ‘RTS on SCA and CSC’:


"Account servicing payment service providers that have put in place a dedicated interface shall ensure that this interface does not create obstacles to the provision of payment initiation and account information services. Such obstacles, may include, among others, preventing the use by payment service providers referred to in Article 30(1) of the credentials issued by account servicing payment service providers to their customers, imposing redirection to the account servicing payment service provider's authentication or other functions, requiring additional authorisations and registrations in addition to those provided for in Articles 11, 14 and 15 of Directive 2015/2366, or requiring additional checks of the consent given by payment service users to providers of payment initiation and account information services"

and to GL. 5.2 C of the EBA document “Guidelines on the conditions to be met under art 33 (6) of RTS”:


there are no additional checks on the consent given by the PSU to the PISP, AISP or CBPII to access the information of the payment account held in the ASPSP or initiate payments

and to reference 13 of the EBA document entitled ‘Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC”:

It is the EBA’s view, after discussing it with the Commission, that, where AIS or PIS are provided to a payment service user (PSU) following a contract that has been signed by both parties, ASPSPs do not have to check consent. It suffices that AISPs and PISPs can rely on the authentication procedures provided by the ASPSPs to the PSU, when it comes to the expression of explicit consent.

***

IT:

In riferimento all’Articolo 32 del documento EBA “RTS on SCA and CSC”:

“Account servicing payment service providers that have put in place a dedicated interface shall ensure that this interface does not create obstacles to the provision of payment initiation and account information services. Such obstacles, may include, among others, preventing the use by payment service providers referred to in Article 30(1) of the credentials issued by account servicing payment service providers to their customers, imposing redirection to the account servicing payment service provider's authentication or other functions, requiring additional authorisations and registrations in addition to those provided for in Articles 11, 14 and 15 of Directive 2015/2366, or requiring additional checks of the consent given by payment service users to providers of payment initiation and account information services “

E alla GL. 5.2 C del documento EBA “Guidelines on the conditions to be met under art 33 (6) of RTS”:

“ there are no additional checks on the consent given by the PSU to the PISP, AISP or CBPII to access the information of the payment account held in the ASPSP or initiate payments; “

E al rif.13 del documento EBA “Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC”:

“It is the EBA’s view, after discussing it with the Commission, that, where AIS or PIS are provided to a payment service user (PSU) following a contract that has been signed by both parties, ASPSPs do not have to check consent. It suffices that AISPs and PISPs can rely on the authentication procedures provided by the ASPSPs to the PSU, when it comes to the expression of explicit consent”.

Date of submission:
17/07/2018
Published as Final Q&A:
11/01/2019
EBA Answer:

In accordance with Article 32(3) of the Commission Delegated Regulation (EU) 2018/389, “Account servicing payment service providers (ASPSPs) that have put in place a dedicated interface shall ensure that this interface does not create obstacles to the provision of payment initiation and account information services. Such obstacles may include, among others […] requiring additional checks of the consent given by payment service users to providers of payment initiation and account information services.”

As clarified in the EBA Guidelines on the conditions to benefit from an exemption from the contingency mechanism under Article 33(6) of Regulation (EU) 2018/389 (EBA/GL/2018/07), any checks by the ASPSP of the consent given by the payment service user (PSU) to the payment initiation service provider (PISP) or the account information service provider (AISP) to access the information on the payment account(s) held with the ASPSP or to initiate payments would constitute an obstacle in the context of Article 32(3) of the Delegated Regulation and Guideline 5.2(c) of the above mentioned Guidelines.

With regard to card-based payment instrument issuers (CBPIIs), PSD2 requires the PSU to provide, in addition to the consent given by the PSU to the CBPII, an explicit consent to the ASPSP to respond to requests from a specific CBPII, before the first request for confirmation is made, in accordance with Article 65(1)(b) and (c) of PSD2. Providing such consent to the ASPSP would not be an obstacle and is legally required. However, any additional checks on the consent given by the PSU to the CBPII, beyond the consent given to the ASPSP in accordance with Article 65(1)(b) and (c) of PSD2, would represent an obstacle, in accordance with Article 32(3) of the Delegated Regulation and Guideline 5.2(d) of the Guidelines on the conditions to benefit from an exemption from the contingency mechanism.

 

* This Q&A (originally published on 11 01 2019) has been amended on 08 03 2019 to reflect the publication of the EBA Guidelines on the conditions to benefit from an exemption from the contingency mechanism under Article 33(6) of Regulation (EU) 2018/389 (EBA/GL/2018/07). For reasons of transparency, the original answer is included hereafter:

'As stated in the EBA Opinion on the implementation of the RTS on SCA and CSC, published in June 2018, “where Account Information Services (AIS) or Payment Initiation Services (PIS) are provided to a payment service user (PSU) following a contract that has been signed by both parties, Account Servicing Payment Service Providers (ASPSPs) do not have to check consent. It suffices that AISPs and PISPs can rely on the authentication procedures provided by the ASPSPs to the PSU, when it comes to the expression of explicit consent”.

Also, Article 32(3) of the Commission Delegated Regulation (EU) 2018/389 states that “obstacles may include, among others […] requiring additional checks of the consent given by payment service users to providers of payment initiation and account information services.” Requiring any additional check in addition to the authentication procedures provided by the ASPSP to the PSU would be an obstacle for the provision of AIS and PIS. With regard to card-based payment instrument issuers, PSD2 requires the payer to have “given explicit consent to the account servicing payment service provider to respond to requests from a specific payment service provider to confirm that the amount corresponding to a certain card-based payment transaction is available on the payer’s payment account”.

Providing such consent would not be an obstacle and is legally required.'

***

IT:

In conformità dell’Articolo 32, paragrafo 3, del Regolamento delegato della Commissione (UE) 2018/389, «[i] prestatori di servizi di pagamento di radicamento del conto che abbiano predisposto un’interfaccia dedicata provvedono affinché tale interfaccia non crei ostacoli alla prestazione dei servizi di disposizione di ordine di pagamento e di informazione sui conti. Detti ostacoli possono consistere, tra l’altro, [...] nel richiedere ulteriori verifiche del consenso dato dagli utenti dei servizi di pagamento ai prestatori di servizi di disposizione di ordine di pagamento e di servizi di informazione sui conti.»

Come chiarito dall’ABE nei suoi «Orientamenti sulle condizioni per beneficiare dell’esenzione dal meccanismo di emergenza a norma dell’articolo 33, paragrafo 6, del regolamento (UE) 2018/389» (EBA/GL/2018/07), eventuali verifiche eseguite dal prestatore di servizi di pagamento di radicamento del conto del consenso dato dall’utente di servizi di pagamento al prestatore di servizi di disposizione di ordine di pagamento o di servizi di informazione sui conti per accedere alle informazioni sul conto o sui conti di pagamento detenuti presso il prestatore di servizi di pagamento del radicamento del conto o per disporre pagamenti costituiscono un ostacolo nel contesto dell’articolo 32, paragrafo 3, del regolamento delegato e del paragrafo 5.2, lettera c), dei medesimi orientamenti.

Per quanto riguarda gli emittenti di strumenti di pagamento basati su carta, la PSD2 impone all’utente di servizi di pagamento di rilasciare, unitamente al consenso dato dallo stesso all’emittente di strumenti di pagamento basati su carta, un consenso esplicito al prestatore di servizi di pagamento di radicamento del conto affinché risponda alle richieste da parte di uno specifico emittente di strumenti di pagamento basati su carta, prima che sia stata avanzata la prima richiesta di conferma, conformemente all’articolo 65, paragrafo 1, lettere b) e c), della PSD2. Il rilascio di tale consenso al prestatore di servizi di pagamento di radicamento del conto non costituisce un ostacolo ed è richiesto a norma di legge. Tuttavia, eventuali ulteriori verifiche del consenso dato dall’utente di servizi di pagamento all’emittente di strumenti di pagamento basati su carta, oltre al consenso dato al prestatore di servizi di pagamento di radicamento del conto in conformità dell’articolo 65, paragrafo 1, lettere b) e c), della PSD2, costituiscono un ostacolo ai sensi dell’articolo 32, paragrafo 3, del regolamento delegato e in base all’orientamento 5.2, lettera d), degli orientamenti sulle condizioni per beneficiare dell’esenzione dal meccanismo di emergenza.

La presente Q&A (originariamente pubblicata l’11/01/2019) è stata modificata l’8/03/2019 per tenere conto degli Orientamenti ABE sulle condizioni per beneficiare dell’esenzione dal meccanismo di emergenza a norma dell’Articolo 33, paragrafo 6, del Regolamento (UE) 2018/389 (EBA/GL/2018/07). Per trasparenza, la risposta originaria è qui riproposta in calce:

Come menzionato nel parere dell’EBA sull’attuazione delle norme tecniche di regolamentazione in materia di autenticazione forte del cliente nonché di comunicazione comune e sicura, pubblicato nel giugno 2018, «qualora i servizi d’informazione sui conti o i servizi di disposizione di ordine di pagamento siano forniti a un utente dei servizi di pagamento a seguito di un contratto firmato da entrambe le parti, i prestatori di servizi di pagamento di radicamento del conto non sono tenuti a verificare il consenso. È sufficiente che i prestatori di servizi di informazione sui conti e i prestatori di servizi di disposizione di ordine di pagamento possano fare affidamento sulle procedure di autenticazione fornite dai prestatori di servizi di pagamento di radicamento del conto agli utenti dei servizi di pagamento, quando si tratta di esprimere un consenso esplicito.» Inoltre, l’articolo 32, paragrafo 3, del regolamento delegato (UE) 2018/389 della Commissione stabilisce che gli «ostacoli possono consistere, tra l’altro, [...] nel richiedere ulteriori verifiche del consenso dato dagli utenti dei servizi di pagamento ai prestatori di servizi di disposizione di ordine di pagamento e di servizi di informazione sui conti.» La richiesta di qualsiasi ulteriore verifica in aggiunta alle procedure di autenticazione fornite dai prestatori di servizi di pagamento di radicamento del conto all’utente dei servizi di pagamento costituirebbe un ostacolo per la fornitura dei servizi d’informazione sui conti e dei servizi di disposizione di ordine di pagamento. Per quanto concerne gli emittenti di strumenti di pagamento basati su carta, la seconda direttiva sui servizi di pagamento stabilisce che il pagatore presti «il consenso esplicito al prestatore di servizi di pagamento di radicamento del conto affinché risponda alle richieste di conferma da parte di uno specifico prestatore di servizi di pagamento in merito alla disponibilità sul conto di pagamento del pagatore dell’importo corrispondente a una determinata operazione di pagamento basata su carta.» L’espressione di tale consenso non costituisce un ostacolo ed è richiesta a norma di legge.”

 

Status:
Final Q&A