Question ID:
2019_4752
Legal Act:
Directive 2015/2366/EU (PSD2)
Topic:
Authorisation and registration
Article:
98
COM Delegated or Implementing Acts/RTS/ITS/GLs/Recommendations:
Regulation (EU) 2018/389 - RTS on strong customer authentication and secure communication
Article/Paragraph:
Article 30/ Paragraph 1-4
Disclose name of institution / entity:
No
Type of submitter:
Consultancy firm
Subject Matter:
Authorisation for the provision of PIS and AIS on behalf of other legal entities belonging to the same corporate group / Autorizzazione ad offrire servizi di PIS e AIS per conto di altre Legal Entity appartenenti allo stesso Gruppo societario
Question:

In a corporate group which is not listed in the register of banking groups and in which there is both an electronic money institution and a credit institution, can the electronic money institution offer payment initiation services (PIS) and account information services (AIS), including on behalf of the group’s credit institution that also provides the same service?

Must the electronic money institution as a service provider offering PIS and AIS to clients of the group’s credit institution provide its own certificate, the group certificate, or the credit institution’s certificate to the other account servicing payment service providers (ASPSPs)? Or, as it is merely a service provider, is it the credit institution’s certificate that should be displayed?

Can a corporate group request a group certificate to provide to the other ASPSPs and/or third party providers (TPPs)?

***

IT: 

In un Gruppo societario, che non è iscritto al registro dei Gruppi Bancari e al cui interno sono presenti sia un Istituto di moneta elettronica che un Ente creditizio, l’Istituto di moneta elettronica può offrire i servizi di PIS e AIS, anche per conto dell’Ente creditizio del Gruppo in qualità di fornitore del servizio stesso?

L’Istituto di moneta elettronica che offre i servizi di PIS e AIS ai clienti dell’Ente creditizio di Gruppo, in qualità di fornitore del servizio, si deve presentare verso gli altri ASPSP con il proprio certificato, con il certificato di Gruppo oppure con il certificato dell’Ente creditizio? O in quanto mero fornitore del servizio, il certificato da esporre è quello dell’Ente creditizio?

Un Gruppo societario può richiedere un certificato di Gruppo per presentarsi alle altre ASPSP e/o TPP?

Background on the question:

We are a consultancy firm working for a major corporate group in which there are two legal entities – an electronic money institution and a credit institution – that wish to offer PIS and AIS to their clients.

In order not to replicate the services offered, the electronic money institution would like to develop its AIS and PIS by also offering them as a service provider on behalf of the credit institution, so that there is no duplication.

The two legal entities would also like to know whether it is possible to provide a single certificate to other ASPSPs.

***

IT:

In qualità di società di consulenza, stiamo lavorando per un importante Gruppo Societario all’interno del quale sono presenti due Legal Entity, un Istituto di moneta elettronica e un Ente creditizio, intenzionate ad offrire servizi di PIS e AIS ai propri clienti.

Al fine di non replicare i servizi offerti, l’Istituto di moneta elettronica vorrebbe sviluppare i servizi di AIS e PIS offrendoli anche per conto dell’Ente creditizio, in qualità di fornitore, in modo da non replicare gli sviluppi.

Inoltre, le due Legal Entity vorrebbero capire se sia possibile presentarsi verso gli altri ASPSP con un unico certificato.

Date of submission:
29/05/2019
Published as Final Q&A:
25/09/2020
EBA Answer:

Following the requirement of Article 111(1)(a) of Directive 2015/2366/EU (PSD2), Article 11 of PSD2 applies mutatis mutandis to electronic money institutions (EMIs) and thus EMIs are entitled to provide ‘payment initiation services’ (PIS) and ‘account information services’ (AIS) as listed in items 7 and 8 of Annex I to PSD2. Paragraph 26 of the EBA Opinion on the use of eIDAS certificates under the RTS on SCA and CSC (EBA-Op-2018-7) further specified that the roles that could be assigned to EMIs that would like to obtain an eIDAS certificate should be limited to the payment services for which the respective EMI has been authorised.

Paragraphs 20 of the same Opinion acknowledged that payment service providers (PSPs) may use agents or technical service providers (outsource providers) for the activities related to access to the online accounts held within an ASPSP. However, PSPs remain fully responsible and liable for the acts of their agents and outsource providers.

Paragraph 21 of the Opinion, in turn, clarified that ASPSP should accept eIDAS certificates presented by agents or outsource providers acting on behalf of third party provider, provided that the ASPSP is in a position to unequivocally identify the principal TPP in the presented certificate.

It follows from the above that a credit institution, acting in its capacity as a TPP, can use an EMI that is authorised to offer AIS and PIS  to access an online payment account held with an ASPSP using a certificate issued to the credit institution, provided that the ASPSP is in a position to unequivocally identify the credit institution (the principal TPP) in the presented certificate. If, on the other hand, an EMI that is authorised to offer AIS and PIS provides these services to customers in its capacity as a TPP, it should have and use its own eIDAS certificate when identifying itself towards an ASPSP.

Finally, Article 30(1) of the Commission Delegated Regulation (EU) 2018/389 specifies that account information service providers, payment initiation service providers and PSPs issuing card-based payment instruments should be able to identify themselves towards the ASPSP. Further, Article 34(1) of the Delegated Regulation requires that for the purpose of identification, PSPs rely on qualified certificates for electronic seals as referred to in Article 3(30) of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions   or for website authentication as referred to in Article 3(39) of that Regulation. This means that –for the purpose of PSD2 and the Delegated Regulation– eIDAS certificates should be issued to a specific PSP and that these certificates cannot be issued to a group of PSPs.

***

IT:

Conformemente al requisito di cui all’articolo 111, paragrafo 1, lettera a), della direttiva (UE) 2015/2366 (PSD2), l’articolo 11 della suddetta si applica in quanto compatibile agli istituti di moneta elettronica (IMEL) e pertanto gli IMEL sono autorizzati a fornire «servizi di disposizione di ordine di pagamento» (PIS) e «servizi di informazione sui conti» (AIS) di cui ai punti 7 e 8 dell’allegato I della PSD2. Il paragrafo 26 del parere dell’ABE sull’uso di certificati eIDAS nell’ambito delle NTR sull’autenticazione forte del cliente e su una comunicazione comune e sicura (EBA-Op-2018-7) specifica ulteriormente che i ruoli assegnabili agli IMEL che vorrebbero ottenere un certificato eIDAS dovrebbero essere limitati ai servizi di pagamento per i quali tale istituto è stato autorizzato.

Il paragrafo 20 del suddetto parere riconosce che un prestatore di servizi di pagamento (PSP) può ricorrere ad agenti o prestatori di servizi tecnici (prestatori esterni) per le attività relative all’accesso ai conti online detenuti da un prestatore di servizi di pagamento di radicamento del conto (ASPSP). Tuttavia, il PSP resta pienamente responsabile dell’operato dei propri agenti e prestatori esterni e deve rispondere delle loro azioni.

Il paragrafo 21 del suddetto parere, d’altro canto, chiarisce che l’ASPSP dovrebbe accettare i certificati eIDAS presentati dall’agente o dal prestatore esterno che agisce per conto del prestatore terzo, purché l’ASPSP sia in grado di identificare inequivocabilmente il TPP principale del certificato presentato.

Ne consegue che un ente creditizio che agisce in qualità di TPP, può ricorrere a un IMEL autorizzato a offrire AIS e PIS per accedere a un conto di pagamento online detenuto presso un ASPSP mediante un certificato emesso dall’ente creditizio, purché tale ASPSP sia in grado di identificare inequivocabilmente l’ente creditizio (il TPP principale) nel certificato presentato. D’altro canto, qualora un IMEL autorizzato a offrire AIS e PIS fornisca tali servizi ai clienti in qualità di TPP, esso dovrebbe possedere e utilizzare un proprio certificato eIDAS per identificarsi nei confronti di un ASPSP.

Infine, l’articolo 30, paragrafo 1, del regolamento delegato (UE) 2018/389 della Commissione specifica che i prestatori di servizi di informazione sui conti, i prestatori di servizi di disposizione di ordine di pagamento e i prestatori di servizi di pagamento che emettono strumenti di pagamento basati su carta dovrebbero potersi identificare nei confronti dell’ASPSP. Inoltre, l’articolo 34, paragrafo 1, del regolamento delegato dispone che ai fini dell’identificazione, i PSP si avvalgono dei certificati qualificati di sigillo elettronico di cui all’articolo 3, punto 30), del regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche o di autenticazione di sito web di cui all’articolo 3, punto 39), del suddetto regolamento. Ciò significa che, ai fini della PSD2 e del regolamento delegato, i certificati eIDAS dovrebbero essere rilasciati a uno specifico PSP e che tali certificati non possono essere rilasciati a un gruppo di PSP.

Status:
Final Q&A