5 b kap. Operativa risker och stark kundautentisering
Ur Lag (2010:751) om betaltjänster
Sammanfattning
En betaltjänstleverantör ska ha ett system med lämpliga åtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som den tillhandahåller (1 §).
En betaltjänstleverantör ska så snart det kan ske underrätta Finansinspektionen om en allvarlig operativ incident eller säkerhetsincident som uppkommit i verksamheten, om inte leverantören omfattas av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554 (3 §).
En betaltjänstleverantör ska tillämpa stark kundautentisering när betalaren loggar in på sitt betalkonto online, initierar en elektronisk betalningstransaktion eller genomför någon åtgärd på distans som kan innebära en risk för svikligt förfarande eller andra former av missbruk, om inte annat följer av tekniska standarder antagna av Europeiska kommissionen (4 §).
En kontoförvaltande betaltjänstleverantör som tillhandahåller betaltjänstanvändaren ett betalkonto som är tillgängligt online ska göra det möjligt för leverantörer av betalningsinitieringstjänster och kontoinformationstjänster att förlita sig på den autentisering som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändaren (5 §).
Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.
Vanliga frågor
När måste en betaltjänstleverantör använda stark kundautentisering?
En betaltjänstleverantör ska tillämpa stark kundautentisering när betalaren loggar in på sitt betalkonto online. Betaltjänstleverantören ska även tillämpa detta när betalaren initierar en elektronisk betalningstransaktion. Det ska också ske när betalaren genomför någon åtgärd på distans som kan innebära en risk för svikligt förfarande eller andra former av missbruk. För elektroniska betalningstransaktioner på distans ska betaltjänstleverantören tillämpa stark kundautentisering som kopplar transaktionen till ett specifikt belopp och en specifik betalningsmottagare. Detta gäller inte om annat följer av tekniska standarder som antagits av Europeiska kommissionen. (4 §)
Vad ska hända om en allvarlig säkerhetsincident påverkar betaltjänstanvändarnas pengar?
Om en allvarlig operativ incident eller säkerhetsincident påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen ska betaltjänstleverantören så snart det kan ske informera användarna om incidenten. Betaltjänstleverantören ska även informera om de åtgärder som kan vidtas för att begränsa risken för skada. Detta gäller inte för betaltjänstleverantörer som omfattas av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554. (3 §)
Får andra leverantörer använda bankens autentisering för att nå ett betalkonto?
En kontoförvaltande betaltjänstleverantör som tillhandahåller betaltjänstanvändaren ett betalkonto som är tillgängligt online ska göra det möjligt för leverantörer av betalningsinitieringstjänster och kontoinformationstjänster att förlita sig på den autentisering som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändaren. (5 §)
Lagtext
1 §
En betaltjänstleverantör ska ha ett system med lämpliga åtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som den tillhandahåller. Inom ramen för detta system ska betaltjänstleverantören reglera hur incidenter ska hanteras. För betaltjänstleverantörer som omfattas av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 gäller även kapitel II i den förordningen. Lag (2024:1286) .
Lag (2024:1286)
2 §
En betaltjänstleverantör ska till Finansinspektionen rapportera vilka operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som leverantören tillhandahåller och vilka åtgärder som har vidtagits för att hantera dessa risker. Betaltjänstleverantören ska till Finansinspektionen lämna statistiska uppgifter om svikliga förfaranden som har ägt rum i samband med användningen av leverantörens betaltjänster. Lag (2018:175) .
Lag (2018:175)
1 paragraf refererar hit
3 §
En betaltjänstleverantör ska så snart det kan ske underrätta Finansinspektionen om en allvarlig operativ incident eller säkerhetsincident som uppkommit i verksamheten. Finansinspektionen ska så snart det kan ske informera Riksbanken, andra berörda svenska myndigheter, Europeiska bankmyndigheten och Europeiska centralbanken. Om incidenten påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen, ska betaltjänstleverantören så snart det kan ske informera användarna om incidenten och om de åtgärder som kan vidtas för att begränsa risken för skada. Första och andra styckena gäller inte för betaltjänstleverantörer som omfattas av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554. Lag (2024:1286) .
Lag (2024:1286)
4 §
En betaltjänstleverantör ska tillämpa stark kundautentisering när betalaren 1. loggar in på sitt betalkonto online, 2. initierar en elektronisk betalningstransaktion, eller 3. genomför någon åtgärd på distans som kan innebära en risk för svikligt förfarande eller andra former av missbruk. För elektroniska betalningstransaktioner på distans enligt första stycket 2 ska betaltjänstleverantören tillämpa stark kundautentisering som kopplar transaktionen till ett specifikt belopp och en specifik betalningsmottagare. När stark kundautentisering tillämpas ska betaltjänstleverantören vidta särskilda åtgärder för att skydda betaltjänstanvändarens personliga behörighetsfunktioner mot obehörig åtkomst och förvanskning. Första och andra styckena gäller inte om annat följer av tekniska standarder som antagits av Europeiska kommissionen i enlighet med artikel 98 i betaltjänstdirektivet. Lag (2018:175) .
Lag (2018:175)
5 §
En kontoförvaltande betaltjänstleverantör som tillhandahåller betaltjänstanvändaren ett betalkonto som är tillgängligt online ska göra det möjligt för leverantörer av betalningsinitieringstjänster och kontoinformationstjänster att förlita sig på den autentisering som den kontoförvaltande betaltjänstleverantören tillhandahåller betaltjänstanvändaren. Lag (2018:175) .
Lag (2018:175)
1 paragraf refererar hit
6 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om 1. hur ett system enligt 1 § första stycket ska utformas, 2. vilka upplysningar en betaltjänstleverantör ska lämna enligt 2 § samt hur och när uppgifterna ska lämnas, 3. vad som utgör en allvarlig operativ incident eller säkerhetsincident enligt 3 § första stycket, 4. hur bedömningen av om en incident påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen enligt 3 § andra stycket ska göras, och 5. hur betaltjänstanvändarna ska informeras enligt 3 § andra stycket. Lag (2024:1286) .
Lag (2024:1286)