Pubblicato nella Gazzetta ufficiale dell’Unione europea del 5 dicembre 2022 il Regolamento Delegato (UE) 2022/2360 della Commissione del 3 agosto 2022 di modifica degli RTS sulla strong customer authentication (autenticazione forte del cliente) ai sensi del regime della direttiva (UE) 2015/2366 (PSD2).
In particolare, il presente regolamento reca modifica alle norme tecniche di regolamentazione in materia di autenticazione forte del cliente e standard aperti di comunicazione comuni e sicuri di cui al Regolamento delegato (UE) 2018/389.
Le modifiche riguardano l’esenzione di 90 giorni per l’accesso ai conti prevista dall’articolo 10 del Regolamento delegato (UE) 2018/389 della Commissione.
Tale norma prevede che i prestatori di servizi di pagamento siano esentati dall’obbligo di eseguire l’autenticazione forte del cliente prevista dall’art. 97 della PSD2 in ipotesi di accesso da parte dell’utente al saldo e alle operazioni recenti di un conto di pagamento senza divulgazione di dati sensibili relativi ai pagamenti.
In simile ipotesi è prevista l’esenzione dall’obbligo di strong customer authentication laddove l’autenticazione sia stata applicata al momento del primo accesso alle informazioni sui conti e successivamente almeno ogni 90 giorni.
In sede di applicazione, la suddetta esenzione ha generato prassi divergenti, per cui in alcuni casi i prestatori di servizi di pagamento richiedono l’autenticazione forte del cliente ogni 90 giorni, altri a intervalli più ravvicinati e altri ancora non hanno applicato l’esenzione e chiedono l’autenticazione forte del cliente per ciascun accesso ai conti.
Le presenti modifiche sono volte a superare le divergenze applicative garantendo uniformità nei comportamento dei prestatori di servizi di pagamento.
Il presente regolamento si applica a decorrere dal 25 luglio 2023.
