Artikel 26h [Sterke cliëntauthenticatie]

Geldend

Documentgegevens:

Geldend vanaf 01-07-2024

Bronpublicatie:: 24-11-2023, Stb. 2024, 10 (uitgifte: 30-01-2024, kamerstukken: 2023000277)
Inwerkingtreding: 01-07-2024
Bronpublicatie inwerkingtreding:: 24-11-2023, Stb. 2024, 10 (uitgifte: 30-01-2024, kamerstukken: 2023000277)
Vakgebied(en): Financieel recht / Bank- en effectenrecht
Ondernemingsrecht / Economische ordening
Verzekeringsrecht / Algemeen

1.

Een betaaldienstverlener voorziet in sterke cliëntauthenticatie indien:

a.: een betaler zich via het internet toegang tot zijn betaalrekening verschaft;
b.: een betaler een elektronische betalingstransactie initieert;
c.: een betaler via een communicatiemiddel op afstand een handeling uitvoert die een risico op betaalfraude of andere vormen van misbruik met zich mee kan brengen;
d.: een betaling via een betaalinitiatiedienstverlener wordt geïnitieerd; of
e.: informatie via een rekeninginformatiedienstverlener wordt opgevraagd.

2.

Sterke cliëntauthenticatie is een vorm van authenticatie die zodanig is opgezet dat de vertrouwelijkheid van de persoonlijke beveiligingsgegevens wordt beschermd en waarbij gebruik wordt gemaakt van twee of meer van de volgende factoren:

a.: wetenschap, iets wat alleen de gebruiker weet;
b.: bezit, iets waarover alleen de gebruiker beschikt; of
c.: inherente eigenschap, een unieke persoonlijke eigenschap van de gebruiker.

3.

De factoren dienen onderling onafhankelijk te zijn, in die zin dat schending van de vertrouwelijkheid van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere factoren.

4.

Indien een betaaldienstverlener sterke cliëntauthenticatie toepast treft hij beveiligingsmaatregelen en voorziet hij in authenticatieprocedures ter bescherming van de vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van betaaldienstgebruikers.

5.

Indien er sprake is van het initiëren van een elektronische betalingstransactie op afstand, gebruikt een betaaldienstverlener sterke cliëntauthenticatie met elementen die transacties op dynamische wijze aan een specifiek bedrag en een specifieke betalingsbegunstigde verbinden.

6.

De rekeninghoudende betaaldienstverlener staat de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener toe dat zij mogen vertrouwen op de door hem ten behoeve van de betaaldienstgebruiker verstrekte authenticatieprocedures.

7.

Toepassing van dit artikel geschiedt met inachtneming van de krachtens artikel 98 van de richtlijn betaaldiensten door de EBA vastgestelde technische reguleringsnormen.