Член 4

Код за установяване на идентичността

1. Когато доставчиците на платежни услуги прилагат задълбочено установяване на идентичността на клиента в съответствие с член 97, параграф 1 от Директива (ЕС) 2015/2366, установяването на идентичността се основава на два или повече елемента, категоризирани като знание, притежание и принадлежност, и води до генерирането на код за установяване на идентичността.

Кодът за установяване на идентичността се приема само веднъж от доставчика на платежни услуги, когато платецът използва кода, за да получи достъп до своята платежна сметка онлайн, да инициира електронна платежна операция или да извършва каквото и да било действие дистанционно, което би могло да е свързано с риск от измама при плащането или други злоупотреби.

2. За целите на параграф 1 доставчиците на платежни услуги приемат мерки за сигурност, гарантиращи, че всяко от следните изисквания е спазено:

а) от оповестяването на кода за установяване на идентичността не е възможно извличането на информация по отношение на някой от елементите, посочени в параграф 1;

б) не е възможно да се генерира нов код за установяване на идентичността въз основа на познаването на друг такъв код, генериран преди това;

в) кодът за установяване на идентичността не може да бъде подправен.

3. Доставчиците на платежни услуги гарантират, че установяването на идентичността посредством създаването на съответния код включва всяка от следните мерки:

а) когато установяването на идентичността за достъп от разстояние, електронни плащания и всякакви други дистанционни действия, които биха могли да са свързани с риск от измама при плащането или с други злоупотреби, не е успяло да генерира код за установяване на идентичността за целите на параграф 1, не е възможно да се определи кой от елементите, изброени в посочения параграф, е бил неправилен;

б) броят последователни неуспешни опити за установяване на идентичността, след които действията, посочени в член 97, параграф 1 от Директива (ЕС) 2015/2366, се блокират временно или постоянно, не надвишава пет опита в рамките на определен период от време;

в) предаването на информация е защитено от прихващането на данни, предадени по време на установяване на идентичността, и от манипулиране от страна на неупълномощени лица в съответствие с изискванията на глава V;

г) максималното време на неактивност от страна на платеца след установяване на идентичността за достъп до неговата платежна сметка онлайн не надхвърля пет минути.

4. Когато блокирането, посочено в параграф 3, буква б) е временно, продължителността му и броят на повторните опити се определят въз основа на характеристиките на услугата, предоставяна на платеца, и на всички съответни рискове, като се вземат предвид най-малко факторите, посочени в член 2, параграф 2.

Платецът трябва да бъде информиран преди блокирането да бъде направено постоянно.

За случаите, когато блокирането е направено постоянно, се създава процедурата за сигурност, която позволява на платеца да възстанови използването на блокираните електронни платежни инструменти.