Antwoord
Toepassing van de vrijstelling van sterke cliëntauthenticatie kan volgens artikel 17 van de gedelegeerde verordening (EU) 2018/389 (RTS SCA CSC). Dit is ter besluit van de instelling en gebonden aan specifieke eisen. De processen of protocollen moeten in ieder geval beveiligingsniveaus garanderen die tenminste gelijkwaardig zijn aan die waarin door Richtlijn (EU) 2015/2366 wordt voorzien.
Instellingen die de vrijstelling volgens artikel 17 willen toepassen dienen voorafgaand daaraan aan DNB de volgende informatie te verstrekken:
- Een verklaring dat het betreffende authenticatieproces alleen beschikbaar is voor betalers niet zijnde consumenten;
- Een beschrijving van het betreffende authenticatieproces of protocol, bestaande uit tenminste:
- Een beschrijving van de authenticatieprocedure voor betalers (inclusief eventuele meervoudige authenticatieprocedures en achterliggende proces waar compenserende maatregelen zijn genomen);
- Een risicoanalyse en de beveiligingsmaatregelen ter voorkoming van het doen van ongeautoriseerde betalingen en waarmee gelijkwaardig beveiligingsniveau wordt gegarandeerd;
- Een stapsgewijze functionele beschrijving van de benodigde handelingen voor het doen van een betaling vanuit het perspectief van de betaler.
De werking van de gehanteerde authenticatieprocedure zal vervolgens tijdens het lopend toezicht op de instelling door DNB wordt getoetst.
Ter ondersteuning van de beoordeling voor vrijstelling volgens artikel 17 dient de instelling bijgevoegd formulier te gebruiken. Dit formulier is een specificering van de boven genoemde bullet points. Dit formulier, met alle ondersteunende documentatie en –informatie, dient te worden ingestuurd aan het reguliere contactpersoon (toezichthouder) van de instelling bij DNB.