По тематика > Счетоводство > Въпроси, отговори и коментари > 2018 г. > Новите платежни услуги по иницииране на плащане и предоставяне на информация за сметка
БЕЗПЛАТЕН ДОКУМЕНТ

Новите платежни услуги по иницииране на плащане и предоставяне на информация за сметка

Публикувано на 12.06.2018

Велко ДЖИЛИЗОВ – юрист

    Новият Закон за платежните услуги и платежните системи (обн., ДВ, бр. 20/2018 г.), който в основната си част влезе в сила, считано от 06.03.2018 г. (§ 28 ЗПУПС), въвежда в българското законодателство изискванията на Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета от 25 ноември 2015 г. за платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 и за отмяна на Директива 2007/64/ЕО (Директива (ЕС) 2015/2366). Досега действащият Закон за платежните услуги и платежните системи (обн., ДВ, бр. 23 от 2009 г.) въвеждаше в българското законодателство изискванията на Директива 2007/64/ЕО на Европейския парламент и на Съвета от 13 ноември 2007 г. относно платежните услуги във вътрешния пазар. С новата Директива (ЕС) 2015/2366 европейският законодател отговаря на настъпилите след приемането на Директива 2007/64/ЕО промени в пазара на платежните услуги и създалата се необходимост от развитие на правната уредба за регулирането им в рамките на Европейския съюз (ЕС). Разпоредбите на Директива (ЕС) 2015/2366, въведени със ЗПУПС, наред с другите важни допълнения и промени въвеждат някои нови видове платежни услуги - услугите по иницииране на плащане и предоставяне на информация за сметка, като регулират дейността на доставчиците, които ги предлагат, в т.ч. установяват допълнителни изисквания при лицензиране на платежни институции, респективно дружества за електронни пари.

   Както и по отменения закон, в новия ЗПУПС понятието за платежни услуги е дефинирано посредством тяхното изчерпателно изброяване. В чл. 4 от ЗПУПС на първо място като такива са посочени услугите, свързани с внасянето и тегленето на пари в наличност по платежна сметка, както и свързаните с това операции по обслужване на сметката. По смисъла на § 1, т. 32 ЗПУПС (идентичен на § 1, т. 18 от отменения закон) „платежна сметка“ е сметка, водена на името на един или повече ползватели на платежни услуги, използвана за изпълнението на платежни операции. „Платежна операция“ е действие, предприето от платеца или от получателя по внасяне, прехвърляне или теглене на средства независимо от основното правоотношение между платеца и получателя (§ 1, т. 31 ЗПУПС). “Средства“ пък са банкноти и монети, пари по сметка и електронни пари (§ 1, т. 55 ЗПУПС).
Както и по отменения закон, новият ЗПУПС определя като „ползвател на платежни услуги“ всяко физическо или юридическо лице, което се ползва от платежна услуга в качеството си на платец или на получател, или и в двете си качества (§ 1, т. 38 ЗПУПС). Качеството на „платец“ по смисъла на § 1, т. 34 ЗПУПС пък има физическо или юридическо лице, което е титуляр на платежна сметка и разпорежда изпълнението на платежно нареждане по тази сметка, а когато липсва платежна сметка – физическо или юридическо лице, което дава платежно нареждане. „Получател“ по смисъла на закона е физическо или юридическо лице, определено като краен получател на средства, които са предмет на платежна операция (§ 1, т. 39 ЗПУПС).

   В изброяването по чл. 4 от новия ЗПУПС като платежни услуги продължават изрично да са посочени услугите по прехвърляне на средства по платежна сметка на ползвателя при доставчика на платежни услуги или при друг доставчик на платежни услуги в изпълнение на директни дебити, включително еднократни директни дебити; изпълнение на платежни операции чрез платежни карти или други подобни инструменти; изпълнение на кредитни преводи, включително нареждания за периодични преводи; изпълнение на платежни операции, когато средствата са част от отпуснат на ползвателя на платежни услуги кредит; издаване на платежни инструменти и/или приемане на плащания с платежни инструменти; изпълнение на налични парични преводи. Услугите, свързани с платежната сметка обаче, далеч надхвърлят платежните услуги. По смисъла на § 1, т. 60 ЗПУПС в обхвата им попадат всички услуги, свързани с откриването, използването и закриването на платежна сметка, включително непознатите до момента платежни услуги по иницииране на плащане и предоставяне на информация за сметка, както и овърдрафт и свръховърдрафт.

   Като платежна услуга по чл. 4, т. 7 от новия ЗПУПС изрично е посочена услугата по иницииране на плащане. По смисъла на § 1, т. 61 ЗПУПС „услуга по иницииране на плащане“ е услуга, при която се инициира плащане по искане на ползвателя на платежни услуги по отношение на платежна сметка, поддържана при друг доставчик на платежни услуги. Непозната до момента е и посочената в чл. 4, т. 8 ЗПУПС услуга по предоставяне на информация за сметка, която разпоредбата на § 1, т. 62 ЗПУПС дефинира като онлайн услуга, при която се предоставя обобщена информация за една или повече платежни сметки, поддържани от ползвателя на платежни услуги при един или повече други доставчици на платежни услуги. За разлика от услугите по предоставяне на информация за сметка, които могат да се предоставят в допълнение към останалите платежни услуги и за които не се изисква лиценз, а единствено вписване в публичен регистър - регистъра на БНБ по чл. 19 ЗПУПС, предоставянето на услуги по иницииране на плащане изисква винаги и задължително лиценз (чл. 7, ал. 1 ЗПУПС). По силата на чл. 19, ал. 1 ЗПУПС БНБ води публичен регистър на лицензираните от нея платежни институции, на техните клонове и представители; на лицензираните от нея дружества за електронни пари, на техните клонове и представители; на доставчиците на услуги по предоставяне на информация за сметка; както и на доставчиците на услуги по чл. 2, ал. 3 и 4 ЗПУПС.

   Съгласно чл. 3, ал. 1 ЗПУПС доставчиците на платежни услуги са лимитативно определени. Както и по отменения закон такова качество имат банки по смисъла на ЗКИ; платежни институции и дружества за електронни пари по смисъла на ЗПУПС; Европейската централна банка и националните централни банки на държавите членки, когато не действат в качеството си на органи на парична политика или на органи, осъществяващи публичноправни функции. Банката (кредитната институция) е юридическо лице, което извършва публично привличане на влогове или други възстановими средства и предоставя кредити или друго финансиране за своя сметка и на собствен риск (чл. 2, ал. 1 ЗКИ). По силата на § 3 ЗПУПС банките, които са лицензирани за дейностите по чл. 2, ал. 2, т. 1 ЗКИ - за извършване на платежни услуги по смисъла на ЗПУПС, могат да извършват платежни услуги без допълнително разрешение, в т.ч. и новите услуги по иницииране на плащане и по предоставяне на информация за сметка.

   Платежната институция е юридическо лице, установено в държава членка, което е получило от компетентния орган на държавата членка по произход лиценз за предоставяне и извършване на платежни услуги в ЕС, в т.ч. и услуги по иницииране на плащане (чл. 5 ЗПУПС). За издаването на лиценз за извършване на платежни услуги по иницииране на плащане по чл. 4, т. 7 ЗПУПС обаче се изисква застраховка „Професионална отговорност“ или друга сравнима гаранция за отговорността на платежната институция, покриваща територията на всяка държава, на която ще предлага платежни услуги. Застраховката трябва да покрива отговорността й като доставчик на платежни услуги по иницииране на плащания по чл. 79, 91, 92, чл. 93, ал. 1, чл. 94 и 95 ЗПУПС (чл. 10, ал. 6 ЗПУПС).
Дружеството за електронни пари е юридическо лице, което е получило лиценз за издаване на електронни пари по реда на ЗПУПС (чл. 36, ал. 1 ЗПУПС). Съгласно чл. 42, ал. 1 ЗПУПС освен издаването на електронни пари дружеството за електронни пари има право да предоставя като допълнителна дейност платежни услуги в пълния им обем по чл. 4 ЗПУПС, в т.ч. и новите услуги по иницииране на плащане и по предоставяне на информация за сметка, както и кредит, свързан с изпълнение на платежни операции и/или платежни инструменти по чл. 4, т. 4 и 5 ЗПУПС.

   Изискванията за издаване, отказ за издаване, отнемане на лиценз и прекратяване на дейността, приложими към платежните институции и дружествата за електронни пари, са идентични (чл. 37, ал. 2 ЗПУПС). Затова и законът не допуска едновременното съществуване на лиценз за извършване на дейност като платежна институция и лиценз за извършване на дейност като дружество за електронни пари. По силата на чл. 37, ал. 3 ЗПУПС лицензът за извършване на дейност като платежна институция се обезсилва при издаване на лиценз за извършване на дейност като дружество за електронни пари. В случай че дружеството за електронни пари възнамерява да продължи да предоставя платежни услуги като допълнителна дейност съгласно чл. 42 ЗПУПС, със заявлението за издаване на лиценз за извършване на дейност като дружество за електронни пари уведомява БНБ за това (чл. 37, ал. 4 ЗПУПС). За издаването на лиценз за извършване на платежни услуги по иницииране на плащане по чл. 4, т. 7 ЗПУПС законът също изисква от дружеството за електронни пари застраховка „Професионална отговорност“ или друга сравнима гаранция за отговорността му като доставчик на услугата, покриваща територията на всяка държава, на която дружеството за електронни пари ще предлага такива платежни услуги. Застраховката трябва да покрива отговорността му по иницииране на плащания по чл. 79, 91, 92, чл. 93, ал. 1, чл. 94 и 95 ЗПУПС (чл. 42, ал. 2 ЗПУПС).
ЗПУПС гарантира на платежните институции и дружествата за електронни пари достъп до сметки в банки, като задължава банките и клоновете на банки, извършващи дейност на територията на страната, да откриват и поддържат платежни сметки на платежните институции и дружествата за електронни пари по обективен, недискриминационен и пропорционален начин, който не възпрепятства възможността на платежните институции да предоставят платежни услуги. При всеки случай на отказ банката е длъжна да предоставя на БНБ мотивирано становище (чл. 27 и чл. 45 ЗПУПС).

   ЗПУПС гарантира и достъп до платежна сметка на доставчиците на услуги по иницииране на плащане, които винаги са различни от доставчика на платежни услуги, обслужващ платежната сметка, за която се отнасят. Съгласно чл. 72 ЗПУПС доставчик на услуги по иницииране на плащане може да предоставя такива услуги на платеца само ако платежната сметка е достъпна онлайн. Когато платецът е дал съгласие за изпълнение на плащане, доставчикът на платежни услуги, обслужващ сметката, при спазване на задълженията си по ЗПУПС гарантира правото на платеца да използва услугата по иницииране на плащане. Доставчикът на услуги по иницииране на плащане в нито един момент не държи средствата на платеца във връзка с предоставянето на услугата по иницииране на плащане, не променя сумата, получателя или друга информация във връзка с платежната операция, не изисква от ползвателя на платежни услуги други данни освен необходимите за предоставяне на услугата по иницииране на плащане, не съхранява чувствителни данни за плащанията на ползвателя на платежни услуги, не използва, обработва или съхранява данни за цели, различни от изпълнението на услугата по иницииране на плащане, която платецът изрично е поискал. По смисъла на § 1, т. 67 ЗПУПС „чувствителни данни за плащанията“ са данни, включително персонализираните средства за сигурност, които могат да се използват за извършването на измама. Персонализираните средства за сигурност са персонализирани характеристики, предоставени от доставчика на платежни услуги на ползвателя на платежни услуги за целите на установяване на идентичността и/или установяване на автентичността (§ 1, т. 29 ЗПУПС). По силата на закона доставчикът на услуги по иницииране на плащане гарантира, че персонализираните средства за сигурност на ползвателя на платежни услуги не са достъпни за други лица и че те се предават от доставчика на услуги по иницииране на плащане по сигурен и ефикасен начин, както и че всяка друга информация относно ползвателя на платежната услуга, получена при предоставянето на услугите по иницииране на плащане, се предоставя само на получателя и само с изричното съгласие на ползвателя на платежни услуги. Името на титуляря на сметката и номерът на сметката не представляват чувствителни данни за плащанията за дейността на доставчиците на услуги по иницииране на плащане и на доставчиците на услуги по предоставяне на информация за сметка.
При всяко инициирано плащане доставчикът на услуги по иницииране на плащане е длъжен да удостоверява своята идентичност пред доставчика на платежни услуги, обслужващ сметката на платеца, и да се свързва с него, с платеца и с получателя по сигурен начин в съответствие с изисквания, посочени в делегиран акт, който Европейската комисия приема на основание чл. 98, параграф 4 от Директива (ЕС) 2015/2366. От своя страна доставчикът на платежни услуги, обслужващ сметка, е длъжен да се свързва по сигурен начин с доставчиците на услуги по иницииране на плащане в съответствие с изисквания, посочени в делегиран акт, който Европейската комисия приема на основание чл. 98, параграф 4 от Директива (ЕС) 2015/2366, като веднага след получаване на платежното нареждане от доставчика на услуги по иницииране на плащане да предостави или да осигури на разположение цялата информация относно инициирането на платежната операция, както и друга информация, достъпна за него, във връзка с изпълнението на платежната операция към доставчика на услуги по иницииране на плащане и да прилага еднакви условия към платежни нареждания, предадени чрез доставчик на услуги по иницииране на плащане, и платежни нареждания, предадени пряко от платеца, по отношение на срокове, приоритет или такси, освен ако не са налице обективни причини за прилагане на различни условия.
Доставчиците на услуги по предоставяне на информация за сметка са дружества, които са вписани в регистъра на БНБ по чл. 19 ЗПУПС като доставчик на платежни услуги по чл. 4, ал. 8 ЗПУПС. За да бъде вписано в регистъра, дружеството трябва да отговаря на определени изисквания, които са в значителна степен смекчени в сравнение с останалите доставчици на платежни услуги. По отношение на доставчиците на услуги по предоставяне на информация за сметка не намират приложение изискванията към платежните институции и дружествата за електронни пари да са регистрирани или в процес на учредяване като АД или ООД (т.е. да са капиталово дружество), съответно не се прилагат и изискванията за капитал и неговия произход по чл. 10, ал. 4, т. 2 и 3 ЗПУПС. Логично тези доставчици не са длъжни да имат и определено одиторско дружество, което е регистриран одитор съгласно Закона за независимия финансов одит. Към тях не са приложими и изискванията за място, където реално се извършва дейността и управлението им, нито ограниченията относно лицата, пряко или косвено притежаващи квалифицирано дялово участие по чл. 10, ал. 4, т. 10 ЗПУПС, както и не се регулира наличието на тесни връзки по смисъла на чл. 10, ал. 4, т. 11 и 12 ЗПУПС. Вписването им в регистъра по чл. 19 ЗПУПС не ги задължава да прилагат ясно определени, прозрачни и последователни правила за отговорност, нито ефективни процедури за установяване, управление, контрол и докладване на рисковете, на които са изложени или може да бъдат изложени, нито надеждна програма за мерките срещу изпиране на пари, включително механизмите за вътрешен контрол, установени за изпълнение на задълженията по ЗМИП и Закона за мерките срещу финансирането на тероризма. Но в останалата си част изискванията по чл. 10, ал. 4 ЗПУПС са приложими, като в допълнение законът изисква от доставчиците на услуги по предоставяне на информация за сметка да разполагат подобно на доставчиците на услуги по иницииране на плащане със застраховка „Професионална отговорност“ или с друга сравнима гаранция за отговорността им, покриваща територията на всяка държава, на която ще предлагат платежните услуги по чл. 4, т. 8 ЗПУПС, като застраховката трябва да покрива отговорността им, произтичаща от неразрешен достъп до платежната сметка или достъп до нея с цел измама, или неразрешено използване на информация за платежната сметка, или използване на информация за платежната сметка с цел измама. По силата на чл. 18, ал. 9 и чл. 42, ал. 2 ЗПУПС изискванията за застраховка се прилагат съответно и за платежните институции и дружествата за електронни пари, които желаят да предоставят и платежни услуги по предоставяне на информация за сметка.
ЗПУПС гарантира на доставчиците на услуги по предоставяне на информация за сметка достъп до информация за платежна сметка и ползването й при услуги по предоставяне на информация за сметка. Ползвателят на платежни услуги има правото да използва този вид услуги отново само когато платежната сметка е достъпна онлайн (чл. 73, ал. 1 ЗПУПС). Доставчикът на услуги по предоставяне на информация за сметка е длъжен да предоставя услугите, само ако е налице изрично съгласие на ползвателя на платежни услуги за това, като използва само информация от определени платежни сметки и свързаните с тях платежни операции, не изисква чувствителни данни за плащанията, свързани с платежните сметки, не използва, обработва или съхранява данни за цели, различни от изпълнението на услугата, която ползвателят на платежни услуги изрично е поискал. По силата на закона той гарантира, че персонализираните средства за сигурност на ползвателя на платежни услуги не са достъпни за други лица освен за ползвателя и издателя на персонализирани средства за сигурност и че когато същите се предават от него, това става по сигурен и ефикасен начин. При всяко установяване на връзка доставчикът на услуги по предоставяне на информация за сметка удостоверява своята идентичност пред съответния доставчик на платежни услуги, обслужващ сметката на ползвателя на платежни услуги, и се свързва с него и с ползвателя на платежни услуги по сигурен начин в съответствие с изисквания, посочени в делегиран акт, който Европейската комисия приема на основание чл. 98, параграф 4 от Директива (ЕС) 2015/2366. От своя страна доставчикът на платежни услуги, обслужващ сметка, е длъжен по отношение на платежната сметка да се свързва по сигурен начин с доставчика на услуги по предоставяне на информация за сметка в съответствие с изисквания, посочени в делегиран акт, който Европейската комисия приема на основание чл. 98, параграф 4 от Директива (ЕС) 2015/2366, и да прилага еднакви условия към исканията за данни, предадени чрез доставчик на услуги по предоставяне на информация за сметка, и такива, предадени пряко до него, освен ако са налице обективни причини да прилага различни условия.

   ЗПУПС изрично гарантира предоставянето на услуги по иницииране на плащане и предоставяне на информация за сметка да се извършва и БЕЗ да е сключен договор за това между доставчика на тези услуги и доставчика на платежни услуги, обслужващ сметката (чл. 72, ал. 5 и чл. 73, ал. 4 ЗПУПС). Съгласно чл. 74, ал. 5 ЗПУПС доставчик на платежни услуги, обслужващ сметка, може да откаже достъп до платежна сметка на доставчик на услуги по предоставяне на информация за сметка или на доставчик на услуги по иницииране на плащане само по обективни и подкрепени с доказателства причини, свързани с неразрешен достъп или достъп до платежната сметка с цел измама от страна на доставчика на услуги по предоставяне на информация за сметка или на доставчика на услуги по иницииране на плащане, включително неразрешено иницииране на платежна операция или иницииране на платежна операция с цел измама. В посочените случаи доставчикът на платежни услуги, обслужващ сметката, е длъжен да информира платеца за отказа на достъп до платежната сметка и за причините за това в уговорената форма, при възможност – преди да е отказан достъпът или най-късно непосредствено след това, освен когато даването на такава информация не е позволено поради съображения за сигурност или с оглед на спазването на нормативни изисквания, препятстващи информирането на платеца. Доставчикът на платежни услуги, обслужващ сметката, е длъжен да позволи достъп до платежната сметка веднага след като причините за отказа на достъп отпаднат (чл. 74, ал. 7 ЗПУПС). Той е длъжен незабавно да уведоми БНБ за обстоятелствата за отказ на достъпа, свързани с доставчика на услуги по предоставяне на информация за сметка или с доставчика на услуги по иницииране на плащане, като предоставя съответните данни по случая. БНБ може да предприема действия след преценка на конкретните обстоятелства.
Съобразно Директива (ЕС) 2015/2366 за платежните услуги във вътрешния пазар, в сила от 13.01.2018 г., ЕБО беше оторизиран да създаде документ, който да уреди Регулаторните технически стандарти (РТС) по отношение на установяването на идентичност, приложими по отношение на всички доставчици на платежни услуги на вътрешния пазар. РТС установяват, че участниците на вътрешния пазар използват и системни решения, които не са интернет базирани и позволяват изключение съгласно чл. 17 от финалната версия на РТС, входирана в Европейската комисия на 27.11.2017 г. Изключението се прилага за платежни системи, използвани от юридически лица, иницииращи електронни платежни операции посредством използване на защитени процеси и протоколи за плащанията, по отношение на които компетентните власти на съответната държава – членка на ЕС, са изразили своето удовлетворение, че процесите и протоколите гарантират не по-лоша степен на защита от предвидената в Директива (ЕС) 2015/2366. За Република България такъв компетентен орган се явява БНБ, който обаче на този етап не допуска изключения, а поддържа позицията, че съобразно окончателната версия на РТС, свързани с установяването на идентичността и установяването на връзка, не са предвидени изключения от приложното поле по отношение на мобилните плащания, различни от плащания чрез браузър.

   По смисъла на § 1, т. 63 ЗПУПС „установяване на идентичността“ е процедура, която позволява на доставчика на платежни услуги да провери самоличността на ползвателя на платежни услуги, включително използването на персонализираните средства за сигурност на ползвателя, т.е. персонализирани характеристики, предоставени от доставчика на платежни услуги на ползвател на платежни услуги за целите на установяване на идентичността и/или установяване на автентичността (арг. § 1, т. 29 ЗПУПС). Установяването на автентичността е друга процедура, която пък позволява на доставчика на платежна услуга да провери правомерното използване на конкретен платежен инструмент, включително неговите персонализирани средства за сигурност (чл. 78, ал. 3 ЗПУПС). Използването на конкретен платежен инструмент се определя от правилата и процедурите на доставчика на платежни услуги по изпълнение на съответната платежна операция. Доставчикът на платежни услуги носи риска от неправомерно използване при изпращането на платежен инструмент на платеца, както и при изпращането на персонализирани средства за сигурност на платежен инструмент (чл. 76, ал. 2 ЗПУПС).
Съгласно чл. 100, ал. 4 и 5 ЗПУПС задълбочено установяване на идентичността на клиента е процедура по установяване на идентичността, която е разработена по начин, който защитава поверителността на данните, и която включва използването на два или повече от следните независими елементи: (i) знание – нещо, което само ползвателят знае; (ii) притежание – нещо, което само ползвателят притежава; и (iii) характерна особеност – нещо, което характеризира ползвателя, като нарушаването на някой от посочените елементи не е в състояние да влияе на надеждността на останалите. На практика елементът за знание, или „нещо, което само клиентът знае“, представлява комбинацията от потребителско име и парола, а елементът за притежание, или „нещо, което само клиентът притежава“ - цифров сертификат за усъвършенстван електронен подпис или квалифициран електронен подпис.
Новата разпоредба на чл. 100, ал. 1 ЗПУПС задължава доставчиците на платежни услуги да прилагат задълбочено установяване на идентичността на платеца и прилагат поне два от посочените по-горе елементи за установяване на идентичността, когато платецът достъпва платежната сметка онлайн; инициира електронна платежна операция; и/или извършва друго действие от разстояние, при което би могло да възникне риск от измама при плащането или друга злоупотреба. Такива елементи винаги се изискват в случаите, когато информация се изисква чрез доставчик на услуги по предоставяне на информация за сметка (чл. 100, ал. 6, предл. второ ЗПУПС).

   По силата на чл. 100, ал. 2 ЗПУПС при електронни платежни операции, инициирани от разстояние, доставчиците на платежни услуги прилагат задълбочено установяване на идентичността на клиента чрез променливи елементи, свързващи операцията с конкретна сума и получател. На практика такива променливи (динамични) елементи, които са еднократни и невъзпроизводими, представляват динамична SMS парола при подписване или мобилен токен (M-токен), чрез който се генерира уникален динамичен MAC код. Такива променливи елементи винаги се изискват в случаите, когато плащанията са инициирани чрез доставчик на услуги по иницииране на плащане (чл. 100, ал. 6, предл. първо ЗПУПС). В тези случаи подписване само с усъвършенстван електронен подпис или квалифициран електронен подпис не е достатъчно.
Във всички посочени по-горе случаи, при които законът изисква доставчикът на платежни услуги да прилага задълбочено установяване на идентичността на клиента, те са длъжни да въвеждат подходящи мерки за сигурност и защита на поверителността и неприкосновеността на персонализираните средства за сигурност на ползвателите на платежни услуги (чл. 100, ал. 3 ЗПУПС).
ЗПУПС задължава доставчика на платежни услуги, обслужващ сметката, да осигури възможност на доставчика на услуги по иницииране на плащане и на доставчика на услуги по предоставяне на информация за сметка да разчитат на осигурените от него процедури за задълбочено установяване на идентичността на ползвателя на платежни услуги, а когато участва доставчик на услуги по иницииране на плащане – и чрез прилагане на променливи (динамични) елементи, свързващи операцията с конкретна сума и получател (чл. 100, ал. 7 ЗПУПС). По силата на § 10 ЗПУПС до влизането в сила на РТС, които Европейската комисия приема съгласно чл. 98, параграф 4 от Директива (ЕС) 2015/2366, и изтичането на 18-месечния срок за съобразяване с тях доставчиците на платежни услуги, обслужващи сметки, са длъжни да не възпрепятстват използването на услугите по иницииране на плащане и по предоставяне на информация за сметките, които обслужват.
Дружества, предоставящи новите платежни услуги по чл. 4, т. 7 и 8 ЗПУПС, са длъжни в тримесечен срок от влизането в сила на ЗПУПС, т.е. в срок до 06.06.2018 г., да подадат заявление до БНБ за издаване на лиценз, съответно за вписване в регистъра по чл. 19 ЗПУПС, като в случай че не подадат такова заявление в посочения срок или получат отказ за издаване на лиценз, съответно за вписване в регистъра по чл. 19 ЗПУПС, нямат право да извършват дейност като платежна институция, съответно като доставчик на услуги по предоставяне на информация за сметка (§ 9 ЗПУПС).
В определения от закона 6-месечен срок платежните институции и дружествата за електронни пари са длъжни да удостоверят прилаганата от тях процедура за записване, наблюдение, проследяване и ограничаване на достъпа до чувствителни данни за плащанията, както и правилата си за сигурност, които защитават ползвателите на платежни услуги срещу установените рискове, измамите или незаконното използване на чувствителни и лични данни.
Законът задължава доставчиците на платежни услуги да обработват лични данни на ползватели на платежни услуги при спазване на ЗЗЛД, като при предотвратяване, разследване и разкриване на измами, свързани с платежни услуги, обработката може да се извършва и без съгласието на лицето, за което се отнасят данните (чл. 3, ал. 4 ЗПУПС).