1. Οι διατάξεις της παρούσας πράξης εφαρμόζονται, σε ατομική και σε ενοποιημένη βάση, από τους ακόλουθους παρόχους υπηρεσιών πληρωμών (εφεξής ΠΥΠ):
(α) τα πιστωτικά ιδρύματα με έδρα στην Ελλάδα,
(β) τα υποκαταστήματα των πιστωτικών ιδρυμάτων με έδρα σε χώρα εκτός του Ε.Ο.Χ. που έχουν λάβει άδεια λειτουργίας από την Τράπεζα της Ελλάδος και λειτουργούν στην Ελλάδα,
(γ) τα ιδρύματα πληρωμών με έδρα στην Ελλάδα,
(δ) τα ιδρύματα ηλεκτρονικού χρήματος με έδρα στην Ελλάδα, και
(ε) τις εταιρείες παροχής πιστώσεων με έδρα στην Ελλάδα οι οποίες επιτρέπεται να παρέχουν υπηρεσίες πληρωμών.
2. Οι διατάξεις της παρούσας εφαρμόζονται στις ακόλουθες πράξεις πληρωμών που διενεργούνται μέσω διαδικτύου ανεξαρτήτως της συσκευής πρόσβασης που χρησιμοποιείται:
α) εκτέλεση πράξεων πληρωμών με κάρτα στο διαδίκτυο, συμπεριλαμβανομένων των πληρωμών με άυλη κάρτα, καθώς και καταχώριση των στοιχείων για πληρωμή με κάρτα για χρήση σε «λύσεις πορτοφολιού»,
β) εκτέλεση μεταφορών πίστωσης στο διαδίκτυο,
γ) έκδοση και τροποποίηση ηλεκτρονικών εξουσιοδοτήσεων άμεσης χρέωσης,
δ) μεταφορές ηλεκτρονικού χρήματος μεταξύ δύο λογαριασμών ηλεκτρονικού χρήματος μέσω του διαδικτύου.
3. Διευκρινίζεται ότι στο πεδίο εφαρμογής της παρούσας δεν εμπίπτουν οι ακόλουθες υπηρεσίες:
α) άλλες διαδικτυακές υπηρεσίες −πέραν των αναφερόμενων στην ανωτέρω παράγραφο 2− που τυχόν παρέχει ένας ΠΥΠ μέσω του διαδικτυακού του τόπου πληρωμών (π.χ. ηλεκτρονικές χρηματιστηριακές υπηρεσίες, ηλεκτρονικές συμβάσεις),
β) οι πράξεις πληρωμών η εντολή για την εκτέλεση των οποίων δίνεται μέσω ταχυδρομείου, τηλεφώνου, φωνητικού μηνύματος ή με χρήση τεχνολογίας που βασίζεται σε υπηρεσία σύντομων γραπτών μηνυμάτων (SMS),
γ) οι πράξεις πληρωμών μέσω κινητής συσκευής, με εξαίρεση τις πράξεις πληρωμών που διενεργούνται μέσω προγράμματος περιήγησης,
δ) οι μεταφορές πίστωσης στις περιπτώσεις όπου τρίτο πρόσωπο αποκτά πρόσβαση στον λογαριασμό πληρωμών του πελάτη,
ε) οι πράξεις πληρωμών που πραγματοποιούνται από επιχείρηση μέσω δικτύων ειδικού σκοπού,
στ) οι πράξεις πληρωμών με κάρτα με τη χρήση ανώνυμων και μη επαναφορτιζόμενων φυσικών ή άυλων προπληρωμένων καρτών εφόσον ο εκδότης και ο κάτοχος της κάρτας δεν είναι συμβαλλόμενα−μέρη σύμβασης−πλαισίου, και
ζ) η εκκαθάριση και ο διακανονισμός πράξεων πληρωμής.
4. Για τους σκοπούς της παρούσας πράξης, και συμπληρωματικά προς τους ορισμούς του Ν. 3862/2010, ισχύουν οι ακόλουθοι ορισμοί:
α) «ταυτοποίηση»: η διαδικασία που επιτρέπει στον ΠΥΠ να επαληθεύει την ταυτότητα του πελάτη,
β) «ισχυρή ταυτοποίηση πελάτη»: η διαδικασία που βασίζεται στη χρήση δύο ή περισσότερων στοιχείων από τις ακόλουθες κατηγορίες: γνώσης, κυριότητας και σύμφυτου χαρακτηριστικού του χρήστη:
i) Γνώση: στοιχείο το οποίο γνωρίζει αποκλειστικά ο χρήστης υπηρεσίας πληρωμών π.χ. στατικό συνθηματικό, κωδικός, προσωπικός αριθμός αναγνώρισης (PIN),
ii) Κυριότητα: πράγμα το οποίο αποκλειστικά ο χρήστης υπηρεσίας πληρωμών έχει στην κυριότητά του, π.χ. συσκευή παραγωγής πρόσθετου κωδικού ασφάλειας, έξυπνη κάρτα, κινητό τηλέφωνο,
iii) Εγγενές χαρακτηριστικό: μοναδικό σύμφυτο χαρακτηριστικό του χρήστη υπηρεσίας πληρωμών, π.χ. βιομετρικό χαρακτηριστικό, όπως δακτυλικό αποτύπωμα.
Επιπλέον, τα στοιχεία που επιλέγονται πρέπει να είναι ανεξάρτητα μεταξύ τους, με την έννοια ότι η παραβίαση του ενός δεν θέτει σε κίνδυνο το άλλο ή τα λοιπά. Τουλάχιστον ένα από τα στοιχεία που επιλέγονται δεν πρέπει να μπορεί να επαναχρησιμοποιηθεί ή να αναπαραχθεί (εξαιρουμένων των σύμφυτων χαρακτηριστικών του χρήστη) ή να υποκλαπεί μέσω του διαδικτύου χωρίς να το αντιληφθεί ο χρήστης. Η διαδικασία ισχυρής ταυτοποίησης πρέπει να είναι σχεδιασμένη κατά τρόπο που να προστατεύεται η εμπιστευτικότητα των δεδομένων ταυτοποίησης,
γ) «έγκριση»: η διαδικασία με την οποία ελέγχεται εάν ο πελάτης υπηρεσίας πληρωμών ή ο ΠΥΠ έχει το δικαίωμα να προβεί σε συγκεκριμένη ενέργεια (π.χ. μεταφορά κεφαλαίων, πρόσβαση σε ευαίσθητα δεδομένα),
δ) «διαπιστευτήρια»: οι πληροφορίες εμπιστευτικού χαρακτήρα που παρέχει ο πελάτης ή ο ΠΥΠ για σκοπούς ταυτοποίησης. Ως «διαπιστευτήριο» νοείται επίσης η κατοχή φυσικού εργαλείου που περιέχει τις προαναφερόμενες πληροφορίες (π.χ. συσκευή παραγωγής κωδικών μίας χρήσης, έξυπνη κάρτα) ή στοιχείο που ο χρήστης απομνημονεύει ή στοιχείο που τον αντιπροσωπεύει (όπως τα βιομετρικά χαρακτηριστικά),
ε) «σημαντικό περιστατικό ασφάλειας πληρωμών»: περιστατικό το οποίο έχει ή ενδέχεται να έχει σημαντική επίπτωση στην ασφάλεια, την ακεραιότητα ή τη συνέχεια των συστημάτων του ΠΥΠ που συνδέονται με πληρωμές και/ή στην ασφάλεια των ευαίσθητων δεδομένων πληρωμής ή των κεφαλαίων. Για την αξιολόγηση της σημαντικότητας του περιστατικού λαμβάνεται υπόψη ο αριθμός των πελατών που ενδέχεται να θιγούν, το διακυβευόμενο ποσό και η επίπτωση σε άλλους ΠΥΠ ή σε άλλες υποδομές πληρωμών,
στ) «ανάλυση του κινδύνου της συναλλαγής»: η αξιολόγηση του κινδύνου που αφορά συγκεκριμένη συναλλαγή, στο πλαίσιο της οποίας λαμβάνονται υπόψη κριτήρια όπως τα συναλλακτικά πρότυπα (συμπεριφορά) του πελάτη όσον αφορά τις πληρωμές, η αξία της σχετικής συναλλαγής, το είδος του προϊόντος και το προφίλ του δικαιούχου,
ζ) «άυλες κάρτες»: λύση πληρωμής που βασίζεται σε κάρτα, στο πλαίσιο της οποίας δημιουργείται ένας εναλλακτικός, προσωρινός αριθμός κάρτας με περιορισμένη περίοδο ισχύος, περιορισμένη χρήση και προκαθορισμένο όριο δαπανών, που μπορεί να χρησιμοποιηθεί για την πραγματοποίηση αγορών στο διαδίκτυο,
η) «λύσεις πορτοφολιού»: λύσεις που παρέχουν τη δυνατότητα σε έναν πελάτη να καταχωρίζει δεδομένα που αφορούν ένα ή περισσότερα μέσα πληρωμών προκειμένου να προβαίνει σε πληρωμές προς διάφορες επιχειρήσεις ηλεκτρονικού εμπορίου.
