§ 223
(1) Osoba oprávněná poskytovat platební služby použije silné ověření uživatele, jestliže plátce
a) přistupuje ke svému platebnímu účtu prostřednictvím internetu,
b) dává platební příkaz k elektronické platební transakci,
c) provádí jiný úkon, který je spojen s rizikem podvodného jednání v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu, nebo
d) požaduje informace o platebním účtu prostřednictvím poskytovatele služby informování o platebním účtu.
(2) Dává-li uživatel platební příkaz prostřednictvím internetu nebo prostřednictvím elektronického zařízení, které lze použít k dálkové komunikaci, nebo dává-li platební příkaz nepřímo, osoba oprávněná poskytovat platební služby použije silné ověření uživatele, které zahrnuje jednorázové prvky propojující platební transakci s přesnou částkou a určitým příjemcem.
(3) Silným ověřením uživatele se pro účely tohoto zákona rozumí ověření, které je založeno na použití alespoň 2 z těchto prvků:
a) údaje, který je znám pouze uživateli,
b) věci, kterou má uživatel ve své moci,
c) biometrických údajů uživatele.
(4) Prvky podle odstavce 3 musí být vzájemně nezávislé a prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních. Postup ověření musí zabránit zneužití prvků, které jsou k ověření používány.
(5) Způsob silného ověření uživatele podle odstavců 1 a 2 stanoví přímo použitelný předpis Evropské unie, kterým se provádí čl. 98 směrnice Evropského parlamentu a Rady (EU) 2015/2366 13).
(6) Ustanovení odstavců 1 a 2 se nepoužijí v případech, které stanoví přímo použitelný předpis Evropské unie, kterým se provádí čl. 98 směrnice Evropského parlamentu a Rady (EU) 2015/2366 13).
------------------------------------------------------------------
13) Nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace.