Betalingstjenestedirektivet PSD2

PSD2 er forkortelse for Payment Services Directive nr.2 og er den nyeste versjonen av EU-direktivet som regulerer betalingstjenester i EUs indre marked. Siden Norge er medlem av EØS omfatter dette direktivet også betalingstjenester i Norge.

En betalingstjeneste som tilbys forbrukere og virksomheter til blant annet å gjennomføre alle typer betalinger, både over nett og i butikk. I tillegg omfattes andre typer tjenester som tilgang til konto, uttak, innskudd, informasjonstjenester om betalingskontoer (i nettbank).

EU ønsker at alle EUs borgere og virksomheter skal ha tilgang til sikre og effektive betalingstjenester som fungerer i hele EUs indre marked.  

For å få til dette vil EU gjøre det enklere og billigere å gjennomføre betalinger innad i EU sikkert og effektivt og gjøre regelverket for betalinger likt i alle EU-land.

Innovasjonstakten for betalingstjenester innad i EU har gått raskere enn regelverksutviklingen. PSD2 skal derfor også gi klare regler som legger til rette for nye og innovative tjenester i betalingsmarkedet.

I tråd med utviklingen er det også behov for å ivareta brukernes sikkerhet og hindre svindel i betalingsmarkedet. PSD2 setter derfor nye krav til sikkerhet ved gjennomføring av betalinger med den hensikt å redusere mulighetene for svindel i betalingsmarkedet.

Rundt 60 prosent av innbyggerne i EU eier ikke kredittkort som gjør det mulig å handle på nettet. PSD2 legger blant annet til rette for, og sikrer, at EU-borgerne kan betale på nett direkte fra egen betalingskonto uten å bruke kort eller nettbank.

EU ønsker med PSD2 å legge til rette for økt konkurranse i markedet for betalingstjenester, fremme innovasjon, styrke sikkerheten for nettbetalinger og tilgang til konto, samt bedre samhandlingen mellom ulike typer aktører og ytterligere harmonisere regelverket i EU.

PSD1 ble innført i 2007 og hadde som intensjon å øke handel på tvers av landegrensene innad i EU i tillegg til å sette krav til varslingsfrister, informasjon om priser og tydeligere ansvarsforhold. PSD1 åpnet for at andre enn bankene kunne tilby betalingstjenester, men uten nærmere beskrivelse av hvilke typer betalingstjenester som var omfattet. Dette første betalingsdirektivet dekket derfor ikke alle typer betalingstjenester som potensielt kunne tilbys forbrukerne, for eksempel der kunden vil gjennomføre en betaling direkte fra sin betalingskonto, uten å bruke kort eller nettbank. Både EU og aktørene i betalingsmarkedet opplevde at PSD1 ikke la godt nok til rette for innovasjon og produktutvikling for betalingstjenester.

PSD2 endrer definisjonen av betalingstjenester og åpner dermed at bankenes kunder kan bruke betalingstjenester fra andre aktører enn bankenes egne tjenester som f.eks. betalingsfullmektig (PISP) og opplysningsfullmektig (AISP). Bankenes kunder får dermed mulighet til å bruke disse aktørene til å få tilgang til sin egen konto hos

PSD2 regulerer ikke bare bankene og deres betalingstjenester men også andre tilbydere av betalingstjenester og de tjenester disse kan levere på grunnlag av informasjon om kundene i bankenes kontosystemer. Det er den store forskjellen fra PSD1 til PSD2.

I dag må kundene betale med kort i butikk eller på nett, eller i nettbank. For å få oversikt over sine kontoer må kunden bruke nettbank.

PSD2 åpner for at disse betalingstjenestene kan utføres ved hjelp av andre enn bankene. Disse nye tilbyderne/aktørene (som ikke trenger å være bank) kan i tillegg til å utføre rene betalinger på vegne av kundene, også innhente informasjon fra kundens konti og sammenstille disse på tvers av bankene dersom kunden har kundeforhold i flere banker.

Det finnes en rekke tilbydere av betalingstjenester i dag, som ikke er bank.

Så langt har det vært opp til hvert enkelt land å lovregulere disse. I PSD2 blir det et felles sett med krav som alle land må følge, med hensyn til sikkerhet, rapportering, ansvarsregulering, forbrukerrettigheter samtidig som man legger til rette for god konkurranse til kundens beste.

Se for eksempel tjenester som www.tink.se og www.sofort.de som er slike tilbydere innad i EU.

Det forventes at mange tilsvarende aktører vil kunne tilby sine tjenester i det norske markedet etter innføringen av PSD2 (se tidsplan).

PSD2 er tatt inn i alle EU-landene sine lovverk.

De aller viktigste reglene i PSD2 gjelder allerede i Norge. Disse er tatt inn i Finansforetaksloven og i ny forskrift om betalingstjenester. De resterende reglene vil tas inn i Finansavtaleloven, sannsynligvis rundt årsskifte 2019/2020.

PSD2 er også innlemmet i EØS-avtalen.  

Selv om ikke alt er på plass, er det naturlig å tro tilbyderne av elektroniske betalingsløsninger vil lansere sine produkter, også i Norge, om kort tid.

I tillegg til PSD2 har vi en europeisk banktilsynsmyndighet - EBA (tilsvarende Finanstilsynet i Norge) som setter mer detaljerte krav til sikkerhet og samhandling for betalingstjenester, i tillegg til retningslinjer for rapportering, overvåkning og annet. Både de nye aktørene og bankene må tilpasse seg disse kravene.

De endelige kravene vil tre i kraft på forskjellig tidspunkt. Noen krav er allerede i kraft i EU, mens de viktigste kravene som gjelder sikkerhet og samhandling trer i kraft i EU og Norge 14. september 2019.

I praksis betyr dette at fra og med 14.september 2019 får kundene tilgang til de nye tjenestene som PSD2 åpner for.  

Kravene til sikkerhet og samhandling for elektroniske løsninger ble vedtatt i EU i mars 2018, med en innføringstid på 18 måneder. Derfor vil ikke disse være fullt ut regulert før i tredje kvartal av 2019.

Bankene er pålagt å åpne sine løsninger allerede 12 måneder etter ikrafttredelse for at nye aktører skal kunne teste løsningene.

Som nevnt over, kan kravene bli innført på et annet tidspunkt i Norge enn i EU.

Myndigheter, banker, fintech-selskaper, bankkunder.

Betalinger og tilknyttede tjenester, både nasjonale og internasjonale (så lenge ett av landene betalingen går til/fra er innenfor EU/EØS)

Bankene må tilpasse og åpne sine systemer, slik at kunden kan benytte andre tilbydere av betalingstjenester for å utføre sine betalinger eller sammenstille sine kontodata.

De nye aktørene må legge til rette sine tekniske løsninger slik at disse kommuniserer med bankenes systemer. Det betyr at de må innfri alle kravene i PSD2s med hensyn til sikkerhet, rapportering, ansvarsregulering, og forbrukerrettigheter. Dette vil bidra til styrket konkurranse i markedet, noe som vil være til kundens beste.

I praksis betyr dette at bankenes kunder kan få tilgang til sine opplysninger og tjenester via enn annen aktør sin løsning, enten en app eller en nettjeneste framfor å bruke bankenes egne nettbanker. De nye aktørene vil dermed konkurrere med bankene om å tilby de mest brukervennlige betalingstjenestene på nett.

Det vil bli enklere og billigere å få gjennomført betalinger uten å bruke kort. Forbrukerne kan via nettjenester betale direkte fra sin betalingskonto.

Det vil også bli mulig å få samlet all kontoinformasjon om betalingskonter kun på ett sted, på tvers av banker. Dette vil gjøre det enklere for forbrukerne å holde oversikt over egen økonomi. 

For å benytte seg av disse tjeneste må forbrukerne/bankkundene gi sitt samtykke til dette.

I tillegg vil sikkerheten og forbrukerrettighetene bli ivaretatt på en god måte, også på tvers av landegrensene.

De norske bankene har lang tradisjon for samarbeid på områder der de ikke konkurrerer.
Det har foregått et omfattende samarbeid i banknæringen med å forberede innføringen av PSD2 slik at det tilrettelegges for at nye aktører kan få tilgang til norske betalingskontoer på en enkel og smidig måte.

Dette innebærer blant annet at tilgang til norske betalingsprodukter er lagt til rette for på en ensartet måte som igjen sikrer at de nye aktørene enkelt kan «koble seg på» hver bank og tilby sine egne løsninger til kundene.

Ja.

Se svar ovenfor.

Sikkerhetskrav som skal redusere risikoen for svindel og beskytte kundenes data. Både banker og nye aktører vil være forpliktet til å ta i bruk autentiseringsmetoder som tilfredsstiller kravene som er satt.

Sterk kundeautentisering krever at kundene identifiserer seg med minst to av tre faktorer, som vist nedenfor.

Faktorer:

1. Noe du har: kort, mobil, kodegenerator osv.
2. Noe du vet: passord, PIN-kode osv.
3. Noe du er: fingeravtrykk, ansikt, iris osv.

• PISP (Payment Initiation Service Providers) = tilbyder av nettbaserte kontobetalingstjenester – kan være både bank og «annen aktør», også kalt betalingsfullmektig.
• AISP (Account Information Service Providers) = tilbyder av nettbaserte kontoinformasjonstjenester – kan være både bank og «annen aktør», også kalt opplysningsfullmektig.
• PIISP (Payment Instrument Issuing Service Providers) = tilbyder av kortbaserte betalingstjenester som ikke er tilknyttet kundens konto (type lojalitetskort)
• ASPSP (Account Servicing Payment Service Provider) = Tilbydere av kontoer for betalingstjenester – bank som tilbyr betalingskontoer

Betalingstjenester kan kun gjennomføres fra betalingskontoer. I PSD2 er betalingskonto definert som en konto i navnet på èn eller flere kunder som benyttes for å gjennomføre betalingstransaksjoner (vår oversettelse).

Hvorvidt en konto i bank er å anse som betalingskonto, baseres ut fra hver bank sine kontoprodukter og om det kan gjennomføres en betaling fra denne kontoen. 

Så langt ser det ut til at en betalingskonto i alle fall ikke vil være en lånekonto, en VPS-konto eller andre typer kontoer man vanligvis ikke kan gjøre en betaling fra.

Alle tilbydere av betalingstjenester har ansvar for å innhente samtykke fra sin kunde for tilgang til kundens betalingskonto hos en bank. Først når samtykke er innhentet kan betalingstjenesten gjennomføres.