Om det nya betaltjänstdirektivet – PSD2
Den 1:a Maj 2018 infördes omfattande ändringar i Lagen om betaltjänster [1] och Lagen om elektroniska pengar [2], samt att Finansinspektionen publiserade FFFS 2018:4 [3]. I och med att dessa trädde i kraft, så infördes det nya betaltjänstdirektivet PSD2 (Payment Service Directive 2).
Syftet med PSD2 är att modernisera och harmonisera regleringen av betaltjänster inom Europa. PSD2 kommer dels att placera krav på öppenhet från bankernas sida, men även en betydligt hårdare reglering av betaltjänsteleverantörer. Eftersom PSD2 är ett direktiv, så har respektive land frihet att välja hur det skall implementeras i lag.
För att lagen skall vara anpassad till moderna betaltjänster är denna förändring nödvändig.
Bankernas skyldigheter mot betaltjänstleverantörern
Direktivets införande innebär att bankerna är skyldiga att tillgodose ett API för alla betaltjänstleverantörer som vill kunna utföra transaktioner till och från bankens kunders konton, förutsatt att bankkunden givit sitt samtycke.
Betalningstjänstleverantörernas skyldigheter
Inom Europa kommer det alltså att krävas att Betaltjänsteleverantörer auktoriseras av respektive lands tillsynsmyndighet. I Sverige är Betaltjänstleverantörerna nu, enligt de uppdaterade lagarna, under tillsyn av Finansinspektionen. Betaltjänstleverantörerna blir därmed också skyldiga att följa regler avseende hantering av operativa risker och säkerhetsrisker på ett sätt som de inte har varit tidigare.
De nya kraven för betaltjänsteleverantörerna innefattar bland annat att;
- Det skall finnas ett ramverk av dokumenterade åtgärder som minskar risken för operativa risker och säkerhetsrisker relaterade till leverantörens betaltjänster (”risker” nedan). Ramverket måste alltså inte förhålla sig till risker för annan verksamhet som betaltjänstleverantören eventuellt ägnar sig åt. Finansinspektionen ger 12 minimumkriterier för ramverket [3]. Kort sammanfattat;
- Det skall finnas processer, rutiner och en dokumenterad nivåbaserad modell för att mäta, övervaka och hantera risker, samt att en riskaptit skall definieras.
- Det skall finnas krisberedskapsplaner skall finnas, som regelbundet testas.
- En hotbildsanalys skall utföras och anställda skall regelbundet utbildas i krisberedskapsplanerna.
- För it-system, fysisk säkerhet och åtkomstkontroll skall finnas säkerhetsåtgärder utformade enligt resultat från en riskanalys. De ansvarsfunktionerna som krävs för att säkerhetsåtgärderna skall kunna uppfyllas måste vara definierade.
- Det skall finnas processer och rutiner för att informera kunder om säkerhetsrisker och felmedelanden kring betaltjänsterna, samt om möjligheten att avaktivera valbara betalfunktioner.
- Årligen skall Bataltjänstleverantörerna lämna en rapport till Finansinspektionen innehållandes en övergripande bedömning av operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som Betaltjänstleverantören tillhandahåller. Rapporten skall även innehålla en beskrivning av de säkerhetsåtgärder som är på plats, samt en utvärdering av deras lämplighet för att hantera dessa risker.
- Betaltjänstleverantörerna bör tillgodose stark kund autentisering, vilket är synonymt med multifaktorautentisering, för alla betalningar, inloggningar eller andra handlingar som innebär risk för bedrägeri eller missbruk.
Den som är intresserad av mer detaljerade rekommendationer bör se EBAs riktlinjer [5].
Förväntningar
Det finns en risk med införandet av PSD2 att auktoriseringskravet för Betaltjänstleverantörer och det tillhörande kravet på ett ledingssystem kommer att att göra det svårt för startups och mindre företag att ta sig in på marknaden.
Emellertid så ger PSD2 utrymme för att, enligt proportionalitetsprincipen, låta mindre företag upfylla kraven på ett vis som är lämpligt för deras verksamhet. Finansinspektionen har också i 2018:4 givit uttryck för denna proportionalitetsprincip genom att det finns en möjligheten ansöka om speciella undantag från autoriseringskravet.
Förhoppningsvis kommer dessa förändringar leda till mer öppen, bättre reglerad och säkrare marknad för nya typer av betaltjänster. Vilket kommer att gynna slutanvändaren.
Referenser
[1] – Lag om betaltjänster
[2] – Lag om elektroniska pengar
[3] – FFFS 2018:4
[4] – PSD2
[5] – EBA Guidelines