Høringsuttalelse fra VBB AS Forskrift om betalingstjenester

Transkript

1 Justis- og beredskapsdepartementet Postboks 8005 Dep Oslo Kun sendt elektronisk Deres ref.: Oslo, 4. oktober 2018 Høringsuttalelse fra VBB AS Forskrift om betalingstjenester Det vises til Justis- og beredskapsdepartementets høringsnotat av juli 2018 om forslag til forskrift om betalingstjenester. VBB AS («VBB») har følgende hovedsynspunkter: Det er behov for enkelte justeringer av begrepsbruken i forskriften. Alle betalingstjenesteytere er underlagt personvernlovgivningen, som stiller selvstendige krav til behandlingsgrunnlag og prinsipper for behandling av personopplysninger. Definisjoner av begrepene «personlig sikkerhetsinformasjon» og «sensitiv betalingsinformasjon» tilsvarende definisjonene som følger av PSD2 bør inntas i forskriften. En sentral forutsetning for elektroniske identifikasjonsløsninger er at sikkerhetsmekanismer slik som passord o.l. er hemmeligheter som kun deles mellom kunden og utstederen. Dersom opplysningene skal overføres, må dette skje gjennom kanaler som utstederen godkjenner eller på annen måte har kontroll over. Det må presiseres hvilken adgang til å be om eller lagre sensitiv betalingsinformasjon som gjelder for henholdsvis betalingsfullmektiger og opplysningsfullmektiger. Regler om dette må derfor inntas i bestemmelsene som gjelder konkret for hver av de to typene av fullmakttjenester. Det bør gjøres presiseringer i reglene om ansvaret for uautoriserte og ukorrekte betalinger.

2 1. KORT OM VBB OG BANKID VBB er et norskregistrert betalingsforetak med konsesjon fra Finansdepartementet. VBB ble etablert i 2017 som en fusjon mellom Vipps AS, BankID Norge AS og BankAxept AS. Fusjonen ble endelig gjennomført i juli VBB eies 100 % av banker med virksomhet i Norge. Foruten å yte betalingstjenester i henhold til finansforetaksloven 2-3, jf. finansavtaleloven 11 første ledd, driver VBB etter fusjonen blant annet forvaltning og drift av betalingssystemet BankAxept og eid-løsningen BankID. Slike tjenester anses som andre aktiviteter som betalingsforetak kan drive i henhold til PSD2 art. 18. Den foreslåtte forskriften inneholder bestemmelser med formuleringer som VBB frykter at kan tolkes slik at det vil kunne gå på bekostning av sikkerheten til eid-løsninger, slik som BankID. I den forbindelse er det hensiktsmessig med en kort redegjørelse for BankID som elektronisk identifikasjonsløsning. BankID er en personlig og enkel elektronisk identifikasjon for sikker identifisering på nett. Med identifisering forstår vi en metode for å utpeke en bestemt person. Autentisering innebærer en verifikasjon av at den identifiserte personen er den han/hun utgir seg for. Med BankID autentiserer du deg med ditt fødselsnummer, samt «noe du har» og «noe du vet» - også kalt to-faktor autentisering. Eksempler på noe du har kan være kodebrikke, kodekort eller en kodeapp på mobiltelefonen. Noe du vet er ditt personlige passord for banklagret BankID, eller ID-PIN for BankID på mobil. BankID tilfredsstiller det høyeste sikkerhetskravet for elektronisk ID i Norge. Tilliten til BankID er svært viktig for VBB, utstedere (bankene), brukerne og samfunnet for øvrig. VBB arbeider kontinuerlig med tiltak som kan bedre sikkerheten i BankID. Hvordan en sertifikatholder beskytter sikkerhetsmekanismer og passord vil likevel være utenfor kontrollen til utsteder eller BankID. Et viktig premiss bak utstedelse av sikkerhetsmekanismen i BankID er at brukeren kjenner til farene ved at denne deles, og på grunn av dette oppbevarer den og passordet trygt uten å dele det med andre. Fjernes denne forutsetningen, vil det kunne medføre økt misbruk. Dagens avtaleregel pålegger bruker av BankID en rekke krav om vern av passord for å sikre at det elektroniske sertifikatet benyttes kun av sertifikatholder. For elektronisk id på sikkerhetsnivå 4 stilles det strenge krav i hele verdikjeden, det være seg legitimering, opprettelse, utstedelse, endring samt sperre og slette. Et viktig prinsipp i den forbindelse er prinsippet om «sole control», som innebærer at kun sertifikatholder skal ha tilgang til sikkerhetselementene som engangskode og passord. VBB ser det som svært sentralt at gjennomføringen av PSD2 ikke går på bekostning av prinsippene som gjelder for sikkerheten til eid-løsningene. Dette var også flere aktører, herunder BankID, opptatt av i forbindelse med høring om ny finansavtalelov. VBB vil igjen understreke viktigheten av at det ikke åpnes opp for løsninger der andre enn utstedere og kunder får tilgang til sikkerhetselementene i eid-løsninger, og at slik deling i tilfelle kun skjer i grensesnitt som eid-utstederen har kontroll over. Side 2 av 8

3 2. GENERELLE MERKNADER 2.1 Behov for veiledninger VBB har merket seg Finans Norge sitt høringsinnspill til ny finansavtalelov på s. 113, hvor Finans Norge understreker viktigheten av veiledning om hvordan reglene skal praktiseres i overgangsperioden frem til kommisjonsforordningen om sterk kundeautentisering trer i kraft. VBB mener at slik veiledning også er nødvendig for reglene i forskriften. Særlig er det viktig med veiledning omkring hvorvidt kontotilbyder kan stille samme krav til autentisering av kunden gjennom en betalingsfullmektig som den krever fra egen kunde i eget kundegrensesnitt. 2.2 Begrepsbruk Departementet har bedt om innspill på om man i forskriftens 12 og 13 skal skrive «betalingsordre iverksatt av en betalingsfullmektig» eller «betalingsordre iverksatt via en betalingsfullmektig». VBB har i forbindelse med høringen om ny finansavtalelov også merket seg diskusjonen omkring hvilket av begrepene «iverksette» eller «initiere» som er en korrekt implementering av PSD2. VBB mener det er viktig at begrepene som benyttes er presise med hensyn til samhandlingen mellom kontotilbydere og betalingsfullmektiger. Betalingsfullmektigen vil kun være et mellomledd mellom kunden og kontotilbyderen. Slik vi forstår etablert bransjeterminologi er det kun kontotilbydere som har anledning til å «iverksette» betaling. Av den grunn mener VBB at en mer presis og direktivnær begrepsbruk vil være å benytte begrepet «initiert via». Det vises også til at PSD2 art 72 og 72 benytter «initieres via» på dansk og «initiated through» på engelsk. VBB vil videre understreke at det er svært viktig at begrepene som benyttes om de ulike aktørene reflekterer hvilken rolle de faktisk har. I den forbindelse har VBB merket seg at departementet i forskriftsforslaget gjennomgående benytter begrepet «kunde». I relasjon til fullmakttjenester oppstår det imidlertid to kunderelasjoner; én til banken og én til fullmaktforetaket. VBB ønsker at det benyttes begreper som gjør det klart hvilken kunderelasjon det er tale om. 2.3 Forholdet til personvernlovgivningen VBB registrerer at departementet i høringsnotatet på s. 20 legger til grunn at reguleringen i PSD art. 67 er til hinder for at et fullmaktforetak innhenter samtykke fra den registrerte til å benytte opplysninger til andre formål enn å levere tjenesten. VBB er uenige i denne forståelsen av PSD2 og personvernlovgivningen. I brev av 5. juli 2018 fra European Data Protection Board («EDPB») til EU-parlamentet skriver EDPB at behandling av personopplysninger til andre formål som ikke er nødvendig for kontraktens gjennomføring kan være tillatt etter reglene i GDPR. Forutsetningen er at slik behandling er basert på et samtykke fra den registrerte som oppfyller samtykkekravet i GDPR art. 7 og art. 4 nr. 11. Dette er også slik GDPR forstås på andre områder hvor det stilles krav til avtalen mellom kunden og en profesjonell aktør. Side 3 av 8

4 Bruk av personopplysninger gir muligheter for å tilby kundene andre typer tjenester. VBB kan da ikke se at PSD2 skal være til hinder for dette, såfremt kunden samtykker til slik bruk av kundens personopplysninger i henhold til personvernlovgivningen. 3. KOMMENTARER TIL 2: DEFINISJONER VBB registrerer at flere av begrepene i forskriftens 5, som gjennomfører regler i PSD2 art. 66 og art. 67, inneholder begreper som er definert i PSD2. Tilsvarende definisjoner er imidlertid ikke inntatt i forskriften. VBB mener at følgende definisjoner må inntas i forskriften: 3.1 Begrepet «personlig sikkerhetsinformasjon» I forskriftforslaget 5 tredje ledd benyttes begrepet «personlig sikkerhetsinformasjon». Bestemmelsen regulerer fullmaktforetakets plikt til å sikre at kundens personlige sikkerhetsinformasjon ikke er tilgjengelig for andre enn utstederen og kunden selv. Begrepet «personlig sikkerhetsinformasjon» er ikke definert i forskriftforslaget, hverken i 2 eller i 5. Det er derimot definert i PSD2 art. 4 nr. 31, som på dansk definerer «personaliserede sikkerhedsoplysninger» som «personaliserede elementer, som betalingstjenesteudbyderen stiller til rådighed for en betalingstjenestebruger med henblik på autentifikation». På engelsk er «personalised security credentials» definert som «personalised features provided by the payment service provider to a payment service user for the purposes of authentication». Begrepet «personlig sikkerhetsinformasjon» henspiller altså til autentifikasjonsdetaljer, slik som for eksempel passord til kundens BankID. VBB vil understreke at det er svært viktig at kundens personlige sikkerhetsinformasjon ikke deles med andre enn kunden og utstederen, jf. under i punkt 4.1. Da må det også være tydelig hva som inngår i begrepet «personlig sikkerhetsinformasjon». VBB ønsker derfor at det i forskriften 2 inntas en definisjon av begrepet tilsvarende den som følger av PSD2 art. 4 nr Begrepet «sensitiv betalingsinformasjon» I forskriftforslaget 5 fjerde ledd benyttes begrepet «sensitiv betalingsinformasjon». Bestemmelsen avskjærer fullmaktforetak fra å be om sensitiv betalingsinformasjon. Begrepet «sensitiv betalingsinformasjon» er ikke definert i forskriften, hverken i 2 eller i 5. Ordlyden av begrepet kan peke mot opplysninger knyttet til selve betalingstransaksjonen. Det er ikke klart ut fra ordlyden om hvorvidt betalerens autentifikasjonsdetaljer omfattes av begrepet. Dette følger imidlertid etter VBBs oppfatning av definisjonen av det tilsvarende begrepet i PSD2, jf. PSD2 art. 4 nr. 32. Etter PSD2 art. 4 nr. 32 er begrepet «følsomme betalingsdata» på dansk definert som «data, herunder personaliserede sikkerhedsoplysninger, som kan anvendes til at begå svig», dog med unntak for navn og kontonummer. På engelsk er «sensitive payment data» definert som «data, including personalised security credentials which can be used to carry out fraud» med samme unntak for navn og kontonummer. Definisjonen henviser altså til definisjonen av «personlig sikkerhetsinformasjon», jf. over. Det bør klargjøres Side 4 av 8

5 at kundens personlige sikkerhetsinformasjon omfattes av begrepet «sensitiv betalingsinformasjon», slik at det er klart at fullmaktforetaket heller ikke kan be om kundens autentifikasjonsdetaljer, slik som passord til BankID. På denne bakgrunn ber VBB om at det i forskriften 2 inntas en definisjon av «sensitiv betalingsinformasjon» tilsvarende den som følger av PSD2 art. 4 nr Begrepet «betalingskonto» Begrepet «betalingskonto» benyttes i flere bestemmelser i forskriftsforslaget, uten at dette er nærmere definert. Dette begrepet er likevel sentralt for å forstå anvendelsesområdet for forskriften, og videre for forståelsen av partenes rettigheter og plikter. På denne bakgrunn ber VBB om at det i forskriften 2 inntas en definisjon av begrepet «betalingskonto» tilsvarende den som følger av PSD2 art. 4 nr KOMMENTARER TIL 5: SIKKERHET VED BRUK AV KUNDENES AUTENTIFIKASJONSDETALJER 4.1 Tilgang til kundens «personlige sikkerhetsinformasjon» Departementet foreslår følgende regel i forskriften 5 tredje ledd: «Fullmaktforetaket skal sikre at kundens personlige sikkerhetsinformasjon ikke er tilgjengelig for andre enn utstederen og kunden selv. Dersom fullmaktforetaket skal overføre kundens personlige sikkerhetsinformasjon skal det foregå gjennom sikre og effektive kanaler» I høringsinnspillene til høringen av forslaget til ny finansavtalelov var det flere aktører som var skeptiske til at lovforslaget til ny finansavtalelov syntes å forutsette at passord og kode som benyttes for bruk av BankID vil kunne bli tilgjengelig for betalings- og opplysningsfullmektiger. VBB registrerer at departementet på s. 9 i høringsnotatet skriver at regelen i 5 tredje ledd er ment å sikre at det kun er kunden og utstederen av sikkerhetsinformasjonen som skal ha tilgang til kundens personlige sikkerhetsanordninger, og at forslaget således skal svare på innspillene fra høringen til ny finansavtalelov. Som påpekt over i punkt 3.1 mener VBB at definisjonen av «personlig sikkerhetsinformasjon» bør inntas i forskriften 2, for å sikre korrekt forståelse av begrepet. VBB ser det som positivt at bestemmelsen i forskriften 5 tredje ledd skal sikre at det ikke åpnes for at fullmaktforetaket har tilgang til kundens personlige sikkerhetsinformasjon. Forslaget åpner imidlertid for deling av slik personlig sikkerhetsinformasjon gjennom «sikre og effektive kanaler». VBB mener at det er behov for en presisering av ordlyden i denne delen av forslaget. Med BankID autentiserer du deg som nevnt over med ditt fødselsnummer, samt «noe du har» og «noe du vet» - også kalt to-faktor autentisering. En slik elektronisk identifikasjonsløsning baserer seg på at delte hemmeligheter, som passord og koder, bare er tilgjengelig for kunden og utsteder. Det er helt avgjørende for sikkerheten og tilliten til løsningen at dette ikke deles med andre. Det er derfor svært viktig at deling av Side 5 av 8

6 den personlige sikkerhetsinformasjonen som regelverket åpner for, begrenses til metoder der den personlige sikkerhetsinformasjonen ikke blir kjent for andre. Begrepet «sikre kanaler» er ikke definert i forskriften eller i PSD2. Når det ikke stilles konkrete krav til hva som utgjør en «sikker» kanal, åpnes det opp for individuell tolkning. En tredjepart kan dermed tolke bestemmelsen og ut fra dette definere seg som en «sikker og effektiv kanal». Dermed kan forutsetningen om at ingen andre enn kunden og utstederen av sertifikatet skal ha tilgang til kundens personlige sikkerhetsinformasjon brytes. En sentral forutsetning for de elektroniske identifikasjonsløsningene er at dette er hemmeligheter som kun deles mellom kunden og utstederen. Dersom opplysningene skal deles, må dette skje gjennom kanaler som utstederen godkjenner eller på annen måte har kontroll over. På denne bakgrunn foreslår VBB at det legges inn en formulering i 5 tredje ledd andre setning som presiserer at fullmaktsforetaket ikke selv skal overføre kundens personlige sikkerhetsinformasjon. Dette for å sikre at ikke en tredjepart kan definere seg som en slik sikker og effektiv kanal, og dermed gå på bekostning av sikkerhetskravene til de elektroniske identifikasjonsløsningene. I tillegg ber vi om at «skal overføre» endres til «skal besørge overføring av» for å understreke tredjepartsrelasjonen. På denne bakgrunn foreslår VBB følgende justeringer i ordlyden i 5 tredje ledd andre setning: «Dersom fullmaktforetaket skal besørge overføring av overføre kundens personlige sikkerhetsinformasjon skal det foregå gjennom sikre og effektive kanaler under utsteders kontroll.» 4.2 Begrenset adgang til å be om «sensitiv betalingsinformasjon» Forslaget til forskriften 5 fjerde ledd skal ifølge departementet gjennomføre PSD2 art. 66 nr. 3 bokstav g og art. 67 nr. 2 bokstav f. Ordlyden lyder som følger: «Fullmaktforetaket skal ikke benytte, lagre eller på annen måte bruke tilgang til opplysninger for andre formål enn utføring av fullmakttjenesten i samsvar med betalerens uttrykkelige anmodning, og ikke be om sensitiv betalingsinformasjon knyttet til betalingskontoene.» VBB mener, som påpekt over i punkt 3.2, at begrepet «sensitiv betalingsinformasjon» bør defineres i forskriften, for å sikre korrekt forståelse av begrepet. VBB oppfatter at siste del av bestemmelsen i 5 fjerde ledd «knyttet til betalingskontoene» - er hentet fra PSD2 art. 67 nr. 2 bokstav e. Denne bestemmelsen i PSD2 gjelder kun kontoinformasjonstjenester. Bestemmelsen er imidlertid i forskriften systematisk plassert i bestemmelsen som gjelder vilkår for både kontoinformasjonstjenester og betalingsfullmakttjenester. Formuleringen om at det ikke er tillatt å be om sensitiv betalingsinformasjon «knyttet til betalingskontoene» åpner for en snever tolkning av når forbudet gjelder. Betalingsfullmektiger kan da argumentere for de ikke ber om sensitiv betalingsinformasjon som er knyttet til betalingskontoer, og at de derfor ikke omfattes av begrensningen i forskriften 5 fjerde ledd. Side 6 av 8

7 VBB vil igjen understreke viktigheten av at det ikke åpnes opp for usikkerhet knyttet til hvorvidt et foretak kan innhente kundens personlige identifikasjonsdetaljer eller ikke. Slik bestemmelsen er foreslått nå åpnes det nettopp opp for slik usikkerhet. Ettersom formuleringen «knyttet til betalingskontoene» er hentet fra PSD2, men kun gjelder kontoinformasjonstjenester, mener VBB at denne formuleringen bør flyttes til forskriftens 7. Denne bestemmelsen gjelder vilkår som kun gjelder for kontoinformasjonstjenester. PSD art. 66 nr. 3 bokstav e inneholder en regel som forbyr betalingsfullmektiger å lagre sensitiv betalingsinformasjon. Det bør derfor utformes en tilsvarende regel som gjelder for betalingsfullmektiger, som kun retter seg mot å lagre sensitiv betalingsinformasjon, men som ikke er begrenset til «betalingskontoene». VBB foreslår at en slik bestemmelse inntas i forskriftens 6, som omhandler vilkår som kun gjelder for betalingsfullmakttjenester. 5. KOMMENTARER TIL 12 OG 13: ANSVAR VED UAUTORISERTE OG UKORREKTE BETALINGSTRANSAKSJONER Departementets forslag til forskriften 12 og 13 gjennomfører regler i PSD art. 72, art. 73 og art. 90. Bestemmelsene pålegger betalingsfullmektiger et ganske omfattende ansvar for uautoriserte og ukorrekte betalingstransaksjoner, samt en omvendt bevisbyrde innenfor betalingsfullmektigens «kompetanseområde». VBB er av den oppfatning at bestemmelsene virker noe vanskelig tilgjengelig, og det er brukt ulike formuleringer i 12 og 13 uten at dette synes begrunnet eller kan forklares med tilsvarende forskjeller i PSD2. For eksempel benyttes «umiddelbart» i 12 første ledd og 13 tredje ledd, mens «uten ugrunnet opphold» benyttes i 13 første ledd. I 12 andre ledd if. settes punktum etter «rammet av teknisk svikt eller annen feil.», mens det i 13 andre ledd if. tilsynelatende kun gjelder «teknisk svikt eller andre feil knyttet til den mangelfullt gjennomførte betalingstransaksjonen». VBB ber departementet om å foreta en gjennomgang av bestemmelsene i forskriftens 12 og 13, og foreta nødvendige presiseringer. I den forbindelse vil VBB understreke at det er særlig viktig at ansvaret er i samsvar med de tilsvarende bestemmelsene i PSD2 og at det kommer tydelig frem hvem som er ansvarlig for uautoriserte og ukorrekte betalinger, hva som skal til for at ansvaret flyttes, samt hvilke krav som stilles for den ansvarlige. 6. KOMMENTARER TIL 15: IKRAFTTREDELSE OG OVERGANGSREGLER Det bør tydeliggjøres for finansforetak og fullmaktforetak når retten til tilgang til internettbasert betalingskonto inntrer. Dette er også viktig for aktører som VBB, som leverer identifikasjonstjenester til slike foretak. VBB mener derfor det bør inntas en overgangsregel som tilsvarer PSD2 art. 115 nr. 4. VBB legger videre til grunn at endringene er til gunst for kunden. VBB ber derfor departementet om å klargjøre i regelverket at vilkårs- og avtaleendringer som gjennomføres for å etterleve forskriften kan iverksettes uten en varslingsfrist på to måneder i henhold til finansavtaleloven 18 andre ledd. Side 7 av 8

8 Med vennlig hilsen VBB AS Merete Stigen Chief Financial Officer Side 8 av 8