Utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv - høringsuttalelse

Transkript

1 Finansdepartementet Sendes elektronisk Dato: Vår ref.: Deres ref.: 13/3541 FMA IHE Utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv - høringsuttalelse 1. Innledning Det vises til høringsnotat om regler tilsvarende EUs reviderte betalingstjenestedirektiv med svarfrist Dette høringssvaret er utarbeidet med bistand fra finansnæringens infrastrukturselskap Bits AS. De konkrete innspill til enkeltbestemmelsene i ny forskrift om betalingstjenester gis i vedlegg til dette brevet. Alle artikler det vises til både i brevet og i vedlegget er til bestemmelser i det reviderte betalingstjenestedirektivet (heretter PSD 2). 2. Hovedsynspunkter Det er prinsipielt uheldig at det ikke er utarbeidet et felles høringsnotat om implementering av både virksomhetsreglene og de kontraktsrettslige reglene i PSD 2. Implementering i Norge bør basere seg på at direktivet er innlemmet i EØS-avtalen, og slik implementering bør skje snarlig. Finans Norge vil understreke viktigheten av like konkurransevilkår mellom foretak i Norge og mellom foretak i Norge og i EU. Den tekniske standarden om sterk kundeautentisering og felles og sikker kommunikasjon (heretter RTS on SCA) 1 mv. må tre i kraft samtidig i Norge og EU. Norske myndigheter må gi finansforetakene veiledning om hvilke krav som gjelder i overgangsperioden mellom ikraftsettelsen av PSD 2 og ikraftsettelsen av utfyllende regelverk, særlig RTS on SCA. Finans Norge mener det er behov for en avklaring av reglene i PSD 2 sett i sammenheng med reglene om taushetsplikt i finansforetaksloven Regulatory Technical Standards on strong customer authentication and common and secure communication under PSD 2

2 Finans Norge støtter i sin helhet forslaget om og begrunnelsen for at betalingsforetak inntas som foretak som Finanstilsynet fører tilsyn med etter forskrift om finanstilsyn i EØS 1. Vi ber om at det foretas en gjennomgang av bestemmelsene som bygger på direktivbestemmelser med sikte på å gjennomføre dem mer direktivtro, jf. at PSD 2 er et fullharmoniseringsdirektiv. Begrepet «betalingskonto» må tolkes likt i Norge som i Danmark og Sverige. 3. Generelle merknader 3.1 Innledende synspunkter Finans Norge vil understreke viktigheten av at PSD 2 blir korrekt implementert i norsk rett. EUs reviderte betalingstjenestedirektiv er et viktig direktiv for norsk finansnæring. Det er en grunnleggende forutsetning for virksomhetsutøvelsen på betalingsområdet fremover at næringen er en del av det europeiske indre marked gjennom EØS-avtalen. Harmoniserte regler og like konkurransevilkår for alle aktører som opererer på finansmarkedet, både mellom foretak i Norge og mellom foretak i Norge og EU er et viktig premiss når det åpnes for tredjepartstilbyderes tilgang i markedet for betalingstjenester. Nytt regelverk vil medføre ressurskrevende oppgaver for relevante tilsynsmyndigheter, og Finans Norge mener at det er viktig at disse organene besitter tilstrekkelige ressurser med rett kompetanse. Formålet med PSD 2 er å bidra til økt konkurranse, sikre innovative, effektive og rimeligere betalingstjenester, og samtidig gi økt sikkerhet for brukerne av betalingstjenester. Dette er viktige og sentrale hensyn. Selv om PSD 2 utfordrer den tradisjonelle bankvirksomheten, ser Finans Norge samtidig at finansforetak også vil kunne få muligheter til å tilby nye tjenester. I og med at det åpnes for nye betalingstjenestetilbydere er det viktig at disse blir regulert og kommer under tilsyn innenfor rammen av PSD 2. Finans Norge mener det er prinsipielt uheldig at det ikke er utarbeidet ett felles høringsnotat som både inneholder virksomhetsreglene og kontraktsrettslige reglene knyttet til implementeringen av PSD 2. Som et minimum burde de to høringsnotatene fra hhv. Finansdepartementet og Justisdepartementet blitt sendt på høring samtidig. Det er utfordrende å gi kommentarer til - og umulig å se sammenhengen mellom reglene - når kun deler av forslagene er kjent. Finans Norge viser til dialog med Finansdepartementet om gjennomføringen av høringen og tar forbehold om at det kan bli nødvendig med tilleggskommentarer til denne høringen når Justisdepartementets forslag foreligger. Finans Norge har forståelse for at det er vanskelig å implementere nivå 2-regler som fremdeles ikke er ferdigstilt i EU, herunder RTS on SCA og retningslinjen om hendelsesrapportering 2. Finans Norge mener det er hensiktsmessig at de sentrale nivå 2-2 Guidelines on major incidents reporting under PSD 2 Side 2 av 19

3 reglene, inkludert RTS on SCA, sendes på ny høringsrunde når de er vedtatt i EU, med den hensikt at næringen kan gi språklige innspill i forbindelse med oversettelsen av reglene. 3.2 Innlemmelse i EØS-avtalen og førtidig implementering i norsk rett Finans Norge mener på generelt grunnlag at EØS-relevante rettsakter som fastsettes i EU må innlemmes i EØS-avtalen tidsnok til at rettsakten kan implementeres og tre i kraft på samme tid både i EU og i Norge. Finans Norge er klar over at dette ikke er mulig hva gjelder implementering av PSD 2. Vi mener like fullt at dette direktivet må innlemmes inn i EØS-avtalen så raskt som mulig, slik at finansforetak i Norge vil kunne konkurrere på like vilkår som finansforetak i EU. Så lenge direktivet ikke er innlemmet i EØS-avtalen, er det en risiko for at EU-land ikke vil gi norske aktører lik behandling som EU-aktører etter Banker i Norge vil dermed kunne få en konkurranseulempe sammenlignet med EU-aktører. I høringsnotatet spør Finansdepartementet om direktivet skal gjennomføres førtidig i norsk rett. Med førtidig implementering forstår vi for det første implementering av direktivets regler før direktivet er innlemmet i EØS-avtalen, og for det andre implementering av nivå 2- regler (tekniske standarder/retningslinjer ol.) før tilsvarende regler er gjeldende i EU. Vi legger til grunn at førtidig implementering av PSD 2 vil gi størst forutsigbarhet for foretak etablert i Norge og utenlandske virksomheters grenseoverskridende virksomhet inn i det norske markedet, og støtter derfor førtidig implementering av direktivet. Førtidig implementering i Norge kan likevel, som også nevnt over, skape usikkerhet og derigjennom utgjøre en konkurranseulempe for foretak med grenseoverskridende virksomhet fra Norge og inn i andre EØS-land. Dersom myndighetene beslutter førtidig implementering av PSD 2, forutsetter vi at norske myndigheter legger stor vekt på å få dette direktivet raskt innlemmet i EØS-avtalen. Hva gjelder nivå 2-reglene (tekniske standarder/retningslinjer osv.), så vil vi understreke viktigheten av at de tekniske standardene og retningslinjene fra EBA, og særlig RTS on SCA, må settes i kraft i Norge samtidig som i EU, og i hvert fall ikke tidligere. Dersom kravene i RTS on SCA skal gjelde i Norge før EU kan dette skape en praktisk vanskelig situasjon for norske finansforetak, bl.a. vil ikke kontotilbyder kunne verifisere online om betalings- og opplysningsfullmektig er autorisert. I og med at arbeidet med RTS on SCA trekker ut i EU, mener vi at det må være gjennomførbart for norske myndigheter å få til en samtidig ikrafttredelse av nivå 2-reglene i Norge som i EU. 3.3 Ulikt ikrafttredelsestidspunkt for virksomhetsreglene og den kontraktsrettslige reguleringen I høringsbrevet viser Finansdepartementet til at det kan være ulike hensyn som dersom de gjør seg gjeldende kan tale for at markeds og virksomhetsreguleringen som er omhandlet i høringsnotatet og den kontraktsrettslige reguleringen i finansavtaleloven settes i kraft til Side 3 av 19

4 ulik tid. Finans Norge har forståelse for at Finanstilsynet kan anse det hensiktsmessig å få avklart konsesjonsrettslige forhold knyttet til «nye» aktører på et så tidlig tidspunkt som mulig. Samtidig vil en slik «klargjøring» kunne resultere i at tredjepartsaktører vil kreve tilgang til kundekontoer i bankene under henvisning til at PSD 2 er implementert, til tross for at den kontraktsrettslige delen ikke er implementert i norsk rett. Dersom de kontraktsrettslige reglene ikke har trådt i kraft, kan det oppstå en rekke tvilsspørsmål, eksempelvis hvilke kontoer tredjepartstilbyderne skal ha tilgang til samt ansvarsfordelingen mellom kontotilbyder og tredjepartstilbyder. Finans Norge mener følgelig at den kontraktsrettslige reguleringen - og virksomhetsreguleringen må tre i kraft samtidig. Før ikrafttredelsen av PSD 2 i norsk rett legger Finans Norge til grunn at den enkelte tredjepartstilbyders tilgang må basere seg på enighet med den enkelte kontotilbyder, jf. høringsnotatet side Behov for veiledning i overgangsperiode mellom implementeringen av hhv. PSD 2 og RTS on SCA Overgangsperioden mellom ikrafttredelsen av PSD 2 (13. januar 2018 i EU) og RTS on SCA gir en rettslig usikkerhet ettersom kravene i medhold av den tekniske standarden ikke vil gjelde før tidligst våren Dersom kravene i RTS on SCA blir gjennomført til forskjellig tid i Norge og EU, vil dette gi en ekstra usikkerhet i forhold til hva norske aktører kan kreve av tredjepartstilbydere og tilsvarende hva tredjepartsaktører kan kreve av tilgang hos bankene, uavhengig av om disse er norske eller EU-foretak. Det kan resultere i at enkelte banker åpner opp sine systemer, mens andre ikke vil åpne sine systemer før RTS on SCA er klar. Finans Norge antar at EU-kommisjonen vil gi veiledning til EU-land om hvilke krav, bl.a. knyttet til sikker samhandling og kommunikasjon med tredjepartstilbydere og autentisering av kunden, som skal gjelde i overgangsperioden. Finans Norge mener finansforetak i Norge må få tilsvarende veiledning fra norske myndigheter, herunder om krav til samhandling og kommunikasjon med tredjepartstilbydere. Finans Norge forventer at tredjepartstilbydere vil etablere seg i det norske markedet så snart PSD 2 er gjeldende i EU. Så lenge RTS on SCA ikke er trådt i kraft, vil de rent tekniske kravene til sikker kommunikasjon etter PSD 2 artikkel 98 nr. 1 bokstav d) ikke gjelde. Imidlertid vil kontotilbyder like fullt være avhengig av en form for sikker elektronisk kommunikasjon med tredjepartstilbydere - både for å oppfylle kravene i PSD 2 og ikke minst kunne skille mellom trafikk fra autoriserte tredjepartstilbydere og svindelvirksomhet. Finans Norge vil her vise til kravet for tredjepartstilbydere til å identifisere seg («identify itself. in a secure way») overfor kontotilbyder når de ønsker å gjennomføre en handling etter artikkel 65 nr. 2 bokstav c), artikkel 66 nr. 3 bokstav d) og art. 67 nr. 2 bokstav c). PSD 2 gir ingen nærmere beskrivelse for hvordan tredjepartstilbyder sikkert kan identifisere seg overfor kontotilbyder i overgangsperioden. Finansforetak i Norge etterspør derfor retningslinjer for hvordan Side 4 av 19

5 bankene skal kommunisere sikkert med tredjepartstilbydere som har mottatt autorisasjon til å operere i Norge. I mangel av veiledning knyttet til kommunikasjon med tredjeparter, vil det kunne oppstå spørsmål om diskriminering av tredjeparter, bl.a. dersom tredjepartstilbydere benytter ulike metoder for å identifisere seg. I forbindelse med sterk autentisering av kunden etter artikkel 97 ønsker banker i Norge veiledning om etterlevelse av kravene for tilfeller der kunden benytter en tredjepartstilbyder i overgangsperioden. Finans Norges mener artikkel 115 nr. 6 må forstås slik at kontotilbyder må kunne stille samme krav til autentisering av kunden gjennom en betalingsfullmektig som den krever fra egen kunde i eget kundegrensesnitt. Dette samsvarer slik vi ser det godt med kravene om tilgang til betalingssystem etter artikkel 35. Med andre ord: oppstiller banken krav om sterk kundeautentisering fra kunden, må tilsvarende krav også gjelde dersom kunden benytter en tredjepartstilbyder til å aksessere konto. Om så ikke er tilfelle, vil det begrense kontotilbyders mulighet til å kunne utøve kontroll på sikkerhetsnivået for egne kunders tilgang og bruk av kontoer. Det er videre behov for klargjøring av hvilke ansvarsregler for uautoriserte transaksjoner som skal gjelde i overgangsperioden, jf. artikkel 74 nr. 2. Vi er kjent med at veiledning om denne problemstillingen også er etterlyst av finansforetak i EU-land. Vi viser videre til pkt nedenfor hvor vi omtaler forholdet til reglene om taushetsplikt. 3.5 Forskriftsfesting av nivå 2-regler Basert på forslaget som foreligger antar Finans Norge at de sentrale nivå 2-reglene skal inntas i forskrifts form. Som nevnt innledningsvis mener Finans Norge det er hensiktsmessig med ny høringsrunde for å sikre korrekt oversettelse når de sentrale nivå 2-reglene, inkludert RTS on SCA, er ferdigstilt i EU og skal implementeres i Norge. Finans Norge antar at EBAs Final guidelines on the security of internet payments samt Finanstilsynets Retningslinjer for sikkerhet i internettbetalinger oppheves når RTS on SCA trer i kraft. 3.6 Direktivtro gjennomføring PSD 2 er et fullharmoniseringsdirektiv. Ved gjennomgang av forslagene har Finans Norge observert at en del bestemmelser hentet fra PSD 2 er omformulert eller avviker noe fra direktivets ordlyd. Se punkt 3.10 nedenfor samt vedlegget for eksempler på dette. Selv om enkelte av forskjellene skulle være tilsiktet fra departementets side, er Finans Norge likevel av den oppfatning at forskjellene vil medføre tolkningstvil og ulik praktisering av direktivet i ulike EU/EØS-land. Dette er uheldig både for finansforetak som har virksomheter i flere land, og for tredjepartstilbydere. Vi ber derfor om at det foretas en gjennomgang av Side 5 av 19

6 lovbestemmelsene som bygger på direktivbestemmelser med sikte på å gjennomføre bestemmelsene mer direktivtro. 3.7 Nasjonale valgmuligheter Til pkt Nasjonalt valg knyttet til direktivets anvendelsesområde Finanstilsynet mener at det nasjonale valget i artikkel 2 nr. 5 til å unnta visse foretak fra reglene i PSD2 ikke er relevant for Norge. Finans Norge tar dette synspunktet til etterretning Til pkt Kapital- og soliditetskrav Finanstilsynet foreslår at prinsippet om at finansforetak skal oppfylle alle soliditetskrav både på solo- og konsolidert nivå. Finans Norge støtter i utgangspunktet Finanstilsynets synspunkt om at dette prinsippet bør videreføres for betalingsforetak. Dette vil bidra til å sikre at lik risiko reguleres likt - for norske foretak/konsern - uansett om det er et selvstendig betalingsforetak eller et datterselskap i et finanskonsern. Dersom (mange) andre land gjør bruk av den nasjonale valgadgangen til å unnta datterselskaper kapitalkrav på solobasis, kan imidlertid det potensielt gi norske konsern en konkurranseulempe sammenlignet med tilsvarende filialer av utenlandske konsern. Disse to hensynene må veies opp mot hverandre. I forhold til sistnevnte hensyn må man også for å vurdere om det er et hensyn som må vektlegges se an utviklingen i andre land. Finans Norge mener derfor at det er en hensiktsmessig løsning at det åpnes opp for at tilsynet kan gi unntak fra krav på solonivå etter nærmere vurdering Til pkt Begrenset tillatelse som betalingsforetak Finanstilsynet foreslår å opprettholde regimet der pengeoverføringsaktiviteter er regulert virksomhet og underlagt myndighetstilsyn, slik at reglene om begrenset tillatelse som betalingsforetak videreføres. Finans Norge ser forslaget i sammenheng med høringsnotatet pkt Andre endringer i regelverket om begrenset tillatelse som betalingsforetak og støtter forslaget og Finanstilsynets begrunnelse. Vi vil understreke at finansforetakene fortsatt må være i sin fulle rett til å treffe tiltak som er nødvendige for anti-hvitvasking og anti-terrorfinansiering. Spesielt er dette viktig i lys av PSD 2 artikkel Til pkt Tilsyn med agenter, filialer og grensekryssende virksomhet fra andre EØSstater. Finanstilsynet foreslår at betalingsforetak inntas som foretak som Finanstilsynet fører tilsyn med etter forskrift om finanstilsyn i EØS 1. Finans Norge støtter forslaget i sin helhet. Det er viktig med kontroll av og tilsyn med alle foretak som utfører betalingstjenester. Dette har spesielt en side knyttet til etterlevelsen og håndhevelsen av hvitvaskingsregelverket. Slik vi ser det er forslaget egnet til å resultere i likere spilleregler mellom ulike foretak som driver virksomhet i Norge uavhengig av hvilket hjemland foretaket har. Side 6 av 19

7 3.7.5 Til pkt. 2.5 Betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument Det vises i høringsnotatet til at Finanstilsynet innenfor rammen av mandatet fra Finansdepartementet ikke har foretatt en fornyet vurdering av spørsmålet om betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument. Finans Norge noterer seg at spørsmålet ikke har blitt vurdert på nytt, slik at gjeldende rett videreføres. Finans Norge har ingen innvendinger til dette. 3.8 Behov for ytterligere regulering og klargjøring Innledning Finans Norge mener det er behov for ytterligere regulering av følgende problemstillinger: Finansforetakenes taushetsplikt Finansforetak har taushetsplikt om kunders og andres forretningsmessige og personlige forhold som foretaket mottar under utøvelse av virksomheten, jf. finansforetaksloven Finans Norge mener det må fremgå av finansforetaksloven eller betalingssystemloven at finansforetak er fritatt fra taushetsplikten etter finansforetaksloven når en autorisert tredjepartstilbyder ber om tilgang til kundens konto. Ettersom bankene ikke vil se hvilke handlinger kunden har samtykket til i kommunikasjonen med tredjepartstilbyder, må banken kunne legge til grunn at tredjepartstilbyder har fått et dekkende samtykke fra kunden som oppfyller de rettslige kravene. Finans Norge forstår det nye regelverket dithen at bankene kan forholde seg til at et slikt samtykke er gitt når kravene til sterk kundeautentisering i artikkel 97 og RTS on SCA er fulgt. Dersom tredjepartsaktøren kobler seg på bankkonto og aksesserer informasjon den ikke skal ha tilgang til, oppstår spørsmål om hvordan banken skal forholde seg til taushetsplikten. Finans Norge mener det er ønskelig med veiledning om hvordan bankene skal agere i slike situasjoner. Finans Norge forventer at det stilles krav til at det inntas en plikt for tredjepartstilbyderen til å informere kunden om hvilke opplysninger tredjepartstilbyderen har tilgang til, og at norske myndigheter følger opp at tredjepartstilbyderne oppfyller disse opplysningskravene. Finans Norge ønsker å fremheve viktigheten av myndighetenes tilsynsoppgave ettersom bankene ikke har mulighet til å verifisere/sjekke hvilke opplysninger kunden har samtykket til å gi fra seg Definisjon av betalingsfullmektig I og med at betalingsfullmektiger skal reguleres av finansforetaksloven, mener Finans Norge at det med fordel kan inntas en definisjon av begrepet «betalingsfullmektig» i denne loven. Side 7 av 19

8 3.8.4 Opplysningsfullmektigers tjenester Finans Norge ber om at det klargjøres hva opplysningsfullmektiger kan benytte opplysninger som innhentes fra kunden via kontotilbyder i forbindelse med en «kontoopplysningstjeneste» etter artikkel 4 nr. 16 til, og innen hvilken ramme, jf. artikkel 67. Se også kommentaren til 8 i vedlegget. Finans Norge formoder generelt at rammen for hva slike opplysninger kan benyttes til, vil avgjøres av det samtykket som kunden har avgitt. 3.9 Forhold til andre regler Forholdet mellom reglene i PSD 2, hvitvaskingsreglene og personvernlovgivningen (både gjeldende rett og GDPR) er gitt begrenset plass i høringsnotatet. Vi regner med at dette får en større rolle i Justisdepartementets høringsnotat. Disse øvrige reglene er likevel nært knyttet til virksomhetsreglene i PSD 2, og vi ønsker derfor å gi enkelte kommentarer; Finansforetakslovens regler om kundebehandling, finansavtaleloven, hvitvaskingslovgivningen og personvernreglene - særlig personvernforordningen - oppstiller samlet strenge krav til finansforetakenes behandling av kunder og kundeopplysninger. Finans Norge støtter intensjonen bak disse reglene og mener reglene er positive for kundene og for tilliten til næringen. Hensynet til konkurranse og åpenhet på den ene siden og forbrukervern på den andre siden, er grunnleggende og viktige prinsipper. De må balanseres på en god måte. Bankene har mye informasjon om sine kunder. For mange finansforetak vil det kunne være krevende å dele denne informasjon med tredjepartstilbydere som ikke er underlagt det samme strenge rammeverk i alle henseender. Selv om slik deling skal baseres på kundenes samtykke, vil det oppstå spørsmål om kunden har fått tilstrekkelig forståelig informasjon til å kunne se rekkevidden og konsekvensene av sitt samtykke. Dersom noe går galt i forbindelse med en betalingstransaksjon initiert av en tredjepartstilbyder eller ved tredjepartstilbyders behandling av personopplysninger, er det nærliggende å tro at kunden vil holde banken ansvarlig selv om banken har opptrådt i tråd med gjeldende rett. Dette vil få negative konsekvenser for den enkelte bank og for tilliten til næringen. Finans Norge mener det er hensiktsmessig at myndighetene og næringen, inklusive representanter for tredjepartstilbydere, har en tett dialog om den nærmere grensegangen mellom regelverkene Enkelte særskilte kommentarer til høringsnotatet Til pkt Unntaket for teleoperatører Finanstilsynet foreslår at finansavtaleloven 11 første ledd bokstav e som viser til betalingstjenesten knyttet til teleoperatører slettes. Finans Norge deler ikke denne oppfatningen. Finans Norge vil på dette punkt vise til at unntaket etter artikkel 3 bokstav l) kun kommer til anvendelse der den enkelte betalingstransaksjon ikke overskrider 50 euro, Side 8 av 19

9 og summen av de månedlige betalingstransaksjonene ikke overskrider 300 euro. Følgelig må finansavtaleloven 11 første ledd bokstav e) opprettholdes for de tilfellene at beløpsgrensene overstiges. Til pkt Betalingsfullmektiger Det fremgår av høringsnotatet side 16 at betalingsfullmektiger må dokumentere startkapital tilsvarende minst EUR , jf. artikkel 7.1 bokstav b). Finans Norge vil vise til at det i bestemmelsen benyttes ordlyden «kapitalen på intet tidspunkt være mindre enn». Det står videre i artikkel 8 at «kapitalgrundlag må ikke falde til under den i artikel 7 omhandlede startskapitals beløb». Dette innebærer etter vår oppfatning at betalingsfullmektiger til enhver tid skal ha kapital tilsvarende minst EUR Dette reflekteres også i SOU 2016:53 pkt hvor det fremgår: «Leverantörer av betalningsinitieringstjänester ska ha ett startkapitalkapital som motsvarer ett belopp om minst euro. Kapitalbasen får aldrig underskrida dette belopp (vår understrekning).» Vi ber om at dette kapitalkravet inntas i finansforetaksforskriften 14-2 ny tredje ledd. Til pkt Regler om søknad om tillatelse som betalingsforetak offentlig register og tilbakekall av tillatelse I høringsnotatet fremgår det at det skal opprettes et offentlig register over foretak. Det er imidlertid ikke beskrevet nærmere hvordan dette registeret skal gjøres tilgjengelig. Finans Norge vil understreke at det er viktig at dette registeret er offentlig tilgjengelig og kontinuerlig oppdatert, jf. artikkel 14 nr. 2. Registeret må dessuten være elektronisk søkbart, og helst tilrettelagt slik at det kan integreres i bankenes systemer. Det er viktig at registeret er i funksjon senest samtidig som implementering av PSD 2 i norsk rett og bør også være koblet opp mot EBA-registeret, jf. artikkel 15. Som en konsekvens av at finansforetakene må sjekke hvorvidt tredjepartstilbyderen har autorisasjon, er finansforetakene avhengig av at registeret er riktig og løpende oppdatert. Vi mener følgelig at forbeholdet om feil som fremgår av gjeldende konsesjonsregister må fjernes. Finans Norge mener videre at alle alternativene for tilbakekall av konsesjon eksplisitt bør fremgå av finansforetaksloven. Ut fra hensynet til legalitetsprinsippet bør Finanstilsynet ha et klart hjemmelsgrunnlag ved tilbakekall av konsesjon. Til pkt Virksomhetsregler I høringsnotatet på side 27 under overskriften «Behandling av personopplysninger» vises det til artikkel 94 vedørende betalingstjenestetilbyderes behandling av personopplysninger. Finans Norge vil for ordens skyld nevne at denne artikkelen ikke gjelder for Side 9 av 19

10 opplysningsfullmektiger, se artikkel 33 nr. 2. Opplysningsfullmektiger vil uansett ha plikt til å oppfylle personopplysningsregelverket etter artikkel 67 nr. 1 bokstav f) og den til enhver tid gjeldende personvernlovgivning. På side 28 følger det videre at «plikt til å informere kunden» skal implementeres i ny forskrift om betalingstjenester. Finans Norge mener at artikkel 96 nr. 1 annet ledd gjelder informasjon til brukerne generelt, for eksempel gjennom statusoppdatering på foretakets egne hjemmesider/innlogget portal, ikke et krav om å informere den enkelte kunde. Finans Norge er av den oppfatning at det vil være en fordel om alle informasjonspliktene samles i finansavtaleloven. Dette vil gjøre det enklere for kunden å se om finansforetakene oppfyller sine informasjonsplikter. Til pkt Organisasjonsform Det foreslås i dette punktet at enkeltpersonforetak ikke lenger skal få begrenset tillatelse. Finans Norge støtter dette forslaget til innstramming og tilsynets begrunnelse for forslaget. Til pkt Adgangen til å ha agent for foretak med begrenset tillatelse Finanstilsynet foreslår at henvisningen til agentvirksomhet i 2-10 tredje ledd bokstav b) og henvisningen til agenter i finansforetaksforskriften 2-5 ikke videreføres. Finans Norge støtter endringsforslaget. Til pkt Om begrepene betalingskonto og betalingstransaksjon Finanstilsynet legger i høringsnotatet til grunn at ulike former for bankkontoer, e- pengekontoer og kredittkortkontoer hos kredittforetak/finansieringsforetak i utgangspunktet vil kunne omfattes av begrepet betalingskonto i PSD 2. Finans Norge vil understreke at direktivet etter sin ordlyd kun omfatter «betalingskonto», dvs. konto som benyttes for å gjennomføre betalingstransaksjoner, jf. artikkel 4 nr. 12. Finans Norge mener begrepet må tolkes på samme måte i Norge som i Danmark og Sverige. Det er viktig for finansforetak i Norge at dette praktiseres likt i Norden, og det er ikke minst viktig for de konsernene som er etablert i flere av de nordiske landene og som opererer på tvers av landegrensene. Det antas for øvrig også at mange tredjepartstilbydere vil etablere seg i alle nordiske land, og lik praktisering anses derfor hensiktsmessig også for dem. Svenske myndigheter mener den nærmere avgrensningen av hva som skal utgjøre en betalingskonto må foretas med utgangspunkt i om en betalingskonto er opprettet for å gjennomføre betalingstransaksjoner. Avgjørende for vurderingen må være kontoens formål og funksjon. Finans Norge mener dette er en god avgrensning. Vi kan ikke se at det er hensiktsmessig verken for finansforetak eller for kundene at kontoer hvor Side 10 av 19

11 betalingstransaksjoner vil kunne utgjøre brudd på avtalevilkår (depositumskonto, BSUkontoer, fastrentekonto) eller ødelegger hensikten med en konto (aksjesparekonto) anses som betalingskontoer i PSD 2s forstand. Uttak fra sistnevnte type konto kan også få skattemessige konsekvenser. Vi vil dessuten bemerke at også britiske myndigheter har begrenset hvilke sparekontoer som inngår i betalingskonto, all den tid kvalifikasjonen «flexible» 3 er benyttet. Dette må tolkes slik at det for eksempel kun er sparekontoer uten uttaksrestriksjoner som omfattes av begrepet. I høringsnotatet vises det til merknaden til finansavtaleloven 12 bokstav h hvor betalingskonto er tolket til å omfatte enhver konto som er underlagt finansavtaleloven kapittel 2, og som kan brukes til betaling. I merknaden legges det videre til grunn at enkelte kontoer periodevis ikke vil være å regne som betalingskontoer grunnet bindingstid. Vi vil presiseres at det vil være komplekst å opprette og dyrt å tilby/ha kontoer som i noen sammenhenger anses som betalingskonto og derigjennom må åpnes for tredjepartstilbydere, mens de i andre situasjoner ikke anses som betalingskontoer. Finans Norge vil videre vise til at det i artikkel 66 og 67 er presisert at retten til å anvende betalingsfullmektiger og opplysningsfullmektiger kun gjelder for betalingskontoer som er tilgjengelig «online». Dette må gå tydelig frem i lovteksten. Se for øvrig våre kommentarer vedrørende implementering av artikkel 66 og 67 i vedlegget. Finans Norge legger til grunn at begrepet betalingskonto vil bli grundig gjennomgått i Justisdepartementets høringsnotat. Ytterligere kommentarer til begrepet betalingskonto vil da gis. Til pkt Betalingsforetaks tilgang til betalingskontoer hos kredittinstitusjoner Det fremgår av dette punkt at ordlyden i finansavtaleloven 14 er dekkende for direktivets bestemmelse om rett til tilgang for betalingsforetak og at kravet kan innfortolkes her. Finansavtaleloven 14 gjelder avvisning av kunder ikke finansforetakets plikt til å gi andre finansforetak eller lignende foretak tilgang til konto og betalingstjenester. Finans Norge mener denne plikten må innarbeides ved at artikkel 36 i sin helhet inntas i betalingssystemloven. Til pkt Rett til å initiere betalinger (betalingsfullmektiger)/betalingsfullmektigers tilgang til betalingskontoer og Opplysningsfullmektigers tilgang til kontoinformasjon I høringsnotatet gis det en nærmere redegjørelse for hvilke forpliktelser betalingsfullmektigen og opplysningsfullmektigen skal ha etter hhv. artikkel 66 og 67. Finanstilsynet foreslår at pliktene skal inntas i ny forskrift om systemer for 3 Jf. høringsnotatet side 39 og note 3. Side 11 av 19

12 betalingssystemer. Finans Norge mener at pliktene som beskrives i høringsnotatet, ikke reflekteres godt nok i 3, 6 og 7 i ny forskrift om betalingssystemer. Vi ber om at dette gjennomgås nærmere, se også våre konkrete merknader til disse bestemmelsene i vedlegget. Til pkt Autorisering av kortbaserte betalingstransaksjoner På høringsnotatet side bemerkes det at hensikten med regelen er å åpne for rett til å utstede kortbasert betalingsinstrument knyttet til konto hos en annen tilbyder. Finans Norge er ikke enig i denne oppfatningen. Artikkel 65 inneholder ikke begrepet autorisasjon. Hensikten med bestemmelsen er alene at kortutstederen, med kortholders samtykke, før transaksjonen gjennomføres, skal kunne få undersøkt om det på den betalingskonto kunden har oppgitt er tilgjengelige midler minst svarende til beløpet for den kortbaserte transaksjonen. Gjennomføres korttransaksjonen vil kortutstederen ha en fordring mot sin kortkunde og ikke mot den institusjonen som fører den oppgitte betalingskontoen. Oppgjøret mellom kortholder og kortutsteder skjer ved bruk av annet betalingsinstrument. Vi vil også vise til artikkel 65 nr. 4 som forbyr kontotilbyderen å blokkere (reservere) midler på betalingskontoen på bakgrunn av en forespørsel om tilstrekkelige tilgjengelige midler. Til pkt Krav til sterk autentisering og sikker kommunikasjon Finanstilsynet gir i dette punktet en kort redegjørelse for kravene i RTS on SCA, som foreslås implementert i ny forskrift om systemer for betalingstjenester. Punktet reiser en rekke spørsmål. I forslaget benyttes begrepet «personlig sikkerhetsinformasjon (autentiseringskjennetegn)». Finans Norge mener det må tydeliggjøres hva som ligger i dette begrepet sammenliknet med artikkel 4 (30) og (31) og begreper i finansavtaleloven 12 q), 34, 35, 36 og 43a. Vi regner med at forskjellen er at «personlig sikkerhetsanordning» i dag er sikkerhetsanordning knyttet til betalingsinstrument, som for eksempel pin-kode, mens «personlig sikkerhetsinformasjon» tilsvarer PSD 2s begrep og er knyttet opplysninger om og egenskaper hos kunden. Det er viktig at det benyttes enhetlig begrepsbruk gjennom lovgivningen. Vi regner følgelig med at finansavtalelovens begrep «personlig sikkerhetsanordning» vil bli endret. Finans Norge antar at ny forskrift om betalingstjenester 4 skal gjennomføre artikkel 97. Vi mener utkastet til dels avviker på viktige punkter, se nærmere omtale av problemstillingene i vedlegget. Finans Norge er innforstått med at bankene må tilrettelegge for at betalings- og opplysningsfullmektiger kan benytte seg av bankenes eksisterende løsninger for sterk Side 12 av 19

13 kundeautentisering i henhold til artikkel 97 nr. 5. Tilsynet ser imidlertid ut til å gi uttrykk for at betalings- og opplysningsfullmektig også har rett til å benytte seg av «andre sterkere autentiseringsmekanismer enn det banken tilbyr.» Finans Norge ønsker å presisere at betalings- og opplysningsfullmektiger anledning til å benytte andre mekanismer for SCA for å få tilgang til kontotilbyders systemer forutsetter en avtale med kontotilbyder. En slik avtale vil for øvrig være utenfor PSD 2s virkeområde. Finans Norge oppfatter at fortalen pkt. 30 i PSD 2 angående bruk av personlig sikkerhetsinformasjon 4 støtter vår forståelse. I fortalen fremkommer det at personlig sikkerhetsinformasjon som benyttes til sterk kundeautentisering som regel er utstedt av kontotilbyder, og ettersom betalingsfullmektig ikke nødvendigvis inngår «i et kontraktsforhold med» kontotilbyder 5 må betalings- og opplysningsfullmektiger ha anledning til å støtte seg på («rely on») autentiseringsmekanismen til kontotilbyder. Vår oppfatning er dermed at alternativet for betalings- og opplysningsfullmektiger til å bruke kontotilbyders system for autentiseringsmekanismer, er å inngå avtale med kontotilbyder om bruk av personlig sikkerhetsinformasjon utstedt av tredjepartstilbyder (eller en annen tredjepart). Finans Norge viser til EBAs Consultation Paper on SCA and CSC 6 som støtter vår oppfatning av artikkel 97 nr. 5, jf. fortalen punkt 30. EBA avklarer her at the authentication procedure will remain fully in the sphere of competence of the ASPSP. EBA åpner imidlertid for en alternativ situasjon dersom betalingsfullmektig har utstedt en egen personlig sikkerhetsinformasjon, men betinget av at en slik løsning vil kreve «a prior contractual agreement between the PISP and the ASPSP on the acceptance of such credentials by ASPSP. Such agreement would also be outside of the scope of the PSD2». Finans Norge ønsker også å fremheve at en løsning som baserer seg på en sterk kundeautentisering uten avtale og dermed utenfor bankens kontroll, ikke vil gi bankene mulighet til å bekrefte at kunden har verifisert beløp og betalingsmottaker i henhold til kravene om dynamisk linking. 4 «personaliserede sikkerhedsoplysninger», jf. art. 4 (31) 5 «De personaliserede sikkerhedsoplysninger, der anvendes til sikker kundeautentifikation af betalingstjenestebrugeren eller af betalingsinitieringstjenesteudbyderen, er sædvanligvis dem, som kontoførende betalingstjenesteudbydere udsteder. Betalingsinitieringstjenesteudbydere indgår ikke nødvendigvis i et kontraktforhold med kontoførende betalingstjenesteudbydere, og uanset hvilken forretningsmodel der anvendes af betalingsinitieringstjenesteudbydere, bør kontoførende betalingstjenesteudbydere gøre det muligt for betalingsinitieringstjenesteudbydere at anvende de autentifikationsprocedurer, som kontoførende betalingstjenesteudbydere stiller til rådighed, til at initiere en bestemt betaling på vegne af betaleren", jf. fortalen pkt EBAs Consultation Paper pkt. 3.2 under «clarifications on PSD 2 provisions rationale 19 om anvendelsen av artikkel 97 nr. 1 Side 13 av 19

14 4. Avslutning Dersom departementet har spørsmål eller ønsker å diskutere temaer med finansnæringen, stiller vi oss gjerne til departementets disposisjon. Med vennlig hilsen Finans Norge Idar Kreutzer adm.dir. Jan Digranes direktør Vedlegg Side 14 av 19

15 Vedlegg til Finans Norges høringsuttalelse om utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv I dette vedlegget gis konkrete kommentarer til de enkelte bestemmelsene i ny forskrift om systemer for betalingstjenester: Til 2. Risikovurdering og etterlevelse av regelverk Finans Norge er noe usikker på om denne bestemmelsen skal implementere artikkel 96 eller 95 som omhandler hhv. styring av drift- og sikkerhetsrisiko og innberetninger av hendelser, eller begge artikler. Overordnet mener vi det må komme klarere frem hvilke bestemmelser som implementeres. Første ledd Begrepet «betalingstjenestetilbydere» introduseres i denne bestemmelsen. Finans Norge antar at tilsynet med begrepet mener konsesjonsgruppene forskriften gjelder for, jf. 1. Vi foreslår derfor at det inntas en definisjon av begrepet, eventuelt at det innarbeides en henvisning til 1. Tredje ledd Det følger av dette leddet at betalingstjenestetilbydere uten ugrunnet opphold skal melde fra til brukere av betalingstjenesten om hendelser som angitt i IKT-forskriften 9 tredje ledd som kan ha betydning for brukerne. Meldingen skal omtale mulige tiltak som brukeren kan iverksette. Finans Norge savner vilkåret i artikkel 96 nr. 1 annet avsnitt hvor det kreves at «hændelsen har eller kan have indvirkning på betalingstjenesteudbyderens betalingstjenestebrugeres økonomiske interesser». Dette må presiseres i ordlyden. En henvisning til IKT-forskriften 9 vil ikke være helt presis så lenge forskriften vil kunne omfatte flere hendelser - muligens heller ikke alle hendelser - som kan ha innvirkning på betalingstjenestebrukerens «økonomiske interesser». Vi mener videre at det må fremgå at meldingen må omtale mulige tiltak som brukeren kan iverksette for å «begrense hændelsens negative følger». Til 3. Krav til sikker ytelse av betalingstjenester og sikker kommunikasjon Vi antar at tilsynet i bestemmelsens tredje ledd mener «opplysningsfullmakt» og ikke «avtalefullmakt». Tilsvarende må gjelde for 4 fjerde og femte ledd. Det kan stilles spørsmål ved om betalingsfullmektigens- og opplysningsfullmektigenes plikter til legitimasjon og sikker kommunikasjon er noe knappere formulert i forskriften enn i Side 15 av 19

16 artikkel 66 og 67. Vi ber om at det foretas en gjennomgang for å sikre en direktivtro gjennomføring. Til 4. Krav til sterk kundeautentisering Første ledd Første setning mangler begrepet «elektronisk», jf. artikkel 97 nr. 1 b. Slik vi forstår PSD 2, kreves ikke sterk kundeautentisering når kunden via post eller telefon initierer en betaling (med mindre det er risiko for svindel eller annet misbruk), se også EBAs uttalelser i svar på respondenter til Consultation Paper i utkast til RTS on SCA datert 23. februar Formuleringen «ber om» bør videre erstattes med «initierer», jf. artikkel 97 nr. 1 bokstav b). Første ledd mangler dessuten presiseringen «gennem en fjernkanal», jf. artikkel 97 nr. 1 bokstav c). Vi foreslår at dette inntas tilsvarende den danske oversettelsen «fjernkanal». Første ledd bør derfor formuleres slik; «når betaler initierer en elektronisk betaling eller når betaler utfører handlinger gjennom en fjernkanal som kan innebære risiko for svindel eller andre former for misbruk». Annen setning antas å skulle gjennomføre kravet i artikkel 97 nr. 2 om dynamisk knytning («linking»). Finans Norge mener at direktivets ordlyd her bør benyttes, jf. ordlyden «dynamisk knytter transaksjonen til et specifikt beløb og en specifik betalingsmodtager.» Andre ledd Det bør benyttes en mer direktivtro definisjon av sterk kundeautentisering, jf. artikkel 4 nr. 30. Fjerde ledd Finans Norge stiller spørsmål ved om formuleringen «autentiseringskjennetegn» er ment å tilsvare «personlig sikkerhetsinformasjon». I så fall bør begrepsbruken være konsis slik at kun én av betegnelsene benyttes. I motsatt fall bør «autentiseringskjennetegn» defineres. Femte ledd Finans Norge mener denne bestemmelsen må omformuleres. Bestemmelsen inneholder en kobling mellom kontotilbyder og autentiseringsprosedyrene som betaleren har tilgjengelig, jf. «autentiseringsprosedyrene som betaleren har fått fra kontotilbyder» (vår kursivering). Direktivteksten på dette punktet er «stiller til rådighed», jf. artikkel 97 nr. 5. Ordlyden som benyttes i forskriften «har fått» er ikke dekkende for situasjonen der kontotilbyder tilbyr betaleren å bruke en bestemt løsning som ikke er levert av kontotilbyder, for eksempel hvor BankID er utstedt av en annen bank enn kontobanken. Side 16 av 19

17 Bestemmelsen mangler også den presiseringen at autentiseringsprosedyrene skal være gitt med sikte på at kunden «tilgår betalingskonto online», jf. artikkel 97 nr. 1. Vi mener likeledes at ordlyden «adgang til å benytte seg av» må erstattes med et ord tilsvarende det engelske «to rely on» og det tyske «zu stützen», se hhv. den engelske og tyske oversettelsen. Den danske oversettelsen er ikke korrekt. Slik forskriften nå er formulert vil bestemmelsen åpne for at betalingstjenestetilbydere skal få tilgang til betalerens BankID, dvs. kundens elektroniske signatur. Vi foreslår derfor at ordlyden endres til «Kontotilbyder skal gi betalingstjenestetilbydere som tilbyr avtale om betalings- eller opplysningsfullmakt adgang til å støtte seg på autentiseringsprosedyrene som kontotilbyder har gjort tilgjengelig for betalingstjenestebrukeren». Bestemmelsen må dessuten henvise til første ledd i samme bestemmelse, slik artikkel 97 nr. 5 henviser til tidligere ledd. Til 5. Forskriften mangler 5 i sin helhet. Til 6. Tilgang til betalingskontoer for betalingstjenestetilbydere som tilbyr avtale om betalingsfullmakt Annet ledd Annet ledd annen setning gjennomfører artikkel 66 nr. 3 bokstav e). Finans Norge mener formuleringen «sensitive betalingsinformasjon» er lite heldig, da ordet «sensitiv» i hovedsak benyttes i personvernlovgivningen. Vi foreslår derfor at ordlyden endres til «sårbar betalingsinformasjon». Uavhengig av valg av formulering bør forskriften gi en nærmere avklaring av hvilke opplysninger som vil være å anse som slik betalingsinformasjon. Begrepet er definert i artikkel 4 nr. 32, og Finans Norge antar at bankene kan legge denne definisjonen til grunn. Denne definisjonen er likevel så vid at det kan være hensiktsmessig at bankene får mer konkret veiledning om hva som inngår i begrepet, som i dag gjøres gjennom retningslinjene for sikkerhet i internettbetalinger. Til 7. Tilgang til kontoinformasjon for betalingstjenestetilbydere som tilbyr avtale om opplysningsfullmakt Bestemmelsen skal regulere tilgang til kontoinformasjon for opplysningsfullmektiger, dvs. implementere artikkel 67. Finans Norge mener denne bestemmelsen kun delvis er Side 17 av 19

18 implementert, og ber om at det foretas en gjennomgang. Se for øvrig også vår kommentar til 6 over. Både artikkel 66 nr. 1 og 67 nr. 1 fastslår at rett til tilgang til betalingskonto ikke gjelder dersom kontoen ikke er "tilgængelig online". Denne særdeles viktige begrensningen er ikke reflektert i forskriften 7. Det må uttrykkelig presiseres i bestemmelsen at retten kun gjelder for betalingskonto som er tilgjengelig for betalingstjenestebrukeren «online». Opplysningsfullmektiger skal etter bestemmelsen bare ha tilgang til «angitte» betalingskontoer. Finans Norge synes det er noe uklart hvem kunden eller opplysningslysningsfullmektigen - som skal ha angitt kontoene, men legger til grunn at det er betaleren dvs. kunden som må angi betalingskontoene til betalingstjenestetilbyderen. Vi ser for øvrig at samme uklarhet gjør seg gjeldende både i engelsk og dansk versjon. Til 8. Om lagring av informasjon Bestemmelsen lyder: «Betalingstjenestetilbydere som tilbyr avtale om betalings eller opplysningsfullmakt skal ikke bruke eller lagre informasjon med andre formål enn å tilby avtaler om belastningsfullmakt eller opplysningsfullmakt i tråd med betalerens anmodning/forespørsel og lov om personvern.» Finans Norge mener det må fremgå tydeligere at en opplysningsfullmektig kun kan tilby tjenester utelukkende etter betalingstjenestebrukerens uttrykkelige samtykke, jf. artikkel 67 nr. 2 bokstav a). Vi mener følgelig at det er lite heldig med bruk av ordlyden «anmodning/forespørsel». I denne bestemmelsen benyttes ordet «betaleren». Vi vil foreslå å erstatte dette ordet med «betalingstjenestebrukeren» («betalingstjenestebruger»), all den tid «betaleren» ikke vil være korrekt når det er tale om en opplysningsfullmektigs rettigheter og plikter. Finans Norge mener videre at formuleringen «lov om personvern» ikke er treffende. Artikkel 67. nr. 2 bokstav f) viser til «data protection rules», og vi mener følgelig at det også i forskriften må vises til «personvernlovgivning». Til 9 kontotilbyderens plikter Fjerde ledd: Etter bestemmelsen skal kontotilbyderen gjøre betalingsinformasjonen tilgjengelig for betalingsfullmektigen når betalingstransaksjonen «er gjennomført». Dette vil ikke være praktisk mulig og er heller ikke korrekt oversettelse av direktivet. Det følger av artikkel 66 nr. 4 bokstav b) at plikten er begrenset til opplysninger om («regarding»/«vedrørende») gjennomføring av betalingstransaksjonen. Det følger således av nevnte artikkel at Side 18 av 19

19 kontotilbyder skal gi informasjon til betalingsfullmektigen umiddelbart etter at betalingstransaksjonen er initiert. Gjennomføringen av transaksjonen vil ofte skje på et tidspunkt senere enn initiering. Direktivet inneholder ikke bestemmelser om at betalingsfullmektigen skal informeres på ny på dette senere tidspunktet. Bestemmelsen må endres slik at den reflekterer dette. Til 10. Autorisering av kortbaserte betalingstransaksjoner Første ledd Etter bestemmelsen skal kontotilbyder angi om transaksjonen har dekning i betalingskontoen. Finans Norge mener at meldingsutvekslingen etter denne bestemmelse bare kan omfatte elektronisk meldingsutveksling og derfor at vilkåret i artikkel 65 nr. 1 bokstav a) «betalerens betalingskonto er tilgængelig online» må inntas. Side 19 av 19