EUs reviderte betalingstjenestedirektiv PSD Finans Norges Juskonferanse 9 oktober 07 Advokat Randi Jørum Sulland 9 oktober 07 ADVOKATFIRMAET THOMMESSEN AS
3 Disposisjon Prosess fra EU-regler til norsk rett Kort om gjeldende regelverk og behovet for nye regler Nærmere om PSD Kort om endringene Tredjepartstilbydere og tilgang til betalingskonto "open banking" Oppsummering ADVOKATFIRMAET THOMMESSEN AS
Prosess - fra EU-regler til norsk rett ADVOKATFIRMAET THOMMESSEN AS 3
3 Faser i regelverksprosessen Fra EU-regler til norske regler Vedtakelse av rettsakter i EU Innlemmelse av rettsakter i EØSavtalen Gjennomføring i norsk rett ADVOKATFIRMAET THOMMESSEN AS
3 Regelverkspyramiden i EU Rammedirektiv Rammeforordning (EPRådet) Kommisjonsforordninger (EU-kommisjonen) Bindende tekniske standarder (EU-kommisjonenEUs finanstilsyn) GuidelinesQ&As (EUs finanstilsyn) ADVOKATFIRMAET THOMMESSEN AS 5
Kort om gjeldende regelverk og behovet for nye regler ADVOKATFIRMAET THOMMESSEN AS 6
M A R S Kort om gjeldende regelverk Payment Services Directive (0075EF) ble vedtatt i EU i 007 Gjennomført i november 009 i norsk rett i finansforetaksloven, finansavtaleloven og betalingssystemloven Direktivet skulle skape et felles regelverk for betalingstjenester i EU: Forenkle og effektivisere grensekryssende betalinger Øke sikkerheten ved betaling over landegrensene Sikre nye aktører tilgang til markedet Informasjonskrav Rettigheter for forbrukere ADVOKATFIRMAET THOMMESSEN AS 7
0 3 Behov for ny regulering Teknologisk innovasjon Enorm vekst i antall elektroniske betalinger og mobilbetalinger Mange nye aktører og former for betalingstjenester Økt sikkerhetsrisiko ved elektroniske betalinger Ti år siden forrige direktiv ble vedtatt veldig lang tid for teknologisk utvikling Markedet og teknologien utvikler seg raskere enn regelverket Regelverket skrevet for et annet marked, andre aktører og andre produktertjenester Betalingsinitieringstjenester i dagens regelverk ADVOKATFIRMAET THOMMESSEN AS 8
Nærmere om PSD ADVOKATFIRMAET THOMMESSEN AS 9
Payment Service Directive (05366EU) PSD PSD skal fylle de regulatoriske "hullene" og samtidig klargjøre regelverket og sikre en harmonisert anvendelse av betalingstjenesteregelverk i EU: Bidra til et mer integrert og effektivt europeisk betalingsmarked Forbedre markedet for betalingstjenester inkludere nye aktører Fremme innovasjon Øke sikkerheten ved betalinger Beskytte forbrukere Redusere kostnader ved betaling ADVOKATFIRMAET THOMMESSEN AS 0
7 0 3 Oversikt over reguleringen av betalingstjenester Regelverket vil bestå av: PSD Europaparlaments- og rådsforordning om interbankgebyrer for kortbaserte betalingstransaksjoner Maksimalsatser for gebyrer for betalingstransaksjoner Forbud mot "surcharging" (overvelting av gebyrer) Single Euro Payment Area (SEPA) Økt innflytelse for EUs banktilsyn (European Banking Authority - EBA) Utarbeider bindende tekniske standarder (nivå,5) Guidelines for å sikre harmonisert praktisering av regelverket (nivå 3) ADVOKATFIRMAET THOMMESSEN AS
Gjennomføring i norsk rett Skal implementeres i EU-landene innen 3 januar 08 Direktivet er et fullharmoniseringsdirektiv, med enkelte nasjonale valg Ikke tatt inn i EØS-avtalen, og forpliktelsen for EØS-landene til å implementere PSD har derfor ikke oppstått Status i Norge: to høringsutkast Finanstilsynet (offentligrettslige regler) Justisdepartementet (privatrettslige regler ny finansavtalelov) I Norge skjer implementeringen antakelig sent i 08, evt tidlig i 09 ADVOKATFIRMAET THOMMESSEN AS
Kort om endringene ADVOKATFIRMAET THOMMESSEN AS 3
De viktigste endringene TREDJEPARTS- TILBYDERE REGLER OM GEBYRER KLAGE- BEHANDLING ØKTE SIKKERHETS- KRAV OPEN BANKING UTVIDET ANVENDELSES -OMRÅDE ØKT ANSVAR 0 7 0 3 0 ADVOKATFIRMAET THOMMESSEN AS
Nærmere om de viktigste endringene Direktivets anvendelsesområde Informasjon som skal følge transaksjoner vil gjelde for såkalte "one-leg transactions" - den ene betalingstjenestetilbyderen har sete i et EU-land, mens den andre betalingstjenestetilbyderen har sete utenfor EU-området Reglene om informasjon som skal følge transaksjoner er foreslått utvidet til å gjelde transaksjoner i alle valutaer som gjennomføres mellom betalingstjenestetilbydere i EØSområdet Unntakene fra direktivets anvendelsesområde presiseres og innsnevres Økt ansvar for uautoriserte transaksjoner Betalingstjenesteyteren er ansvarlig for uautorisert bruk Visse unntak for svik, grov uaktsomhet, egenandel mv Kunden ansvarlig for egenandel i noen flere situasjoner enn i dagkundens egenandel ved taptstjålet betalingsmiddel er redusert fra 50 til 50 betalingstjenestetilbyderens ansvar øker tilsvarende Ingen egenandel dersom kunden ikke kunne oppdage den uautoriserte transaksjonen (skimming, mv) ADVOKATFIRMAET THOMMESSEN AS 5
Nærmere om de viktigste endringene fortsetter Harmonisering av regler om gebyrer Sammen med forordningen om interbankgebyr begrenser PSD størrelsen på transaksjonsgebyr for debet- og kredittkort som brukes av forbrukere og forbyr brukersteder å belaste kunden for bruken av slike kort Redusert klagebehandlingstid for betalingstjenestetilbydere Krav om å respondere på kundeklager innen 5 virkedager (nå 8 uker) Kan utvides til 35 virkedager i særlige tilfeller Økte sikkerhetskrav Motvirke sikkerhetsbrudd og øke forbrukerbeskyttelsen Krav til sterk autentisering av kunden (SCA Strong Customer Authentication) Skal benytte to eller flere sikkerhetselementer som er uavhengig av hverandre Egen RTS om sterk kundeautentisering og sikker kommunikasjon ADVOKATFIRMAET THOMMESSEN AS 6
Tredjepartstilbydere og tilgang til betalingskonto "open banking" ADVOKATFIRMAET THOMMESSEN AS 7
Tredjepartstilbydere og tilgang til betalingskonto Direktivet regulerer to nye typer betalingstjenester; betalingsinitieringstjenester og kontoopplysningstjenester Betalingsinitieringstjenester: en betalingsfullmektig får adgang til å initiere en betalingsordre fra en av kundens bankkontoer Kontoopplysningstjenester: en opplysningsfullmektig gjennom tilgang til informasjon på kundens bankkonto kan gi kunden en samlet digital oversikt over alle kundens betalingskontoer hos forskjellige betalingstjenestetilbydere Direktivet krever at bankene gir disse tredjepartstilbyderne tilgang til kundenes bankkonto Bankene må gi tilgang til sin infrastruktur og kundeinformasjon Ingen avtale mellom banken og tredjepartstilbyderen Krever kundens samtykke ADVOKATFIRMAET THOMMESSEN AS 8
Betalingsinitieringstjenester Kunde Brukersted Betalingsfullmektig Bank API Bankinnløser Kortsystem ADVOKATFIRMAET THOMMESSEN AS 9
Nærmere om betalingsfullmektigen Betalingsfullmektigen kan initiere betaling fra kundens konto til brukerstedets konto krever kun samtykke fra kunden ingen avtale mellom banken og betalingsfullmektigen Gjennomfører betaling direkte fra kundens konto uten å gå gjennom det tradisjonelle kortsystemet Kan tilbys av alle med tillatelse til å yte betalingstjenester eller foretak med tillatelse til å være betalingsfullmektig Betalingsfullmektigen skal: aldri være i besittelse av kundens midler identifisere seg overfor banken (kontotilbyderen) kommunisere med banken i tråd med kravene i RTS om sikker kundeautentisering og sikker kommunikasjon ikke lagre sensitive personopplysninger om kunden Fullmakten omfatter kun den betalingen kunden har samtykket til skal ikke bruke, få tilgang til eller lagre opplysninger for et annet formål enn den bestemte betalingen skal ikke endre beløp, betalingsmottaker eller andre egenskaper ved betalingstransaksjonen ADVOKATFIRMAET THOMMESSEN AS 0
Kontoopplysningstjenester Kunde API Opplysnings -fullmektig API API Kundens bank Kundens bank Kundens bank ADVOKATFIRMAET THOMMESSEN AS
Nærmere om opplysningsfullmektigen Basert på kundens uttrykkelige samtykke kan opplysningsfullmektigen få tilgang til kundens transaksjonsinformasjon på kundens bankkonto hos én eller flere kontotilbydere Kan tilby en sammenstilling av kundens transaksjonsinformasjon på ett nettsted Opplysningsfullmektigen skal: identifisere seg overfor banken (kontotilbyderen) kommunisere med banken i tråd med kravene i RTS om sikker kundeautentisering og sikker kommunikasjon kun ha tilgang til bestemte bankkontoer med tilhørende transaksjonsinformasjon ikke be om sensitive transaksjonsopplysninger knyttet til kontoene ikke bruke, få tilgang til eller lagre opplysninger for et annet formål enn den bestemte opplysningstjenesten som kunden har bedt om i tråd med gjeldende personvernregler ADVOKATFIRMAET THOMMESSEN AS
7 0 3 Bankene - kontotilbydere PSD tvinger bankene til å åpne sine plattformer (API'er) for regulerte tredjepartstilbydere, og gi disse tilgang til kundens konto- og transaksjonsinformasjon Banken skal kommunisere med tredjepartstilbyderen i tråd med RTS om sikker kundeautentisering og sikker kundekommunikasjon Umiddelbart etter mottak av betalingsordre fra en betalingsfullmektig, skal banken gi tilgang til all nødvendig informasjon for å gjennomføre betalingstransaksjonen Må ha saklig grunn for å forskjellsbehandle en betalingsordre fra en betalingsfullmektig og kunden selv Behandle kontoinformasjon fra en opplysningsfullmektig uten forskjellsbehandling med mindre det foreligger saklig grunn Tvinger bankene til å ha systemer som gir tilstrekkelig tilgang til informasjon grense mot regler om personopplysninger og taushetsplikt ADVOKATFIRMAET THOMMESSEN AS 3
Utfordringer for allerede etablerte aktører Blir redusert til infrastruktur kunderelasjonen overtas av andre Opplysningsfullmektiger kan gi aktører informasjon om kunden de ikke tidligere har hatt et konkurransefortrinn å se kundens behov for nye produktertjenester Betalingsfullmektiger forstyrrer bankenes kontroll på betalingskjeden avstanden mellom bank og kunde øker Vanskeliggjør muligheten til å tilby det brede spekteret av tjenester I stedet for å utstede fakturaer, kan beløpet trekkes rett fra konto med kundens samtykke Online brukersteder kan håndtere betalinger selv Vil bli utfordret av store internasjonale teknologiselskaper Facebook, Snapchat, Amazon, Apple og Google svært gode på å utvikle nye tekniske løsninger enorme kundebaser kunder som benytter deres tjenester mange ganger daglig tilgang på store mengder kundedata Med større tilgang til kundedata, blir utviklingen av ny teknologi, kundebase og tilgjengelighet avgjørende for å lykkes ADVOKATFIRMAET THOMMESSEN AS
Oppsummering 5
Oppsummering Den teknologiske og markedsmessige utviklingen har ført til behov for ny regulering Implementeres i EU-landene innen 3 januar 08, men i Norge antakeligvis i slutten av 08 (ev begynnelsen av 09) PSD fører blant annet til utvidet anvendelsesområde og strengere sikkerhetskrav sammenlignet med gjeldende betalingstjenestedirektiv PSD krever at bankene åpner opp sin infrastruktur for tredjeparter Uten avtale med tredjeparten Basert på kundens samtykke til tredjeparten Utfordrer bankenes forhold til kundene Nye aktører på markedet ADVOKATFIRMAET THOMMESSEN AS 6
Takk for meg! ADVOKATFIRMAET THOMMESSEN AS 7