PSD2

Andra betaltjänstdirektivet – Payment Services Directive, PSD2

Regelverkets mål och nationellt genomförande

Europaparlamentets och rådets direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/1001/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG, publicerades den 23 december 2015. Detta så kallade andra betaltjänstdirektivet skulle sättas i kraft nationellt senast den 13 januari 2018.

Syftet med direktivet är att utsträcka regelverket till att omfatta olika betaltjänster mer heltäckande än tidigare och att uppdatera regelverket om betaltjänster så att det svarar mot utvecklingen på marknaden.

I Finland skedde det nationella genomförandet i två steg. Betaltjänstlagen ändrades genom lagen 898/2017 och lagen om betalningsinstitut genom lagen  890/2017. Lagändringarna trädde huvudsakligen i kraft den 13 januari 2018.

Viktiga ändringar i lagstiftningen om betaltjänster

Tillämpningsområdet för betaltjänstlagen utvidgades till att också omfatta utomstående tjänsteleverantörer (Third Party Payment Service Provider, TPP)

Nya tillhandahållare av betaltjänster är:

• tillhandahållare av betalningsinitieringstjänster (Payment Initiation Service Providers, PISP)
• tillhandahållare av kontoinformationstjänster (Account Information Service Providers, AISP)

De kontoförvaltande bankerna bör ge dessa utomstående tjänsteleverantörer tillgång till kundernas konton, förutsatt att kunden har gett sitt uttryckliga godkännande. Tillhandahållare av betalningsinitieringstjänster och av kontoinformationstjänster har rätt att använda de starka kundautentiseringsförfaranden som den kontoförvaltande banken erbjuder kunden.

Regelverket omfattar nu också utgivare av kontobaserade betalningsinstrument som är anslutna till ett konto som tillhandahålls av en annan part (Card-based Payment Instrument Issuer, CBPII).
 
Nytt är också kravet på sträng kundautentisering vid elektroniska betalningstransaktioner, t.ex. internetbetalningar, och vid online-betalningar. Kravet om sträng kundautentisering träder i kraft den 14 september 2019, då det har förflutit 18 månader från utgivningen av kommissionens förordning om tekniska tillsynsstandarder för sträng kundautentisering och säker kommunikation. I samma förordning föreskrivs om undantag från kravet om sträng kundautentisering.

Uppföljningsgrupp

Finansinspektionen grundade hösten 2017 en PSD2-uppföljningsgrupp, vars syfte är att förmedla aktuell information till sektorn, diskutera tolkningsfrågor, ge handledning och svara på aktörernas frågor. PSD2-uppföljningsgruppen samlas med ungefär 1–2 månaders mellanrum och dess verksamhet beräknas pågå åtminstone till hösten 2019.

Material för PSD-uppföljningsgruppens möten publiceras på finska.

Regelverk på lägre nivå

Direktivet kompletteras med kommissionens delegerade förordning och Europeiska bankmyndighetens riktlinjer (guidelines):

Kommissionens delegerade förordningar (tekniska tillsynsstandarder)

• KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2019/411 av den 29 november 2018 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder som fastställer tekniska krav för utveckling, drift och underhåll av det elektroniska centrala registret på området för betaltjänster och för tillgång till den information som finns i detta (pdf)
• KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2018/1108 av den 7 maj 2018 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/849 med tekniska standarder för tillsyn avseende kriterierna för utseende av centrala kontaktpunkter för utgivare av elektroniska pengar och betaltjänstleverantörer och med regler för deras funktioner (pdf)
• KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2017/2055 av den 23 juni 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för samarbete och utbyte av information mellan behöriga myndigheter vad gäller betalningsinstituts utövande av etableringsrätten och friheten att tillhandahålla tjänster (pdf)
• KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (pdf)

Europeiska bankmyndighetens utkast till tekniska tillsynsstandarder

• EBA RTS on the supervision of PIs on a cross-border basis under Art 29(6)(Europeiska bankmyndighetens tekniska standarder för tillsyn över betalningsinstitut som tillhandahåller gränsöverskridande betaltjänster)
• EBA RTS on Central Contact Points under Art. 29(5) PSD2 
  (Europeiska bankmyndighetens tekniska standarder för inrättande av en central kontaktpunkt)
• EBA RTS on Technical Requirements for Central Register under Art. 15(4)(Europeiska bankmyndighetens tekniska standarder och genomförandestandarder för upprätthållandet av ett elektroniskt centralregister)

Europeiska bankmyndighetens riktlinjer

• Riktlinjer för kriterierna för att fastställa ett minimibelopp för den ansvarsförsäkring eller annan jämförbar garanti som avses i artikel 5.4 i direktiv (EU) 2015/2366 (pdf)
• Riktlinjer för de uppgifter som ska lämnas vid ansökan om auktorisation av betalningsinstitut och institut för elektroniska pengar samt registrering av leverantörer av kontoinformationstjänster enligt artikel 5.5 i direktiv (EU) 2015/2366 (pdf)
• Riktlinjer  för rapportering vid allvarliga incidenter enligt direktiv (EU) 2015/2366 (andra betaltjänstdirektivet)
• Riktlinjer för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2 (pdf)
• Riktlinjer för säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster enligt direktiv (EU) nr 2015/2366 (PSD2) (pdf)
• Riktlinjer om krav för rapportering av statistiska uppgifter om svikliga förfaranden enligt artikel 96.6 i det andra betaltjänstdirektivet (pdf)
• Riktlinjer för villkoren för att utnyttja undantaget från beredskapsmekanismen enligt artikel 33.6 i förordning EU) 2018/389 (tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder) (pdf)

Europeiska bankmyndighetens yttranden

• EBA opinion on the deadline for the migration to SCA for e-commerce card-based payment transactions 16.10.2019 (Europeiska bankmyndighetens yttrande om slutdatum för implementering av stark kundautentisering för kortköp inom e-handel)
• EBA opinion on the implementation of the RTS on SCA and CSC 13.6.2018
  (Europeiska bankmyndighetens yttrande om genomförande av tekniska tillsynsstandarder för sträng kundautentisering och säker kommunikation) (pdf)
• Opinion of the European Banking Authority on the use of eIDAS certificates under the RTS on SCA and CSC 10.12.2018
  (Europeiska bankmyndighetens yttrande om användning av eIDAS-certifikat för att uppfylla kraven om sträng kundautentisering och säker kommunikation) (pdf)
• Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2 21.6.2019
  (Europeiska bankmyndighetens ställningstagande om olika element i starka kundautentisering i anslutning till betaltjänster) (pdf)

Se också:

• Auktorisationer och registreringar
• EBAs tips för hur du skyddar dig själv när du ska välja online- eller mobilbankstjänster (pdf)
• Tillsynsmeddelande 18.10.2019 – 54/2019: Finansinspektionen tillämpar den tilläggstid som EBA föreslår för stark autentisering vid kortbetalningar i näthandeln – kraven ska vara uppfyllda senast 31.12.2020
• Tillsynsmeddelande 13.9.2019 – 50/2019: Bankernas skyldighet att ordna tillgång till betalkonton inträder 14.9.2019 – alla särskilda gränssnitt uppfyller ännu inte kraven fullständigt
• Tillsynsmeddelande 1.7.2019 – 33/2019: Rapportering av uppgifter om svikliga förfaranden i anslutning till betaltjänster
• Tillsynsmeddelande 24.6.2019 – 29/2019: Nya säkerhetskrav för stark kundautentisering inom betalningstjänster
• Ställningstagande om kodkort som identifieringsmetod vid stark kundautentisering 24.6.2019
• Komissionens förordning om vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (pdf)
• Ställningstagande om läget för PSD2-övergångsperioden 10.1.2018
• PSD2 ur tillsynsmyndighetens synvinkel, Slush side event, Finlands Banks myntmuseum 29.11.2017 (på finska)
• Finansministeriets pressmeddelande 19.10.2017
• Justitieministeriets pressmeddelande 5.10.2017
• PSD2 (andra betaltjänstdirektivet) (pdf)
• Payment services and electronic money (EBAs webbplats)
• FinTech och regleringen: Världen efter betaltjänstdirektivet?, Slush side event, Finlands Banks myntmuseum 30.11.2016 (på finska)
• Register över delegerade Eu-akter.