Europa-Parlamentet og Rådet har ultimo 2015 vedtaget et nyt betalingstjenestedirektiv, direktiv (EU) 2015/2366 ("PSD2"). PSD2 afløser betalingstjenestedirektivet fra 2007 og foretager en række justeringer i øvrige regler.
Formålet med direktivet er at gennemføre en omfattende modernisering af reglerne om betalingstjenester, bl.a. som følge af den teknologiske udvikling, der har medført en stigning i antallet af elektroniske betalinger og mobilbetalinger samt fremkomsten af en række nye former for betalingstjenester.
Direktivet bør læses i sammenhæng med forordningen om interbankgebyrer for kortbaserede betalingstransaktioner (
se vores tidligere nyhedsbrev om denne forordning), idet ændringerne til betalingstjenestedirektivet, ligesom forordningen, har til hensigt at forbedre forbrugerbeskyttelsen, reducere priser og gebyrer og sikre den fortsatte udvikling af et indre marked for betalingstjenester.
Væsentlige ændringer
- Transaktioner i andre valutaer end EU-valutaer samt ”one leg out”-transaktioner bliver omfattet af dele af direktivets transparensregler.
- Indsnævring af undtagelse for betalingstransaktioner, der gennemføres ved hjælp af telekommunikations- eller IT-udstyr.
- Krav til styring af drifts- og sikkerhedsrisici og øgede krav til kundeautentifikation.
- Krav om ring-fencing af midler for alle betalingsinstitutter.
- Nedsættelse af forbrugeres hæftelse (”selvrisiko”) ved uautoriserede betalinger.
- Forbud mod betalingsmodtagers opkrævning af visse gebyrer.
PSD2 skal være implementeret i dansk ret senest den 13. januar 2018.
UDVIDET ANVENDELSESOMRÅDE FOR DIREKTIVET
I modsætning til hidtil omfatter store dele af PSD2's afsnit III (der handler om transparens med hensyn til betingelserne for og oplysningskravene til betalingstjenester) dels betalinger i andre valutaer end en EU-medlemsstats valuta, hvis både betalerens og betalingsmodtagerens tjenesteudbyder (eller den eneste betalingstjenesteudbyder i transaktionen) er beliggende i en EU-medlemsstat, dels såkaldte ”one leg out”-transaktioner dvs. transaktioner (i alle slags valutaer), hvor kun én af betalingstjenesteudbyderne er beliggende i EU.
For så vidt angår disse betalinger vil PSD2 dog alene finde anvendelse på den del af transaktionen, der gennemføres inden for EU.
Direktivet omfatter nu også udbydere af kontooplysningstjenester og betalingsinitieringstjenester
En kontooplysningstjeneste er en online tjeneste, der kendetegnes ved, at den giver brugeren et hurtigt overblik over brugerens samlede finansielle situation. Det sker ved, at der online gives samlede oplysninger om betalingskonti, der føres hos en eller flere betalingstjenesteudbydere, og som er tilgængelige via onlinegrænseflader hos den kontoførende betalingstjenesteudbyder.
Betalingsinitieringstjenester har navnlig udviklet sig inden for e-handel. Tjenestens formål er at etablere en softwarebro mellem den forretningsdrivendes websted og betalerens betalingstjenesteudbyders netbank-platform med henblik på at initiere internetbetalinger på grundlag af en kreditoverførsel.
Det hidtidige betalingstjenestedirektiv omfattede som udgangspunkt ikke betalingstransaktioner, der blev gennemført ved hjælp af telekommunikations- eller IT-udstyr, hvor de erhvervede varer eller tjenesteydelser blev leveret til og skulle anvendes ved hjælp af telekommunikations-, digital- eller it-udstyr. Denne undtagelse indsnævres med PSD2 bl.a. derved, at kun betalingstransaktioner, der udgør et supplement til elektroniske kommunikationstjenester for en abonnent på netværket eller tjenesten, er omfattet af undtagelsen og i øvrigt kun under forudsætning af, at en række betingelser er opfyldt, herunder følgende betingelser:
- at købet gennemføres fra eller via en elektronisk anordning og opkræves på den tilhørende regning inden for rammerne af almennyttig virksomhed eller til køb af billetter eller, hvis der er tale om køb gennemført ved hjælp af en anden type anordning, at købet vedrører digitalt indhold eller stemmebaserede tjenester og opkræves på den tilhørende regning, samt
- at købet ligger inden for visse beløbsmæssige begrænsninger (f.eks. må værdien ikke overstige EUR 50 pr. transaktion og EUR 300 for de samlede transaktioner om måneden for det enkelte abonnement).
Transaktioner gennem aftalt handelsagent
Derudover præciserer direktivet, at det ikke finder anvendelse på transaktioner, der foretages gennem en aftalt handelsagent, når agenten alene handler på vegne af betaleren eller betalingsmodtageren. Handler agenten på vegne af begge parter, finder direktivet anvendelse, medmindre agenten ikke på noget tidspunkt kommer i besiddelse af eller får kontrol med parternes midler.
Begrænset undtagelse for tjenester baseret på specifikke betalingsinstrumenter
Endelig begrænser direktivet undtagelsen for tjenester baseret på specifikke betalingsinstrumenter, eftersom det præciseres, at det ikke vil være muligt at anvende undtagelsen, hvis samme betalingsinstrument kan anvendes inden for mere end ét begrænset netværk eller til at erhverve et ubegrænset udvalg af varer og tjenester. Danmark har hidtil overimplementeret på dette punkt og stillet krav om, at udbydere, der ellers ville være omfattet af denne undtagelse, opnår en begrænset tilladelse til at udbyde betalingstjenester eller e-penge. Der er ikke aktuelt nogen melding om, at Danmark vil ophæve denne overimplementering. Regeringen har dog i efteråret 2015 har nedsat en arbejdsgruppe, der mere generelt skal analysere på mulighederne for at reducere dansk overimplementering.
Udvidede regler om beskyttelse af midler (ring-fencing)
I modsætning til det hidtidige betalingstjenestedirektiv, stiller PSD2 krav om, at alle betalingsinstitutter – uanset om disse kun udbyder betalingstjenester eller også udøver andre forretningsaktiviteter – skal beskytte alle midler, der er modtaget fra brugeren eller fra en anden betalingstjenesteudbyder til gennemførelse af betalingstransaktioner (ring-fencing).
SIKKERHEDSKRAV
For at håndtere de senere års øgede sikkerhedsrisici inden for betalingstjenestemarkedet stiller PSD2 øgede krav til betalingstjenesteudbydere til styring af de drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder.
Betalingstjenesteudbydere skal herefter årligt (eller oftere, hvis dette er fastsat af den nationale tilsynsmyndighed) sende en ajourført samlet vurdering til den nationale tilsynsmyndighed (i Danmark Finanstilsynet) af de drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder. Vurderingen skal bl.a. indeholde en analyse af, hvorvidt de iværksatte begrænsende foranstaltninger og kontrolmekanismer er tilstrækkelige.
Direktivet stiller nye krav til den autentifikation af kunder, som betalingstjenesteudbyderen skal anvende, når (i) betaleren tilgår sin betalingskonto online, (ii) initierer en elektronisk betalingstransaktion eller (iii) udfører handlinger gennem en fjernkanal, der kan indebære en risiko for betalingssvig eller andre former for misbrug.
Betalingstjenesteudbyderen skal basere sin autentifikation af kunden på mindst to af følgende elementer:
- et element der vedrører forhold, som kun brugeren har viden om,
- et element der vedrører en genstand, som kun brugeren besidder, og/eller
- et element der vedrører noget, som brugeren er (den lidt kryptiske formulering i direktivet dækker antageligt over et element, der kan udsondre rent elektroniske funktioner f.eks. baseret på algoritmer).
Ovenstående elementer er uafhængige af hinanden. Brud på et af dem svækker således ikke de andres pålidelighed, og elementerne skal desuden være udformet på en måde, der beskytter fortroligheden af autentifikationsdataene.
FORBRUGERENS HÆFTELSE FOR UAUTORISEREDE TRANSAKTIONER
I det hidtidige betalingstjenestedirektiv havde forbrugeren en ”selvrisiko” på EUR 150 for tab, som opstod i forbindelse med uautoriserede betalingstransaktioner, som skyldtes, at forbrugeren havde mistet et betalingsinstrument (f.eks. et kreditkort), eller som skyldtes uberettiget tilegnelse af betalingsinstrumentet f.eks. tyveri. Med PSD2 nedsættes forbrugerens hæftelse for uautoriserede transaktioner til EUR 50.
FORBUD MOD VISSE GEBYRER
Det specificeres i direktivet, at betalingsmodtageren ikke må opkræve gebyrer (i) for anvendelse af betalingsinstrumenter, når interbankgebyrerne er reguleret i forordningen herom eller (ii) for betalingstjenester omfattet af den anden forordning om tekniske og forretningsmæssige krav til kreditoverførsler.
Hvilke overvejelser giver direktivet anledning til?
- Er vi fortsat undtaget fra direktivets anvendelsesområde?
- Vil betalinger i udenlandske valutaer fremover blive omfattet af direktivets regulering?
- Hvornår bør vi begynde at forberede styringen af drifts- og sikkerhedsrisici?
- Hvordan bør vi fremadrettet håndtere kundeautentifikation?