Forslag til revisjon av betalingstjenestedirektivet, samt forslag til en forordning om interbankgebyr for kortbaserte betalingstransaksjoner

Finansdepartementet
Akersgt. 40
Postboks 8008 Dep.
Dato: 29.11.2013

0030 Oslo  Vår ref.: 13-1456
Deres ref.: 13/3541

Finans Norge viser til Finansdepartementets e-post av 3. oktober 2013 der det vises til at Europa-kommisjonen 24. juli 2013 fremmet forslag om revisjon av direktiv 2007/64/EF (betalingstjenestedirektivet) (COM(2013) 547) og forslag til en forordning om interbankgebyr for kortbaserte betalingstransaksjoner (COM(2013) 550). Finans Norge inviteres til å gi merknader til Europa-kommisjonens forslag.

1. Finans Norges hovedsynspunkter

  • Det er positivt at Europa-kommisjonen ønsker å legge til rette for effektivitet innenfor betalingsformidling, ved å motivere til konkurranse og innovasjon. Finans Norge mener likevel at det fortsatt må være en overordnet målsetting å ivareta hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse, jf. lov om betalingssystemer § 3-1.

  • Det er positivt at virksomhet som tredjepartsbetalingstjenestetilbyder (TPP) foreslås regulert. Vi er imidlertid skeptiske til at TPP’er skal ha tilgang kundenes til betalingskonti og særlig hvis slik tilgang ikke skal avtalereguleres med banken. Avtaler mellom tilbyderne ligger til grunn for transaksjons­utveksling mellom banker og er en forutsetning for å kunne bevare publikums tillit til betalingsformidling og bankkonto.

  • Finans Norge er i mot generell regulering av forretningsmodeller for kortordninger generelt, herunder også forbudet mot surcharging. Vi frykter at regulering i tråd med forslaget vil hindre pristransparens og slik sett bidrar til at effektivitetsforskjeller mellom de ulike kortordningene ikke blir synlige for kundene. Konsekvensen kan bli at de kortordninger som ikke er de mest effektive vinner frem på bekostning av mer effektive systemer.

 

Nedenfor gir vi først generelle kommentarer til utkastet til nytt betalingstjenestedirektiv før vi gir spesielle merknader til direktivforlagets bestemmelser om tredjepartsbetalings­tjenestetilbydere (TPP). Vi omtaler også kort direktivutkastets bestemmelser knyttet til kundens ansvar og direkte debiteringer.

Deretter gir vi kommentarer til Europa-kommisjonens forslag til forordning om kortbaserte betalingstransaksjoner.


2. Kommentarer til forslaget om revidert betalingstjenestedirektiv (PSD2)

Finans Norge har funnet det naturlig å kommentere forslaget til forbud mot surcharging i forslag til PSD2 i tilknytning til forslaget til forordning om interbankgebyr for kortbaserte betalingstransaksjoner.

2.1 Generelle kommentarer 

Formålet med en revisjon av betalingstjenestedirektivet er å skape ytterligere harmonisering og integrasjon av markedet for betalingstjenester i EØS-området. I tillegg er det Kommisjonens oppfatning at det er behov for å øke effektiviteten i dette markedet ved å legge til rette for konkurransen og å redusere etablerings­hindringer.

Finans Norge mener at endringene som foreslås ikke i tilstrekkelig grad tar høyde for betydningen av brukernes tillit til betalingstjenestesystemene. Selv om hensynet til ”sikkerhet” er nevnt i direktivutkastes fortale punkt 6 kan vi vanskelig se at dette målet gjenspeiles i direktivets artikler. Dette gjelder særlig i forhold til TPP, jf. nedenfor.

I utkast PSD2 legges det opp til ytterligere å åpne opp eksisterende løsninger for nye deltagere, samt å skape interoperabilitet mellom aktørene i markedet (både nye og gamle). Finans Norge er for interoperabilitet (samordning). Vi er for at nye aktører som opererer under tilsvarende rammevilkår enkelt skal kunne få tilgang til etablerte betalingssystemer. Vi er i tvil om forslagene til ny regulering faktisk vil bidra til dette. I tillegg frykter vi at forslag til TPP’enes virksomhet og rettigheter vil kunne redusere publikums tillit til betalingstjenestene og sikkerhet for midler på betalingskontoer.


Direktivutkastet synes ikke å ta hensyn til at reguleringsregimet også må kunne gi tilstrekkelig økonomisk grunnlag og insentiver for aktørene til å vedlikeholde og utvikle nødvendig infrastruktur for tjenestetilbudet. En forringelse av denne infrastrukturen vil gi betydelig samfunnsøkonomisk tap.

I utkastet til revidert betalingstjenestedirektiv skal den Europeiske Banktilsynsmyndighet (EBA) publisere veiledninger og definere tekniske standarder, for eksempel skal de definere hva ”tilstrekkelig” sikkerhetskrav skal bety. Disse veiledningene og standardene vil bli forelagt Europa-kommisjonen for godkjennelse uten en høringsprosess, jf. fortalens punkt 80. Et slikt regime vil kunne hemme nyutvikling på betalingsformidlings­området, i liten grad kunne tilpasses raske endringer i trusselbildet og kunne bidra til å svekke tjenestetilbydernes oppfølging av eget ansvar for sikkerheten i egne løsninger.


2.2 Tredjepartsbetalingstjenestetilbydere (TPP)

Et av hovedmålene med forslaget til PDS2 er å åpne opp markedet for tredjepartsbetalings­tjenestetilbydere (TPP), jf. artikkel 58 og 59. TPP er betalingstjeneste­tilbydere som ikke selv tilbyr konto, men som baserer sine tjenester på kundens etablerte bankkonto.

Finans Norge er positiv til at TPP’enes virksomhet defineres som en betalingsformidlings­virksomhet, jf. artikkel 4 og vedlegg 1, og derved omfattes av reguleringen. Finans Norge finner det også riktig, og nødvendig, at TPP’ene vil bli pålagt å identifisere seg som TPP ovenfor sine kunder, samt at de må innhente et ”eksplisitt samtykke” fra kundene, jf. fortalens punkt 51. Finans Norge er imidlertid i mot at bankenes kunder skal ha rett til å overdra sin personlige sikkerhets­informasjon for nettbankpålogging til tredjeparter.

Finans Norge kan imidlertid ikke se at det i direktivutkastet legges opp til at det skal være en avtalerelasjon mellom TPP og banken.[1] Finans Norge mener at en slik avtalerelasjon er et nødvendig minimum. I dag er slike avtalerelasjoner mellom banker grunnlaget for at disse kan tilby betalingstjenester som involverer konti i andre banker.

Vi vil nedenfor begrunne våre synspunkter nærmere.

Elektroniske betalingstransaksjoner som personkunder selv initierer for belastning av konto skjer i dag gjennom nettbank eller ved bruk av kort kunden har fått utstedt av sin bank. TPP’ers tilbud må derfor basere seg på at de; (1) gis tilgang til å logge seg på kundens nettbanktjeneste, eller (2) utsteder betalingsinstrumenter (for eksempel kort) for belastning av kunders bankkonto (enten dette er en innskuddskonto eller en kredittkonto).

Etter forslaget i artikkel 87, 1. ledd, siste setning, skal banken tillate TPP’er å benytte kontobankens autentiserings­metode. Kunder som benytter TPP-tjenester skal oppgi private og hemmelige log-in-informasjon til TPP’en, som så benyttes av TPP’en for tilgang til kundens nettbank. Dette representerer en betydelig risiko for banken og for kunden. Det er på langt nær tilstrekkelig med hensyn til sikkerhet at det i artikkel 58, 1. ledd, punkt a) og artikkel 62, 1. ledd, punkt a) stilles krav til at TPP’en skal holde kundens log-in-informasjon hemmelig.

I tillegg til risiko for økonomisk misbruk av kundens innestående midler på bankkonto vil TPP’ene ha full tilgang til alle transaksjonstyper og til all informasjon som finnes i kundens nettbank. Dette vil sette banken i en situasjon der den opptrer i strid med personvernlovgivningen.

De fleste banker i Norge tilbyr kunder BankID som sikkerpåloggingsmekanisme til nettbank. BankID gir kunder tilgang til sikker pålogging også for flere andre tjenester utenom bank, herunder også offentlige tjenester via ID-porten. Overdragelse av personlig BankID log-in-informasjon til TPP’er øker derfor risikoen for misbruk utover ”bare” misbruk av kundens konto. BankID er kundens elektroniske identitet. Misbruk kan skje i mange sammenhenger og risikoen for ID-tyveri øker. Problemstillingen er relevant også for andre nordiske land.

Til tross for at kunder skal ha rett til å overdra sin personlige og hemmelige påloggingsinformasjon til tredjepart (TPP) er det i artikkel 63, 2. ledd, kontobank som skal ha ansvaret for å motta feilmelding fra kunde og rette opp feil, også for feil TPP’en har begått. På samme måte er det i artikkel 65, 2. ledd kontobank som er blitt gitt ansvaret for å erstatte kontohavers tap ved uautoriserte transaksjoner som er initiert via en TPP. I artikkel 80, 1.ledd, 2. avsnitt, slås det riktignok fast at det er TPP’en som er ansvarlig for at en betalingstransaksjon som er initiert via denne er korrekt. Like fullt er det banken som sitter med ansvaret overfor kunden. Finans Norge kan vanskelig se at tilføyelsen i artikkel 65, 2. ledd, siste setning, om at ”finansiell kompensasjon til banken fra TPP’er kan gjøres gjeldende” blir meningsfylt når banken uansett må ta tapet i første hånd og det ikke synes å være lagt opp til at bank skal kunne kreve avtale med TPP’en.

Bankene har etablert og utvikler stadig nye sikkerhetstiltak mot uautoriserte konto­belastninger som følge av phishing- eller ”man in the middle”-angrep. Slike sikkerhetstiltak går utover ren tofaktorautentisering (strong authentication) slik dette er definert i utkastet til direktiv. Sommeren 2010 ble Glue Finances betalingsløsning for ulovlig spillvirksomhet identifisert og avvist av bankene som følge av slike tiltak utover tofaktorautentisering. Etablerte ekstra sikkerhetstiltak vil i utgangspunktet også kunne oppfatte TPP’er som ”man in the middle” og derved avvise transaksjonsinitiering fra disse. 

Direktivutkastet forutsetter at en TPP autentiserer seg overfor kontoførende bank, jf artikkel 58 nr 2 bokstav b). Kontobanken kan da i prinsippet skru av de ekstra sikkerhetstiltak når den gjenkjenner transaksjoner som er initiert fra TPP’en slik at denne ikke blir oppfattet som ”man in the middle”. Slike transaksjoner vil imidlertid da ha et lavere sikkerhetsnivå enn det banken vanligvis finner nødvendig. Banken vil eksempelvis ikke kunne kontrollere om en kriminell ”man in the middle” har trengt seg inn i kommunikasjonen mellom kontokunden og TPP’en.

Nettbanktjenesten, slik kundene i dag kjenner den, må endres betydelig om kunder skal kunne initiere betalinger fra nettbanken via TPP’er. Flere sikkerhetsnivåer for ulike tjenester i nettbanken må etableres. I tillegg til BankID må kunder gis nye og andre sikkerhetsmekanismer for bruk når transaksjoner skal initieres via TPP’er. Kontobanken må videre kunne gis grunnlag for å kontrollere at den ikke gir TPP’en tilgang til flere tjenester eller mer informasjon enn det som ligger i den fullmakt kontokunden har gitt til TPP’en. Slike endringer vil øke kostnadene og gjøre tilgang til nettbanktjenestene mer komplisert for alle kunder. 

Finans Norge kan ikke se at de problemstillinger som reises i direktivutkastet om TPP’ers tilgang til bankkonto gjennom nettbank kan løses uten at bank og TPP’er inngår avtaler. Slike avtaler er nødvendig, men det kan reises spørsmål om det vil være tilstrekkelig til å sikre tilliten til nettbanktjenestene og betalingsformidlingen generelt.

Finans Norge har også vurdert hvordan tredjeparter skal kunne utstede betalingsinstrumenter med tilgang til bankenes konti, jf direktivutkastets artikkel 59. I artikkelens 1. ledd er betalingskort spesifikt nevnt. Vi kan ikke se hvordan slik tredjepartsutstedelse kan være mulig uten at det inngås avtale mellom tredjeparten og banken. Uansett vil et slikt instrument være knyttet til bankkontoen og banken må forsikre seg om tilfredsstillende sikkerhet og at bruk skjer etter avtale mellom kunde og banken.     

2.3 Andre kommentarer til forslaget om revidert betalingstjenestedirektiv

Endring av kundens objektive ansvar

I følge finansavtaleloven § 35 bærer kunden et objektivt ansvar for inntil kr 1 200 ved uautoriserte belastninger av konto. Kunden svarer for hele tapet ved uautoriserte betalingstransaksjoner dersom tapet skyldes at kunden har utvist grov uaktsomhet. Dersom betalingstransaksjonen har skjedd ved bruk av et elektronisk betalingsinstrument, svarer kunden likevel bare med inntil kr 12 000.

Kundens objektive ansvar skal gi kundene insentiver til sikker adferd. I forslag til nytt betalingsdirektiv er det foreslått å redusere kundenes objektive ansvar fra EUR 150 til EUR 50, jf. artikkel 66, 1. ledd, noe som for Norge sin del utgjør om lag kr 400. Finans Norge frykter at en reduksjon av kundens objektivt ansvar til kr 400, vil redusere kundens insentiv til sikker adferd. En reduksjon av kundenes objektive ansvar er spesielt uheldig når det ses i sammenheng med direktivutkastets øvrige forslag som kan påvirke sikkerheten i systemene. Økt tap vil måtte bæres av alle kunder.

Finans Norge kan heller ikke se at direktivforslaget gir rom for å begrense kundenes ansvar ved grov uaktsomhet til kr 12 000 ved bruk av et elektronisk betalingsinstrument, noe som vil måtte medføre endringer i finansavtaleloven.

Tilbakeføringsregler for direkte debiteringer

I artikkel 67 og 68 er det foreslått at kunden utbetingedet skal kunne kreve tilbakeføring ved direkte debiteringer, gitt at kunden ber om dette innen 8 uker. Dette er svært ulikt det systemet vi har for direkte debiteringer vi har i Norge i dag (AvtaleGiro). I AvtaleGiro gis kunden et forhåndsvarsel før debitering og mulighet til å stanse debitering. Hvis dette forslaget blir vedtatt vil det vil medføre store endinger i dagens AvtaleGiro. Reglene for Avtalegiro må endres slik at betalers krav på tilbakeføring korresponderer med rett til tilbakeføring fra kreditor.  I tillegg kan det stilles spørsmål ved om ordningen med forhandsvarsling i det hele tatt kan opprettholdes. Vi kan ikke se at slike endinger vil øke innslaget av Avtalegiro, snarere tvert i mot.

Videre er det i artikkel 67, 1. ledd, 2. punktum, gitt et unntak fra kundens utbetingede tilbakeføring gitt at ”tjenestene allerede er blitt mottatt eller varene allerede er blitt brukt”. Det fremstår som uklart hvordan dette skal foregå i praksis, men Finans Norge ønsker å påpeke at det ikke kan være bankene sin rolle å kontrollere om tjenestene allerede er blitt mottatt eller varene allerede er blitt brukt.

3. Kommentarer til forslag til forordning om interbankgebyr (interchange fees) for kortbaserte betalingstransaksjoner

Forbud mot surcharging i forslag til PSD2 er kommentert i denne delen av høringssvaret.

3.1 Generell kommentar

Finans Norge støtter tiltak som har til formål å øke pristransparens i markedet, også i markedet for tilbud av kortbaserte betalingstjenester. I forslaget til forordning foreslår Kommisjonen reguleringer som går langt utover dette, ved for eksempel å regulere forretningsmodeller, størrelsen på interbankgebyrer (interchange fees) og hvordan aktørene i en kortordning kan organisere prosesseringen av korttransaksjoner. Finans Norge mener forslaget til regulering på flere områder representerer begrensinger som vil medvirke til at det nødvendigvis ikke vil bli de mest kostnadseffektive kortløsningene som blir preferert i markedet.

På side 16 i reguleringsutkastets ”Explanatory Memorandum” er det inntatt en figur som viser at kortbruken er høyest i de nordiske land. Forretningsmodellene og operasjonell gjennomføring for kortbetalinger i de nordiske land er, og har vært, forskjellige. I Norge har BankAxept et stort innslag. BankAxept har i utgangspunktet operert med en annen forretningsmodell enn de internasjonale kortordninger. I Danmark er Dankort dominerende. Dette kortsystemet er konsentrert om Nets Denmark og underlagt en egen dansk lovgivning som har satt tak på hvor mye av kostnadene ved å operere kortsystemet som kan belastes brukerstedene. Det svenske kortmarkedet er kjennetegnet ved bruk av de internasjonale kortordninger og bilaterale avtaler mellom aktørene (bankene) der bl.a. interchange fee avtales. I det finske markedet har kortsystemet langt på vei tradisjonelt vært konsentrert gjennom et eget selskap, men dette har endret seg gjennom de seneste år.

Dette illustrerer at det nødvendigvis ikke er én forretningsmodell og innslag av en bestemt type regulering som gir gode kortbaserte løsninger.[2] Det foreliggende forslag til forordning vil neppe kunne gi den fleksibiliteten som må til for at tilbydere av kortbetalingstjenester kan samles om kortordninger som best svarer til kundenes behov, og således er den ordningen som er mest hensiktsmessig ut fra et samfunnsperspektiv.

3.2 Kommentarer til enkelte områder

Trepartssystemer

Det foreslås at begrensingene i interchange fee og kravet til separasjon mellom scheme og prosessering ikke skal gjelde trepartssystemer. Dette er for så vidt naturlig siden det i rene trepartsystemer ikke opereres med interchange, men priser direkte i markedet. Videre vil trepartsystemer kun ha egne transaksjoner og må derfor selv kunne ta stilling til hvordan egne transaksjoner skal prosesseres.

Likevel representerer unntaket for trepartssystemer ulike rammevilkår mellom trepartssystemer og kortsystemer som er basert på firepartsmodellen. I Norge, i Norden og globalt er firepartsmodellen dominerende. Firepartsmodeller gir også det beste grunnlaget for samordning mellom aktører som ønsker å tilby korttjenester til sine kunder, det være seg kortholdere eller brukersteder. Undersøkelser viser videre at trepartsmodeller gjennomgående er dyrest for kundene.

Separasjon av kortordning og prosessering

I forslaget til forordning artikkel 7 er det foreslått krav til separasjon av kortordning (scheme) og prosessering.

Også denne bestemmelsen gir begrensinger i fleksibilitet for den enkelte kortordning til å velge prosesseringsløsninger som gir best kostnadseffektivitet, best kontroll på sikkerhet, nødvendig krav til samordning og kontroll på operasjonell stabilitet.

 

Finans Norge mener deltagere i en kortscheme selv må kunne finne frem til de prosesseringsløsninger som best grunnlaget for tilbudet til kundene og samtidig gir virksom konkurranse i markedet. 

Valg av applikasjon og surcharging

I utkastet til forordning foreslås det at betaler, i kjøpsøyeblikket, skal velge scheme (applikasjon) som skal benyttes dersom betalers instrument inneholder flere scheme (kombinert instrument). I Norge er de fleste betalingskort kombinert kort der BankAxept og Visa begge inngår. I betalingsterminalene prioriteres i dag BankAxept.

Et valg for kortholder som foreslås i utkastet til forordning synes fornuftig gitt at det samtidig gis incentiver til å velge det scheme som mest kostnadseffektivt. I utkastet til ny PSD2 foreslås det imidlertid et forbud mot surcharging. Brukestedet forbys da å kreve et gebyr av betalende kunde avhengig av hvilket betalingsinstrument kunden benytter. Forbudet er foreslått begrenset til å gjelde for kunders betaling med kort der interchange fee er regulert av utkastet til forordning.

Finans Norge vil peke på at utkastet til forordning regulerer interchange fee (kompensasjonen fra innløser til kortutsteder) og ikke de provisjoner som innløser faktisk krever inn fra brukerstedet.

Brukerstedets vil ha kostnader knyttet til å akseptere betalingsinstrumenter. Disse kostnadene vil normalt kunne variere avhengig av type instrument og scheme. Vi mener brukerstedene generelt bør ha anledning til å surcharge. Dersom brukestedet gjør bruk av surcharging vil det være riktig at kortkunden bestemmer valg av scheme. Dersom brukerstedet ikke surcharger bør brukerstedet kunne velge hvilket scheme som benyttes når kunden presenterer et instrument som inneholder flere scheme.

Betaling med kontanter er gjennomgående mer kostnadskrevende en betaling med de mest effektive kortsystemer. Vi mener derfor at brukerstedene bør ha anledning til å surcharge når kunden betaler med kontanter.


Med vennlig hilsen

Finans Norge

 

Tor Johan Bjerkedal

fagdirektør



[1] Det er i direktivutkastets fortale punkt 69 vist til behovet for avtaler mellom partene som inngår i betalingskjeden. Det kan tolkes om dette bare gjelder i forholdet mellom banker og deres medhjelpere og således ikke omfatter relasjonen mellom bank og TPP. Dette må klargjøres på en slik måte at det klart fremkommer at det er behov for avtale mellom bank og TPP.   

[2] I denne sammenheng gjør vi oppmerksom på at det i Danmark er oppnådd enighet mellom finanssektoren og Dansk Erverv (bransjeorganisasjon for handelsstanden) om at brukerstedene kan påta seg en større andel av kostnadene ved å operere Dankortsystemet. Etter det vi erfarer er dette for å kunne gi økonomisk rom for Dankortsystemet til å kunne møte nye behov og utvikle nye betalingsløsninger.