PSD2 eller betalingstjenestedirektivet

Fra 13. januar 2018 innføres det som kalles PSD2 (Revised Payment Services Directive). Dette er et EU-direktiv som skal regulere betalingsformidlingen i EU og EØS.

Hva er PSD2 eller betalingstjenestedirektivet?

EUs direktiv som regulerer betalingstjenester i EUs indre marked. Siden Norge er medlem av EØS omfatter dette også Norge.

Hva er en betalingstjeneste i denne sammenhengen?

En elektronisk tjeneste som tilbys forbrukere og virksomheter til blant annet å foreta betalingstransaksjoner og ha oversikt over egen økonomi. 

Hva er målet med PSD2?

Intensjonen med PSD2 er å legge til rette for økt konkurranse i markedet for betalingstjenester, fremme innovasjon, styrke sikkerheten for nettbetalinger og tilgang til konto, samt bedre integrasjonen mellom aktører og harmonisere regelverket i EU ytterligere.

Hva er bakgrunnen for innføringen av PSD2?

EU ønsker å stimulere til økt handel på tvers av landegrensene i EU. For å få til dette vil EU gjøre det enklere og billigere å gjennomføre betalinger innad i EU sikkert og effektivt og gjøre regelverket for betalinger likt i alle EU-land.

Rundt 60 prosent av innbyggerne i EU eier ikke kredittkort, til forskjell fra nordmenn, som gjerne har flere. PSD2 legger til rette for, og sikrer, at EU-borgerne kan betale på nett direkte fra egen bankkonto uten å bruke kort.

Hva er hovedforskjellene mellom PSD1 og PSD2?

PSD1 hadde også som intensjon å øke handel på tvers av landegrensene innad i EU. Dette første betalingsdirektivet var likevel ikke dekkende nok til å komme i mål, det var for eksempel ikke alle betalingstjenester som var omfattet av direktivet. Derfor kom versjon 2 – PSD2

PSD2 regulerer ikke bare bankene og deres betalingstjenester men også andre tilbydere av betalingstjenester og de tjenester disse kan levere på grunnlag av informasjon om kundene i bankenes kontosystemer. Det er den store forskjellen fra PSD1 til PSD2.

Hva slags tjenester kan tilbys etter innføringen av PSD2?

Betalingstjenester kan utføres utenfor nettbank, og av andre tilbydere enn bank. Disse andre tilbyderne/aktørene (som ikke er bank) kan i tillegg til å utføre rene betalingstjenester på vegne av kundene, også innhente informasjon fra kundens konti og sammenstille disse på tvers av bankene (dersom kunden har kundeforhold i flere banker).

Finnes det slike «andre tilbydere/aktører» allerede i dag, og hvordan reguleres disse etter innføringen av PSD2?

Det finnes en rekke tilbydere av betalingstjenester i dag, som ikke er bank.

Så langt har det vært opp til hvert enkelt land å lovregulere disse. I PSD2 blir det et felles sett med krav som alle land må følge, med hensyn til sikkerhet, rapportering, ansvarsregulering, forbrukerrettigheter samtidig som man legger til rette for god konkurranse til kundens beste.

 

Se for eksempel tjenester som www.tink.se og www.sofort.de som er slike tilbydere innad i EU.

Det forventes at mange tilsvarende aktører vil kunne tilby sine tjenester i det norske markedet etter innføringen av PSD2 (se tidsplan).

Fra hvilket tidspunkt gjelder PSD2 i EU?

Landene i EU må ha tatt inn PSD2 i sine nasjonale lovverk innen 13. januar 2018. Før den tid er «andre aktører» enn bank ikke regulert på tvers av grensene.

Forventes det annen regulering fra EU enn PSD2?

I tillegg til PSD2 har vi en europeisk banktilsynsmyndigheten EBA (tilsvarende Finanstilsynet i Norge) som setter mer detaljerte krav til sikkerhet og samhandling mellom de nye aktørene og bankene gjennom forskrifter – såkalte Regulatory Technical Standards. De endelige kravene fra denne tilsynsmyndigheten når det gjelder PSD2 forventes å tre i kraft fra våren 2019.

Når vil all regulering være på plass og nye løsninger komme?

Nye produkter og tjenester blir lansert fortløpende i markedet, men vil ikke være fullt ut regulert gjennom PSD2-regimet før våren 2019.

Dette forhindrer likevel ikke tilbyderne av nye elektroniske løsninger å komme med sine produkter, også i Norge, allerede i starten av 2018. 

Fra hvilket tidspunkt gjelder PSD2 i Norge?

I følge EØS-avtalen skal EU-direktiver som skal gjelde som norsk lov, vedtas av Stortinget. Det er grunn til å tro at lovbehandlingen i Stortinget vil skje i første halvdel av 2018 og at PSD2 vil bli tatt inn i norsk lovverk innen utgangen av året.

Hvilke aktører blir berørt/regulert av PSD2?

Myndigheter, banker, fintech-selskaper, bankkunder.

Hva blir regulert?

Elektroniske betalinger og tilknyttede tjenester, både nasjonale og internasjonale (så lenge ett av landene betalingen går til/fra er innenfor EU/EØS)

Hva betyr PSD2 for bankene?

Bankene må gjøre sine konto-systemer tilgjengelige, slik at kundene kan benytte andre tilbydere av betalingstjenester for å utføre elektroniske betalinger eller sammenstille sine kontodata.

Hva betyr PSD2 for de nye aktørene?

De nye aktørene vil legge til rette sine tekniske løsninger slik at disse snakker med bankenes systemer. Det betyr at de må innfri alle kravene i PSD2s med hensyn til sikkerhet, rapportering, ansvarsregulering, forbrukerrettigheter. Dette vil bidra til styrket konkurranse i markedet, noe som vil være til kundens beste.

Hva betyr PSD2 for bankkundene/forbrukerne?

Det vil bli lettere og billigere å få gjennomført elektroniske betalinger uten å bruke kort. Forbrukerne kan via nettjenester betale direkte fra sin bankkonto.

Det vil også bli mulig å få sammenstilt kontoinformasjon ett sted, på tvers av banker. Dette vil gjøre det lettere for forbrukerne å holde oversikt over egen økonomi. Det vil være kundene som selv bestemmer hvem som skal få tilgang til egne personopplysninger.

I tillegg vil sikkerheten og forbrukerrettighetene bli ivaretatt på en god måte, også på tvers av landegrensene.

Samarbeid i banknæringen om PSD2

De norske bankene har lang tradisjon for samarbeid på områder der de ikke konkurrerer.
Det foregår nå et omfattende samarbeid i banknæringen med å forberede innføringen av PSD2 slik at det tilrettelegges for de nye aktørene.

En felles løsning vil være en fordel å få på plass slik at de nye aktørene enkelt kan «koble seg på» og tilby sine løsninger til kundene.

Hva er Strong Customer Authentication/Sterk Kundeautentisering (SCA)?

Sikkerhetskrav som skal redusere risikoen for svindel og beskytte kundenes data. Både banker og nye aktører vil være forpliktet til å ta i bruk autentiseringsmetoder som tilfredsstiller kravene som er satt.

Forkortelser brukt i PSD2

PISP = tilbyder av nettbaserte kontobetalingstjenester – kan være både bank og «annen aktør»,
AISP = tilbyder av nettbaserte kontoinformasjonstjenester – kan være både bank og «annen aktør»,
PIISP = tilbyder av kortbaserte betalingstjenester som ikke er tilknyttet kundens konto (type lojalitetskort)