PSD2 eller betalingstjenestedirektivet

Gå til hovedinnhold

PSD2 eller betalingstjenestedirektivet

13. januar 2018 ble PSD2 (Revised Payment Services Directive) innført. Dette er et EU-direktiv regulerer betalingsformidlingen i EU og EØS, og som vil føre til store endringer når det gjelder betalingstjenester. (Oppdatert 15. februar 2019)

Hva er PSD2 eller betalingstjenestedirektivet?

EUs direktiv som regulerer betalingstjenester i EUs indre marked. Siden Norge er medlem av EØS omfatter dette også Norge.

Hva er en betalingstjeneste i denne sammenhengen?

En elektronisk tjeneste som tilbys forbrukere og virksomheter til blant annet å gjennomføre betalinger og få samlet oversikt over egen økonomi. 

Hva er målet med PSD2?

Intensjonen med PSD2 er å legge til rette for økt konkurranse i markedet for betalingstjenester, fremme innovasjon, styrke sikkerheten for nettbetalinger og tilgang til konto, samt bedre samhandlingen mellom ulike typer aktører og ytterligere harmonisere regelverket i EU.

Hva er bakgrunnen for innføringen av PSD2?

EU ønsker å stimulere til økt handel på tvers av landegrensene i EU. For å få til dette vil EU gjøre det enklere og billigere å gjennomføre betalinger innad i EU sikkert og effektivt og gjøre regelverket for betalinger likt i alle EU-land.

Innovasjonstakten for betalingstjenester innad i EU har gått raskere enn regelverksutviklingen. PSD2 skal derfor også gi klare regler som tilrettelegger bedre for innovasjon på betalingsmarkedet.

Rundt 60 prosent av innbyggerne i EU eier ikke kredittkort, til forskjell fra nordmenn, som gjerne har flere. PSD2 legger til rette for, og sikrer, at EU-borgerne kan betale på nett direkte fra egen betalingskonto uten å bruke kort eller nettbank.

Hva er hovedforskjellene mellom PSD1 og PSD2?

PSD1 hadde som intensjon å øke handel på tvers av landegrensene innad i EU i tillegg til å sette krav til varslingsfrister, informasjon om priser og tydeligere ansvarsforhold. PSD1 åpnet for at andre enn bankene kunne tilby betalingstjenester, men uten nærmere beskrivelse av hvilke typer betalingstjenester som var omfattet. Dette første betalingsdirektivet dekket derfor ikke alle typer betalingstjenester som potensielt kunne tilbys forbrukerne, for eksempel der kunden vil gjennomføre en betaling direkte fra sin betalingskonto, uten å bruke kort eller nettbank. Derfor kom versjon 2 – PSD2, som inneholder en utvidet definisjon av betalingstjenestebegrepet og introduserer dermed tjenester som gir aktører tilgang til konto, såkalt betalingsfullmektig (PISP) og opplysningsfullmektig (AISP).

PSD2 regulerer derfor ikke bare bankene og deres betalingstjenester men også andre tilbydere av betalingstjenester og de tjenester disse kan levere på grunnlag av informasjon om kundene i bankenes kontosystemer. Det er den store forskjellen fra PSD1 til PSD2.

Hva slags tjenester kan tilbys etter innføringen av PSD2?

Betalingstjenester kan utføres uten at kunden trenger å bruke kort eller nettbank, ved hjelp av andre tilbydere enn bank. Disse andre tilbyderne/aktørene (som ikke trenger å være bank) kan i tillegg til å utføre rene betalingstjenester på vegne av kundene, også innhente informasjon fra kundens konti og sammenstille disse på tvers av bankene dersom kunden har kundeforhold i flere banker.

Finnes det slike «andre tilbydere/aktører» allerede i dag, og hvordan reguleres disse etter innføringen av PSD2?

Det finnes en rekke tilbydere av betalingstjenester i dag, som ikke er bank.

Så langt har det vært opp til hvert enkelt land å lovregulere disse. I PSD2 blir det et felles sett med krav som alle land må følge, med hensyn til sikkerhet, rapportering, ansvarsregulering, forbrukerrettigheter samtidig som man legger til rette for god konkurranse til kundens beste.

 

Se for eksempel tjenester som www.tink.se og www.sofort.de som er slike tilbydere innad i EU.

Det forventes at mange tilsvarende aktører vil kunne tilby sine tjenester i det norske markedet etter innføringen av PSD2 (se tidsplan).

Fra hvilket tidspunkt gjelder PSD2 i EU?

Landene i EU må ha tatt inn PSD2 i sine nasjonale lovverk innen 13. januar 2018. Før den tid er «andre aktører» enn bank ikke regulert på tvers av grensene.

Fra hvilket tidspunkt gjelder PSD2 i Norge?

PSD2 må tas inn i EØS-avtalen. Likevel gjennomføres deler av regelverket nå gjennom finansforetaksloven og betalingssystemloven med tilhørende forskrifter, og gjennom forskrift om betalingstjenester, med hjemmel i finansavtaleloven. 

 

Reglene trer i kraft 01.04.2019.

Forventes det annen regulering fra EU enn PSD2?

I tillegg til PSD2 har vi en europeisk banktilsynsmyndighet - EBA (tilsvarende Finanstilsynet i Norge) som setter mer detaljerte krav til sikkerhet og samhandling for betalingstjenester, i tillegg til retningslinjer for rapportering, overvåkning og annet. Både de nye aktørene og bankene må tilpasse seg disse kravene.

De endelige kravene vil tre i kraft på forskjellig tidspunkt. Noen krav er allerede i kraft i EU, mens de viktigste kravene som gjelder sikkerhet og samhandling trer i kraft i EU i september 2019. Tilsvarende dato for når kravene gjøres gjeldende i Norge, vil fastsettes i en forskrift når direktivet er implementert i Norge.

Når vil all regulering være på plass og nye løsninger komme?

Kravene til sikkerhet og samhandling for elektroniske løsninger ble vedtatt i EU i mars 2018, med en innføringstid på 18 måneder. Derfor vil ikke disse være fullt ut regulert før i tredje kvartal av 2019.

Bankene er pålagt å åpne sine løsninger allerede 12 måneder etter ikrafttredelse for at nye aktører skal kunne teste løsningene.

Som nevnt over, kan kravene bli innført på et annet tidspunkt i Norge enn i EU.

Hvilke aktører blir berørt/regulert av PSD2?

Myndigheter, banker, fintech-selskaper, bankkunder.

Hva blir regulert?

Elektroniske betalinger og tilknyttede tjenester, både nasjonale og internasjonale (så lenge ett av landene betalingen går til/fra er innenfor EU/EØS)

Hva betyr PSD2 for bankene?

Bankene må tilpasse sine konto-tjenester, slik at kunden kan benytte andre tilbydere av betalingstjenester for å utføre sine betalinger eller sammenstille sine kontodata.

Hva betyr PSD2 for de nye aktørene?

De nye aktørene vil legge til rette sine tekniske løsninger slik at disse kommuniserer med bankenes systemer. Det betyr at de må innfri alle kravene i PSD2s med hensyn til sikkerhet, rapportering, ansvarsregulering, og forbrukerrettigheter. Dette vil bidra til styrket konkurranse i markedet, noe som vil være til kundens beste.

I praksis betyr dette at bankenes kunder kan få tilgang til sine opplysninger og tjenester via enn annen aktør sin løsning, enten en app eller en nettjeneste framfor å bruke bankenes egne nettbanker. De nye aktørene vil dermed konkurrere med bankene om å tilby de mest brukervennlige betalingstjenestene på nett.

Hva betyr PSD2 for bankkundene/forbrukerne?

Det vil bli enklere og billigere å få gjennomført betalinger uten å bruke kort. Forbrukerne kan via nettjenester betale direkte fra sin betalingskonto.

Det vil også bli mulig å få samlet all kontoinformasjon om betalingskontoer kun på ett sted, på tvers av banker. Dette vil gjøre det enklere for forbrukerne å holde oversikt over egen økonomi. 

For å benytte seg av disse tjeneste må forbrukerne/bankkundene gi sitt samtykke til dette.

I tillegg vil sikkerheten og forbrukerrettighetene bli ivaretatt på en god måte, også på tvers av landegrensene.

Samarbeid i banknæringen om PSD2

De norske bankene har lang tradisjon for samarbeid på områder der de ikke konkurrerer.
Det foregår nå et omfattende samarbeid i banknæringen med å forberede innføringen av PSD2 slik at det tilrettelegges for de nye aktørene.

En felles løsning vil være en fordel å få på plass slik at de nye aktørene enkelt kan «koble seg på» og tilby sine løsninger til kundene.

Hva er Strong Customer Authentication/Sterk Kundeautentisering (SCA)?

Sikkerhetskrav som skal redusere risikoen for svindel og beskytte kundenes data. Både banker og nye aktører vil være forpliktet til å ta i bruk autentiseringsmetoder som tilfredsstiller kravene som er satt.

Forkortelser brukt i PSD2

  • PISP (Payment Initiation Service Providers) = tilbyder av nettbaserte kontobetalingstjenester – kan være både bank og «annen aktør», også kalt betalingsfullmektig.
  • AISP (Account Information Service Providers) = tilbyder av nettbaserte kontoinformasjonstjenester – kan være både bank og «annen aktør», også kalt opplysningsfullmektig.
  • PIISP (Payment Instrument Issuing Service Providers) = tilbyder av kortbaserte betalingstjenester som ikke er tilknyttet kundens konto (type lojalitetskort)

Betalingskonto

Betalingstjenester kan kun gjennomføres fra betalingskontoer. Det er ikke helt klart hvordan betalingskonto skal defineres i norsk lov, men så langt ser det ut til at en betalingskonto ikke vil være en lånekonto, en VPS-konto eller andre typer kontoer man vanligvis ikke kan gjøre en betaling fra.

Samtykke

Alle tilbydere av betalingstjenester har ansvar for å innhente samtykke fra sin kunde for tilgang til kundens betalingskonto hos en bank. Først når samtykke er innhentet kan betalingstjenesten gjennomføres.