PSD 2 - overgangsordninger

I forskrift om endring i forskrift om finansforetak og finanskonsern punkt IV er det fastsatt overgangsordninger for e-pengeforetak, betalingsforetak med ordinær tillatelse, betalingsforetak med begrenset tillatelse, samt foretak som yter betalingsfullmakt- og/ eller kontoinformasjonstjenester med eller uten konsesjon.

Betalingsforetak eller e-pengeforetak som i dag har konsesjon fra Finanstilsynet, må innen 1. september 2019 dokumentere at de oppfyller de nye kravene i finansforetaksforskriften § 3-2. Finanstilsynet har utarbeidet et eget søknadsskjema som kan benyttes for å dokumentere at kravene er oppfylt.

• Søknadsskjema etter finansforetaksforskriften §3-2 (pdf)

Foretak som tilbyr betalingsfullmakt- eller kontoinformasjonstjenester før 1. april 2019 må søke om tillatelse og eventuelt konsesjon til å yte tjenestene innen 1. mai 2019 for å kunne fortsette å yte tjenestene inntil søknaden behandles. Berørte foretak vil ikke ha status som regulert yter av tjenesten(e) før tillatelse er innvilget.

Betalingsforetak med begrenset tillatelse som er organisert som enkeltpersonforetak må innen 1. september 2019 sende søknad til Finanstilsynet om å overføre tillatelsen til nytt AS. Dette skyldes at finansforetaksforskriften § 2-5 ikke lenger åpner for at betalingsforetak med begrenset tillatelse kan organiseres som enkeltpersonforetak. Som AS vil foretaket bl.a. være underlagt krav om at vedtekter skal godkjennes jf. finansforetaksloven § 7-10, og at styret skal sammensettes og egnethetsvurderes i samsvar med kravene som fremgår av finansforetaksloven §§ 3-5, 8-4 og Finanstilsynets rundskriv nr. 14/2015.

Sikkerhetskrav - sterk kundeautentisering

PSD2 definerer sikkerhetskrav som skal beskytte kundedata, slå fast brukerens identitet og redusere risikoen for svindel. Tilbydere av betalingstjenester plikter å autentisere brukeren ved å benytte to av tre elementer; noe kunden vet, noe kunden har eller noe kunden er, såkalt sterk kundeautentisering (SKA).

RTS definerer nærmere kravene til SKA, unntak fra SKA og plikten til å beskytte kundens personlige koder.

Kravet til sterk kundeautentisering trer i kraft i EØS 14. september 2019.

Betalingssystemene i Europa er omfattende, og endringene som må gjøres likeså. Ikke minst gjelder dette for brukerstedene på internett.

Betalingstjenestetilbyderne må gjøre brukerne kjent med endringene og hva de betyr for brukerne.

For å unngå negative konsekvenser for brukerne når det gjelder kortbetalinger på internett, kan kortutstedere, kortinnløsere og netthandelsvirksomheter benytte en avgrenset tid etter 14. september 2019 for å ferdigstille og implementere SKA for betalinger med kort på Internett.

Betalingstjenestetilbydere som har behov for slik utvidet frist, bes ta kontakt med Finanstilsynet for avtale om dette.

For å oppnå like regler i Europa, vil den europeiske banktilsynsmyndigheten (EBA) senere i år publisere en dato som markerer siste frist for når SKA skal være implementert.

Dokumentasjon av ansvarsforsikring

Med unntak av kredittinstitusjoner, må alle foretak som ønsker tillatelse til å tilby de nye tjenestene, dokumentere at de har ansvarsforsikring, jf. finansforetaksloven § 2-10 annet ledd og § 2-10 a tredje ledd. Finanstilsynet har utarbeidet et eget søknadsskjema som kan benyttes til dette formålet. Skjemaet er tilgjengelig på konsesjonssidene for betalingsforetak, e-pengeforetak, samt ny konsesjonsside for opplysningsfullmektiger.

• Skjema for dokumentasjon av ansvarsforsikring (pdf)
• EBA guidelines on professional indemnity insurance under PSD 2