PSD 2 - Presiseringer og avklaringer om regelverket
Publisert: 16. mars 2021
Sist endret: 20. desember 2024
Temaer og problemstillinger som Finanstilsynet blir kjent med i sitt arbeid med å følge opp gjennomføringen av bestemmelsene.
Bakgrunn
Det reviderte betalingstjenestedirektivet (EU) 2015/2366 (PSD2) ble innført i norsk rett 1. april 2019. Regler for sterk kundeautentisering og sikker kommunikasjon, jf. delegert kommisjonsforordning (EU) 2018/389 (heretter benevnt RTS), ble gjennomført i norsk rett 14. september 2019 ved ikrafttredelse av forskrift om systemer for betalingstjenester § 11 2. ledd.
Hensikten med PSD2 er blant annet å legge til rette for effektive og hensiktsmessige betalingsalternativer for brukerne. For å oppnå hensikten følger det av direktivet at alle aktørene i markedet for betalingstjenester, skal kunne operere og konkurrere på likeverdige vilkår ("fair competition"). Dette kommer til uttrykk i direktivets fortale nr. 33, nr. 51, og i direktivets artikkel 98 nr. 2 bokstav c og artikkel 108 bokstav c.
I Prop. 92 LS (2019-2020), punkt 2.1.2 til ny finansavtalelov vises det til at formålet med PSD2 er å modernisere regelverket i tråd med utviklingen i markedet, åpne opp for nyskapning på området samt å fremme sikrere tekniske betalingsløsninger. Videre er målet å øke forbrukernes valgfrihet og redusere kostnadene ved bruk av betalingstjenester.
PSD2 introduserte to nye betalingstjenester, hhv. betalingsfullmakttjenester og kontoinformasjonstjenester, se finansavtaleloven § 1-6, første og tredje ledd. Ytere av de nye betalingstjenestene omtales ofte som tredjepartstilbydere (TPP).
Betalingsforetak og e-pengeforetak kan yte betalingsfullmakttjenester og kontoinformasjonstjenester, forutsatt at foretaket har tillatelse til det. Tillatelse som opplysningsfullmektig gir kun adgang til å tilby kontoinformasjonstjenester, jf. finansforetaksloven § 2-10a. I tillegg kan banker og kredittforetak yte betalingstjenester i kraft av sin konsesjon, jf. finansforetakslovens § 2-3 første ledd.
Betalinger som er initiert av betalingsmottaker
EU-kommisjonen har uttalt at det ut fra teksten i PSD2 ikke kan konkluderes på om mottakerinitierte betalingstransaksjoner må tilbys i PSD2-grensesnittet.
Kommisjonen peker på at PSD2 Artikkel 66 etter ordlyden gir betaleren rett til å bruke PSD2-grensesnittet.
Finansavtaleloven har bestemmelser som inkorporerer PSD2 i norsk rett.
Det går frem av Finansavtaleloven § 4-2, 2. ledd at betalerens samtykke til at betalingstransaksjonen gjennomføres kan gis via betalingsmottakeren. Tilsvarende bestemmelse finner vi i PSD2 Artikkel 64 nummer 2. Betalerens rett etter PSD2 artikkel 66 inkluderer med andre ord en rett for betaleren til å gi samtykke via betalingsmottaker. Betalingsmottaker sender i så fall betalerens samtykke til betalerens betalingsfullmektig på vegne av betaleren.
Finansavtalelovens § 4-3 sier at betaleren kan gi en betalingsmottaker fullmakt til å iverksette en serie direktebelastninger på betalerens konto. Betalerens rett etter artikkel 66 inkluderer med andre ord en rett for betaleren til å gi betalingsmottakeren fullmakt til å iverksette betalinger. Betalingsmottakeren sender instruksjoner om å iverksette betalinger til betalerens betalingsfullmektig på vegne av betaleren.
Det går frem av EBA Q&A 2018_4131 at fullmakten skal signeres ved hjelp av sterk kundeautentisering (SKA), og at den enkelte betaling ikke krever SKA.
Betalerens betalingstjenesteyter skal før hver direktebelastning kontrollere at skriftlig melding fra betaleren om fullmakten er mottatt, og at kontoen belastes i samsvar med fullmakten, jf. finansavtaleloven § 4-3 nr. 3. Finanstilsynet antar at betalingstjenesteyter i denne sammenheng er tredjeparten betaleren har valgt som sin betalingstjenesteleverandør, eller banken, dersom betaleren har valgt banken som sin betalingstjenesteleverandør. Det kan argumenteres for at banken, i kraft av å være kontotilbyder, har et selvstendig behov for å kontrollere at betalinger er i overenstemmelse med fullmakten som betaleren har gitt til betalingsmottaker. Finanstilsynet antar at det ikke vil være sterke motforestillinger mot å imøtekomme dette behovet.
Bankene tar imot og iverksetter mottakerinitierte betalinger for sine betalingstjenestebrukere i dag. EBA sin uttalelse EBA-2018-04 avsnitt 29 synes å innebære at betalingsfullmektiger også skal ha rett til å ta imot og iverksette mottakerinitierte betalinger for sine betalingstjenestebrukere, jf. EBAs klargjøring om at fullmektiger har rett til å iverksette samme transaksjoner som kontotilbyder tilbyr sine betalingstjenestebrukere.
EBA sin uttalelse, som peker på "payments set by national schemes" som en av flere typer betalinger betalingsfullmektiger har rett til å iverksette på lik linje med kontotilbydere, synes å tale for at kontotilbydere som iverksetter mottakerinitierte betalinger for sine betalingstjenestebrukere, har plikt til å gjøre tilgjengelig funksjoner i PSD2-grensesnittet som gjør det mulig for betalingsfullmektiger å iverksette slike betalinger for fullmektigenes betalingstjenestebrukere.
Adgangen til å slette og endre betalinger som er initiert av en betalingsfullmektig
Finanstilsynet erfarer at betaleren i betalerens nettbank kan slette betalingsoppdrag som er initiert gjennom en betalingsfullmektig.
Finanstilsynet vil bemerke at betalingen inngår i en kjede av tjenester fra betalingsfullmektigen. Tjenestene henger sammen. Tjenester innenfor vare- og tjenestekjøp med tilhørende betaling, og tjenester knyttet til regnskap, reskontro, innkreving og kundeoppfølging (CRM-tjenester), kan tjene som eksempler. Dersom kanselleringen skjer via nettbanken, har ikke fullmektigen kunnskap om at betalingsoppdraget er kansellert. Et eksempel er at varen eller tjenesten er levert til kunden, ved en inkurie kansellerer kunden betalingen i nettbanken, og betalingen uteblir. Integriteten i fullmektigens tjeneste bryter sammen.
Finansavtaleloven kapittel 4 skiller mellom kontoavtaler og betalingstjenester, jf. kapitteloverskriften. Betalerens betalingstjenesteyter er den banken, eller betalingsfullmektig, som betaleren har gitt betalingsoppdraget til. § 4-7 setter grenser for adgangen til å kansellere betalingsoppdrag. Finanstilsynet oppfatter at kanselleringen må skje hos betalingstjenesteyteren som betaleren har gitt betalingsoppdraget til, jf. ordlyden i § 4-7 nummer 5 "... den berørte betalingstjenesteyteren." Det betyr at i tilfeller der betaleren har gitt betalingsoppdraget til en betalingsfullmektig, så skal eventuell kansellering skje hos betalingsfullmektigen – det er dennes tjenester som blir berørt av kanselleringen, jf. beskrivelsen i forrige avsnitt. Tilsvarende gjelder dersom betaleren har gitt betalingsoppdraget til banken – eventuell kansellering skal da skje i banken.
På samme måte som tredjeparten må ha kunnskap om sletting av betalinger, må tredjeparten ha kjennskap til eventuelle endringer i betalingsoppdraget som betaleren gjør. For at tredjeparten skal ha kunnskap om endringer, for eksempel endringer av beløp, kreditkontonummer, belastningsdato mv., må eventuelle endringer skje hos den betalingstjenestetilbyder som betaleren har gitt betalingsoppdraget til. Det samme gjelder endringer betaleren gjør som går ut på å sette betalingen på "pause", "stopp" eller liknende.
Reglene om kansellering av betalingsoppdrag i Finansavtaleloven § 4-7 beskriver begrensninger i betalerens adgang til å kansellere. Finanstilsynet mener at banken må innrette systemene slik at betalerens handlinger ikke er i strid med regelverket, slik banken gjør det for annet regelverk, jf. innebygde kontroller knyttet til hvitvaskingsregelverket. På den måten bidrar banken til at lovens bestemmelser og motiver kan oppnås.
Fullmektiger gis tilgang til kontoinformasjon i 180 dager
Delegert kommisjonsforordning (EU) 2022/2360 gir tilbydere av kontoinformasjonstjenester rett til tilgang til saldo og de seneste transaksjoner på betalingstjenestebrukerens kontoer i 180 dager etter at brukeren siste gang gjennomførte sterk kundeautentisering.
Reglene gjennomføres i norsk rett ved forskrift om endring i forskrift om systemer for betalingstjenester fastsatt av Finansdepartementet den 5. juli 2023.
Av ny bestemmelse i forskrift om systemer for betalingstjenester § 13 går det frem at betalingstjenestetilbydere, det vil si kontotilbydere og tilbydere av kontoinformasjonstjenester, skal gjennomføre endringer i henhold til delegert kommisjonsforordning (EU) 2022/2360 innen 1. november 2023.
OCR-betalinger
Finanstilsynet viser til Forskrift om systemer for betalingstjenester § 8, 5. ledd, som sier at kontotilbyder umiddelbart etter mottak av betalingsordren fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt skal gjøre all relevant informasjon om initieringen og gjennomføringen av betalingstransaksjonen tilgjengelig for fullmektig.
Finanstilsynet viser videre til 3. ledd som sier at kontotilbyder ikke skal forskjellsbehandle mellom en betalingsordre som gis av betaler gjennom tilbyder som tilbyr avtale om betalingsfullmakt og betalingsordre som gis direkte fra betaler.
OCR registeret bidrar til å heve tjenestekvaliteten for krediteringstransaksjoner ved å legge til rette for automatiserte kontroller hos betalers bank. Dersom kontrollene indikerer at transaksjonen ikke kan gjennomføres, for eksempel fordi kunden ikke har registrert KID, og mottakerkonto er en "OCR-konto", sender banken melding til kunden om dette, slik at kunden kan rette det opp. Ved filbasert betalinger, mottar avsender retur med melding om eventuelle feil som følger av kontroller mot OCR-registeret.
Finanstilsynet mener at bestemmelsene det er vist til ovenfor, tilsier at bankene skal sende tilsvarende meldinger til betalingsfullmektig.
Finanstilsynets forståelse er at fullmektiger i dag får en generell feilmelding, for eksempel "invalid PIS request", etter at betalingen er blitt initiert.
Dette kan føre til at
- bankenes kunder blir påført belastning forbundet med at transaksjoner blir avvist så sent som på forfallsdato
- bankenes kunder risikerer at betalingen blir forsinket
- betalingsfrister oversittes, og det igangsettes unødvendig inndriving av krav
- betalingsforetakene bruker unødvendig tid på å finne ut av hva som har gått galt som følge av lite presise feilmeldinger
Når bankene på denne måten unnlater å sende informasjon til fullmektig, introduserer bankene en hindring, jf. delegert kommisjonsforordning (EU) 2018/389, artikkel 32.
Finanstilsynet ber bankene innrette seg etter innholdet i dette brevet.
Adgang til å kansellere betalingsoppdrag
Det følger av finansavtaleloven § 4-7 tredje ledd at betaleren ikke kan kansellere et betalingsoppdrag etter at en betalingsfullmektig er gitt samtykke til at betalingstransaksjonen kan iverksettes.
Etter at betalingsoppdraget er mottatt av betalerens betalingstjenestetilbyder, det vil si kontotilbyder og betalingsfullmektig, kan et betalingsoppdrag ikke kanselleres av betaleren, med mindre noe annet følger av § 4-7 annet til femte ledd, ref. § 4-7 første ledd. Når et betalingsoppdrag ikke skal gjennomføres umiddelbart, kan kunden kansellere betalingsoppdraget senest innen utgangen av virkedagen før den avtalte belastningsdagen, jf. § 4-7 fjerde ledd.
Etter utløpet av disse fristene kan betalingsoppdraget kanselleres bare dersom det er avtalt mellom kunden og den berørte betalingstjenesteyteren. For betalingsoppdrag som nevnt i annet og tredje ledd, kreves det i tillegg samtykke fra betalingsmottakeren
Betalingstjenestetilbydere bygger sine tjenester på informasjon knyttet til betalinger. Endringer i betalingsinformasjonen som går utenom betalingstjenestetilbyderne vil kunne ødelegge grunnlaget for å kunne yte tjenestene. Det følger av dette at betalingsfullmektig må informeres om at brukeren har kansellert betalingsoppdraget straks dette er kjent for kontotilbyder. Finanstilsynet viser i denne forbindelse til forskrift om systemer for betalingstjenester § 8, som gir uttrykk for at kontotilbyder skal gjøre all relevant informasjon om gjennomføringen av betalingstransaksjonen tilgjengelig for betalingsfullmektigen.
Finanstilsynets forståelse er at finansavtaleloven § 4-7 gir brukeren mulighet til il å kansellere betalinger på visse vilkår. Det betyr at brukeren ikke kan endre betalingsdetaljene, eksempelvis beløp, forfallsdato, kreditkontonummer.
Finanstilsynet mener det følger av plikten til å sikre at bestemmelsene i finansavtaleloven følges, at kontotilbyder ikke kan tilby brukeren funksjonalitet som gjør brukeren i stand til å slette, eller endre betalinger som er initiert via betalingsfullmektig, ut over retten til å slette som går frem av bestemmelsene som er vist til ovenfor.
Den vises også til PSD 2 artikkel 80 og uttalelse fra den europeiske banktilsynsmyndigheten (EBA) (se Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC).
Finanstilsynet legger til grunn at kontotilbyderne snarest, og senest innen 1. september 2023, innretter seg etter dette.
Meldinger fra kontotilbydere til brukere av fullmektiger
Når en kontotilbyder åpner for tilgang for fullmektiger til betalingstjenestebrukerens (brukerens) kontoer, har ikke kontotilbyder anledning til å informere brukeren, via melding eller på annen måte, om fullmektigens tilgang til brukerens kontoer. Et eksempel på en slik melding er: "Du gir nå fullmektig xx tilgang til dine kontoer i 90 dager."
Ved slik melding uttaler kontotilbyder seg om forhold som reguleres i avtalen mellom brukeren og fullmektigen. Kontotilbyder er ikke part i denne avtalen, og har heller ikke rett til å få innsyn i denne. Finanstilsynet mener kontotilbydere ved slike tilfeller kommenterer avtaleforhold kontotilbyder ikke kjenner innholdet i.
Finanstilsynet viser i denne forbindelse til EBA Opinion on obstacles under Art. 32(3) RTS on SCA & CSC: The EBA clarified in paragraph 13 of the EBA Opinion on the implementation of the RTS (EBA-Op-2018-04)14 and the final report on the EBA Guidelines on the exemption from the contingency mechanism under Article 33(6) RTS (EBA/GL/2018/07)15 that it is the obligation of the PISP/AISP to ensure that it has obtained the PSU’s explicit consent in accordance with Article 66(2) of PSD2 and, respectively, Article 67(2)(a) of PSD2, and that the ASPSP should not check the consent given by the PSU to the PISP/AISP. This was also confirmed by the European Commission in its response to Q&A 4309.
I avtalen mellom brukeren og fullmektigen kan det ligge vilkår som kontotilbyder ikke kjenner til, og som gjør at kontotilbyders melding blir direkte feil. For eksempel kan avtalen inneholde klausuler om at fullmektigen skal ha tilgang i en periode som er kortere enn 90 dager, eller at fullmektigens tilgang til brukerens konto og opplysninger på annen måte skal være avgrenset. Kontotilbyders melding kan derfor skape usikkerhet hos brukeren.
Fullmektigen har en selvstendig plikt til å holde seg innenfor avtalens rammer, jf. forskrift om systemer for betalingstjenester § 6, bokstav f. Der framgår det at betalingsfullmektig ikke skal ha tilgang til, benytte eller lagre opplysninger for andre formål enn nødvendig for utføring av betalingsfullmakttjenester i samsvar med betalerens uttrykkelige anmodning. Tilsvarende gjelder for opplysningsfullmektiger, jf. forskrift om systemer for betalingstjenester § 7, bokstav f.
Informasjon om utførte transaksjoner
Finanstilsynet registrerer at enkelte kontotilbydere gir mer informasjon til kunder om utførte transaksjoner i egne løsninger (nettbank, brettbank, mobilbank) enn det som gjøres tilgjengelig for fullmaktforetak (tredjeparter) gjennom PSD2 API-ene. Etter Finanstilsynets vurdering er dette et brudd på Delegert kommisjonsforordning 2018/389 artikkel 36:
"Data exchanges
- Account servicing payment service providers shall comply with each of the following requirements:
they shall provide account information service providers with the same information from designated payment accounts and associated payment transactions made available to the payment service user when directly requesting access to the account information, provided that this information does not include sensitive payment data;"
Nedenfor lister vi noen eksempler.
- I nettbanken står for eksempel «dagligvarer», «transport» eller lignende, uten at denne informasjonen deles via API-ene.
- I nettbanken står for eksempel "Lønn", mens informasjonen som er tilgjengelig for fullmektigen er "Fra NN", der NN er navnet på foretaket som har utbetalt lønn.
- I nettbanken står "Taxi 1 AS Janaflaten 3 Godvik". Informasjonen som er tilgjengelig for fullmektigen er "Postering".
Unntak fra sterk kundeautentisering
Den 5. april publiserte den europeiske banktilsynsmyndigheten (EBA) en rapport med forslag til endringer i reglene for sterk kundeautentisering under PSD2. Endringsforslaget inneholder et nytt, obligatorisk unntak fra kravet om sterk kundeautentisering.
Forslaget innebærer at kontotilbydere, under visse forutsetninger, ikke skal anvende sterk kundeautentisering når betalingstjenestebruker benytter kontoinformasjonstjenester. I tillegg økes tidsintervallet mellom hver gang kunden er gjenstand for sterk kundeautentisering fra 90 dager til 180 dager.
EBAs forslag til endringer må vedtas av EU-kommisjonen før reglene trer i kraft i EU. Det antas at reglene vil tas inn i EØS-avtalen og gjennomføres i norsk rett.
Rapport fra EBA:
[Red.anm.: Oppdatert 25.04.2022]
Manglende retur til tredjepartens nettsider
Finanstilsynet er blitt kjent med at det eksisterer implementeringer av PSD2-grensesnittet der kunden ikke returneres til tredjepartens sider, men til en "iframe" på den aktuelle kontotilbyders domene.
Denne fremgangsmåte vil gjøre at TPP-ens sider blir vist i en iframe i kontotilbyders domene, istedenfor at TPP-ens sider vises i TPP-ens domene. Fremgangsmåten som er benyttet er anerkjent som usikker, og åpner for "click-jacking" og "cross-site scripting"-angrep. En rekke TPP-er herunder banker, har satt sikkerhetsparametere på sine sider som hindrer at TPP-ens sider kan vises i iframes. Når brukeren "befinner" seg i kontotilbyders iframe, og TPP-ens sider ikke kan vises der, så stopper tredjepartens tjeneste opp.
Løsninger hvor TPP-ens sider blir vist i en iframe i kontotilbyders domene anses også å være i strid med EBAs uttalelse om hindringer.
(ii) after authentication with the ASPSP, the PSU is automatically redirected back to the AISP/PISP’s app, without for example the PSU having to manually reopen the TPP’s app, which would be an obstacle.
Finanstilsynet viser til delegert kommisjonsforordning (RTS) art artikkel 32 der det går frem at PSD2-grensesnittet skal ha samme ytelse og support som kontotilbyders eget kundegrensesnitt. Feil i PSD2-grensesnittet skal rettes med samme prioritet som feil i egne kundeløsninger.
Finanstilsynet ber om at forholdet rettes opp.
Mottakerinitierte betalinger
Finanstilsynet viser til EBAs svar på spørsmål 2018_4131 PSD2 der en tredjepartstilbyder ber om klargjøring av begrepet "Payee initiated transactions with irregular period or variable amount", og krav om sterk kundeautentisering i den forbindelse.
I svaret skriver EBA at "Payments that are based on a (standing) agreement between a customer and a merchant, according to which the customer authorises the merchant to initiate subsequent transactions in relation to the agreed delivery of goods or services can be considered as payee initiated transactions, provided that these payments are not dependent on a specific action of the payer to trigger the initiation of the payment by the payee".
Payee initiated transactions er altså omfattet av PSD2, og i svaret går EBA videre og behandler spørsmålet om sterk kundeautentisering i forbindelse med slike transaksjoner, og slår fast at kravet om sterk kundeautentisering ikke gjelder for payee initiated transactions.
Beskrivelsen av payee initiated transactions fra EBA som er gjengitt ovenfor er generell – den peker ikke på bestemte løsninger. Finanstilsynet legger til grunn at beskrivelsen omfatter avtalegiro.
Finanstilsynet viser til EBA Opinion (EBA-Op-2018-04) der det fremgår at "… a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs …".
Kontotilbydere som tilbyr avtalegiro, eller andre former for payee initiated transactions basert på stående avtaler, har dermed plikt til å gjøre tilgjengelig funksjoner i PSD2-grensesnittet som gjør det mulig for betalingsfullmektiger å tilby payee initiated transactions.
[Red.anm.: Tekst oppdatert 13. mai 2022]
Det går fram av EBAs svar i spørsmål 2018_4131 at det skal foreligge en avtale som gir betalingsmottaker en rett til å belaste kundens konto. Avtalen inneholder mandatet som kunden gir betalingsmottaker, som beløpsgrenser per transaksjon, perioden betalingen gjelder for, tjeneste(ne) / produkt(ene) som betalingen gjelder. Dersom avtalen er inngått elektronisk, skal kunden autentiseres ved hjelp av sterk kundeautentisering (SKA), jf.PSD2 artikkel 97(1)(c).
Kontotyper og betalinger
Skattetrekkskonto, lønnsutbetalinger og "sparekonto med betaling"
PSD2 gjelder for betalingskontoer ("payment accounts"). PSD2 definerer betalingskonto som "… en konto tilhørende én eller flere betalingstjenestebrukere og som benyttes til å gjennomføre betalingstransaksjoner". Definisjonen stiller ikke krav til formålet med betalingen eller til mengden/typen betalinger, kun at det er en konto som benyttes til å gjennomføre betalingstransaksjoner.
Det vises til uttalelse 13. juni 2018 fra Den europeiske banktilsynsmyndigheten (EBA) i Opinion on the implementation of the RTS on SCA and CSC (EBA-Op-2018-04) , avsnitt 29: "Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments."
Ifølge EBA har betalingsfullmektiger (PISPs – Payment Initiation Service Providers) rett til å initiere de samme transaksjonene som kontotilbyderne tilbyr egne brukere. Det er en forutsetning at betalingskontoen er tilgjengelig på nett, jf. PSD2 artikkel 66 nr. 1.
Særnorske betalingstyper er omfattet av betalinger som betalingsfullmektiger har rett til å initiere, jf. formuleringen "… payments set by national schemes". Eksempler kan være skatteinnbetalinger, som er regulert av særnorsk lovgivning, og betalinger som kommer fra e-fakturasystemer (ferdig formaterte betalinger).
Skattetrekkskonto
Skattebetalingsloven § 5-12 har bestemmelser om skattetrekkskonto som begrenser bruken av kontoen for å sikre skattetrekksmidlene. Finanstilsynet mener at skattebetalinger og kontoer som benyttes i denne forbindelse, likevel er omfattet av reglene i PSD2. Formålet til bestemmelsene i skattebetalingsloven er ikke ment å frata kontotypen dets egenskaper som betalingskonto, men å sikre skattetrekksmidlene.
Lønnsutbetalinger
Finanstilsynet erfarer at en rekke kontotilbydere tilbyr lønnsutbetalinger til sine bedriftskunder i nettbanken. Betalingstjenester som tilbys i nettbanken, tilfredsstiller kravet til tilgjengelighet på nett. Andre former for elektroniske løsninger kan også tilfredsstille kravet til tilgjengelighet på nett. Finanstilsynets oppfatning er at lønnsutbetalinger og kontoer som benyttes til dette, er omfattet av reglene i PSD2.
Sparekonto
Enkelte kontotyper kan tjene flere formål. Et eksempel er sparekonti som brukeren også kan utføre betalinger fra. For kontoer med flere formål, er det vanskelig å trekke opp generelle grenser for hva som anses som betalingskonto. Disse kontoene må foretakene vurdere individuelt. Det er kontoegenskapene, og ikke hva kontotilbyderen kaller kontoen, som avgjør om kontoen er en betalingskonto.
Betalers navn
Kontotilbyder skal gi betalingsfullmektig samme informasjon om initiering og gjennomføring av betalingstransaksjoner som kontotilbyder opplyser om eller gjør tilgjengelig for betaleren i egne kanaler (nettbank, brettbank, mobilbank, annet). Finanstilsynet viser til delegert kommisjonsforordning 2018/389 (RTS) artikkel 36(1)(b), som gjengir artikkel 66(4)(b) i PSD2, og til EBA sitt svar i spørsmål 2018_4081.
Finanstilsynet legger til grunn at betalers navn er tilgjengelig i nettbanken, og at dette gjelder for nettbanken til alle kontotilbydere.
På denne bakgrunn mener Finanstilsynet at kontotilbyder plikter å gi betalingsfullmektig opplysninger om betalers navn.
Så vidt Finanstilsynet erfarer, er det i Berlin Group Standard definert felt for betalers navn, og med dette legges det til rette for at betalers navn opplyses om.
Det er videre Finanstilsynets vurdering at betalers navn er viktig informasjon i betalingsfullmektigers arbeid med bekjempelse av svindel og hvitvasking.
Kredittkort
Finanstilsynet viser til en uttalelse fra EBA: Strong customer authentication and common and secure communication (incl. access)
“Credit card accounts which are accessible online and can be used to send and receive payment transactions to and from a third party, shall be made available to AISPs, PISPs and CBPIIs."
Videre viser Finanstilsynet til Payment Accounts Directive Artikkel 1(6) som sier at den gjelder for "… payment accounts through which consumers can at least place funds in it, withdraw cash from it, and execute and receive payment transactions to and from a third party".
Finanstilsynet anser at en rekke kredittkort har egenskapene som beskrives ovenfor.
Likebehandling
Betalinger gjennom tredjeparter (TPP) og betalinger gjennom bankenes egne kundekanaler skal likebehandles, jf. forskrift om systemer for betalingstjenester §8, 3. ledd. I 4. ledd fremgår at bankene ikke skal forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste. I 5. ledd fremgår det videre at kontotilbyderen umiddelbart etter mottak av betalingsordren, fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt, skal gjøre all relevant informasjon om initiering og gjennomføring av betalingstransaksjonen tilgjengelig for fullmektigen.
Dette innebærer blant annet at
- det ikke er anledning til å ha lavere beløpsgrenser for betalinger utført gjennom TPP enn for betalinger utført i bankenes egne kanaler
- informasjon som vises i nettbankene i forbindelse med betalingen, for eksempel betalerens navn, betalingsmottakerens navn og KID, må inngå i grensesnittene som stilles til rådighet for TPP-ene
- informasjon må framstå som like tilgjengelig (strukturert) som i nettbanken. Konteksten som informasjonen inngår i, må komme like klart fram, og presentasjonsformen (tekst, bilde, data) må være den samme
- alle typer betalinger som brukeren kan initiere i nettbanken, skal brukeren kunne initiere gjennom bruk av en TPP
- initieringen av betalinger ved bruk av en TPP skjer gjerne ved at brukeren godkjenner all nødvendig informasjon (kontonumre kredit og debet, dato og kid) knyttet til betalingen, uten at banken er inne i bildet. Betalingen sendes så fra TPP-en til banken for gjennomføring. Hovedregelen er da at det skal være kun én (1) autentisering av brukeren, jf. pkt. 26 i uttalelsen fra EBA om hindringer.
Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC - brukeren angir kontoer som brukeren ønsker tilgang til gjennom TPP-ens løsning. I denne forbindelse autentiserer banken brukeren. Finanstilsynet erfarer at brukeropplevelsen knyttet til overgangen mellom brukerautentiseringen og tredjepartens løsning i en del tilfeller ikke samsvarer med tilsvarende brukeropplevelse ved bruk av bankers egne løsninger. Brukeren må for eksempel selv aktivt "navigere" seg tilbake til tredjepartens løsning etter autentisering. Tilbakekoblingen er ikke alltid intuitiv for brukeren, noe som kan gjøre at brukeren "mister" forbindelsen til TPP-en, og må starte på nytt. TPP-ens løsning kan dermed framstå som mindre attraktiv for brukeren.
- Tilsvarende erfarer Finanstilsynet at brukeren, etter autentisering i forbindelse med en betaling, ikke automatisk tilbakeføres fra bankers løsning for autentisering til TPP-ens applikasjon. En slik automatisk tilbakeføring er et krav, jf. pkt. 16 (ii) i uttalelsen fra EBA om hindringer.
Tilgjengelighet og ytelse
Det følger av delegert kommisjonsforordning (EU) 2018/389 (RTS) artikkel 32 Forpliktelser med hensyn til et særskilt grensesnitt nr. 1. at kontotilbydere som har innført et særskilt grensesnitt skal sikre at dette grensesnittet til enhver tid har samme tilgjengelighet og ytelse, herunder support, som grensesnittene som stilles til rådighet for betalingstjenestebrukere ved direkte adgang til betalingskonti online, jf. krav som skal oppfylles i henhold til artikkel 30 og 31.
Forordningen innebærer et krav om likebehandling mellom kontotilbyderens egne grensesnitt og de særskilte grensesnittene når det gjelder brukerstøtte og feilretting. Dette betyr at bankene skal ha et apparat på plass som sikrer at feil og mangler i grensesnittet for tilgang til kontoer blir rettet med samme prioritet som om det var en feil i bankens egen nettbank, jf. RTS artikkel 32 nr. 1.
Videre skal bankene, i samarbeid med tredjeparter, aktivt bidra til at tredjeparters tilgang til kontoer blir testet, jf. RTS artikkel 33 nr. 6 (b). Etter Finanstilsynets vurdering innebærer dette at bankene bør oppsøke tredjeparter for i samarbeid med disse å sikre at tilgangen til kontoer fungerer tilfredsstillende.
Dersom banken har etablert særskilte grensesnitt skal statistikk over tilgjengelighet og ytelse for både særskilte grensesnitt og bankens ordinære brukergrensesnitt publiseres på bankens nettsted hvert kvartal, jf. RTS artikkel 32 nr. 4.
Bankene skal stille til rådighet testfasiliteter som samsvarer med produksjonsløsningene, jf. RTS artikkel 30 nr. 5.
Rapportering av problemer
Betalingstjenesteytere, skal omgående rapportere om problemer med særskilte grensesnitt (API-er), jf. artikkel 33 Beredskapstiltak for et særskilt grensesnitt nr. 3, i delegert kommisjonsforordning (EU) 2018/389 (RTS).
"3. Både kontotilbyderen og betalingstjenesteyterne omhandlet i artikkel 30 nr. 1 skal omgående rapportere om problemer med særskilte grensesnitt som beskrevet i nr. 1 til sine respektive nasjonale vedkommende myndigheter."
Problemene som skal rapporteres etter artikkel 33. nr. 3 er imidlertid ikke nødvendigvis å betrakte som avvik som faller inn under IKT-forskriftens § 9, som omhandler systemer i drift. Ordlyden i respektive bestemmelser indikerer at terskelen for å rapportere etter artikkel 33 er lavere enn terskelen for å rapportere hendelser etter IKT-forskriften, jf. forskriften § 9 tredje ledd:
"Operasjonelle hendelser eller sikkerhetshendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal uten ugrunnet opphold rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk."
Betalingstjenesteyter må fastsette rutiner som ivaretar pliktene som følger av regelverket, herunder rutiner for å håndtere problemer og hendelser relatert til problemer med grensesnitt (API) som tilbys tredjeparter.
Finanstilsynet ber om at slik rapportering, både fra kontotilbydere og ytere av betalingstjenestene betalingsfullmakt og kontoinformasjon, gjøres til hendelse@finanstilsynet.no og merkes med "Problemer med API-er".