Nya regler för betaltjänster (PSD 2)
Den 9 november 2017 presenterade regeringen lagrådsremissen avseende hur Sverige ska implementera det andra betaltjänstdirektivet (”PSD 2″)[1]. Lagrådsremissen utgör den andra lagstiftningsakten rörande PSD 2 och har föregåtts av betaltjänstutredningen från den 31 augusti 2016.
Implementering föreslås, precis som i betaltjänstutredningen, ske genom en uppdatering av nuvarande Lag (2010:751) om betaltjänster (”betaltjänstlagen”). Lagrådsremissen föreslår däremot till skillnad från betaltjänstutredningen att de nya reglerna ska träda i kraft den 1 maj istället för den 13 januari 2018. Lagrådsremiss innehåller utöver flera förtydliganden och justeringar av det förslag till lagtext som betaltjänstutredningen föreslog. Dessa förtydliganden och justeringar innebär dock, enligt FCG:s bedömning, inga stora förändringar i sak. Däremot innehåller skälen till regeringens förslag viktiga exempel och förtydliganden kring hur de aktör som omfattas av regelverket ska tolka och tillämpa det. Exempel på detta är t.ex. hur kontoförvaltande betaltjänstleverantörer ska hantera tredjepartsleverantörer och hur skyldigheterna att tillämpa stark kundautentisering ska tillämpas från det att den uppdaterade betaltjänstlagen träder i kraft till att RTS SCA[2] ska vara implementerad. RTS SCA som innehåller en majoritet av de tekniska kraven i PSD 2 har efter att ha försenats förlagts med en implementeringstid om 18 månader från det att RTS:en antas i EU.
Vidare behandlar lagrådsremissen en del av både befintliga och kommande undantag från tillståndsplikt enligt betaltjänstlagen. Av dessa kan det bl.a. noteras att uppräkningsverksamhet föreslås utgöra tillståndspliktig betaltjänstverksamhet och att möjligheterna att använda en handelskommissionär vid betalningstransaktioner i syfte att kringgå tillståndsplikt sannolikt kommer att begränsas. Nedan följer en sammanfattning avseende de nya kraven i PSD 2 vilka behandlas i lagrådsremissen.
De huvudsakliga nyheterna och förändringarna utgörs av att:
- Betalningsinitieringstjänster, kontoinformationstjänster och uppräkningsverksamhet utgör tillståndspliktiga betaltjänster
- Betaltjänstanvändare ska ha rätt att använda betalningsinitieringstjänster och kontoinformationstjänster samt att kontoförvaltande betaltjänstleverantörer (i regel banker) inte får hindra sådant användande
- Betaltjänstleverantörer ska tillämpa stark kundautentisering vid identifiering av kund
- Självriskbeloppet vid obehöriga korttransaktioner sänks från 1200 SEK till 400 SEK
- Betaltjänstleverantörer som för att kunna bedriva sin verksamhet behöver betalkonton ska erhålla betalkontont hos banker på objektiva och icke-diskriminerande grunder och vid eventuella avslag ska Finansinspektionen underrättas
- Betaltjänstleverantörer omfattas regler rörande hantering av operativa risker och säkerhetsrisker. Det innebär bl.a. krav på att:
- Dokumentera processer
- Riskanalysera processer och identifiera samt dokumentera risker
- Ta fram kontinuitets- och beredskapsplaner
- Betaltjänstleverantörer ska extern rapportera incidenter till FI och under vissa förutsättningar även till sina betaltjänstanvändare
Om du vill veta mer om PSD 2 eller önskar hjälp med att analysera vilken påverkan PSD 2 får på din verksamhet, kontakta då FCG:s erbjudandeansvarig Daniel Hemselius!
[1] Payment Services Directive
[2] Regulatory Technical Standards on strong customer authentication and secure communication under PSD2.