I den forgangne uge præsenterede EU Kommissionen den længe ventede og med spænding imødesete reguleringspakke på betalingsområdet indeholdende udkastene til et revideret betalingstjenestedirektiv (PSD3) og en ny betalingstjenesteforordning (PSR) samt udkastet til en helt ny forordning om Open Finance (Financial Data Access - FiDA), som tilsammen skal opdatere og supplere den efterhånden ganske velkendte PSD2 og Open Banking regulering i EU.

Alt sammen som led i Kommissionens ambitiøse strategier for digital finans og for detailbetalinger, som virkelig er blevet markante fokusområder og prestigeprojekter i EU.

De enkelte elementer i reguleringspakken og således de forskellige temaer og emner i de pågældende direktiv- og forordningsforslag vil naturligvis blive gennemgået nærmere i kommende klummer, når vi nærmer os vedtagelsen af disse retsakter i EU-systemet og dermed kender de færdigforhandlede og endelige versioner heraf (som bekendt undergår sådanne udkast til vigtige og omfattende retsakter altid væsentlige ændringer undervejs i den ofte tunge EU-lovgivningsproces).

Så her i første omgang præsenteres ’blot’ hovedelementerne i EU Kommissionens reguleringspakke og i de omhandlede reguleringsforslag, og så skal vi nok vende tilbage senere med udvalgte lovtekniske gennemgange, egne kommentarer og refleksioner, uddybning af forretningsmæssige muligheder og udviklingspotentialer mv.

Fra PSD2 til PSD3

Den kommende overgang fra PSD2 til PSD3 indebærer, at man med henblik på at sikre endnu mere harmoniseret lovgivning på betalingsområdet i EU – især som følge af hele digitaliseringen af betalingsområdet og den massive udbredelse i praksis af elektroniske betalinger – flytter en del af betalingstjenestereguleringen fra direktiv til forordning (PSR).

EU-forordninger i modsætning til EU-direktiver skal som bekendt ikke implementeres i national ret og skal dermed ikke omsættes eller omskrives til forskelligartet national lovgivning, idet reguleringen i en forordning er gældende direkte i alle EU-lande som den er og forefindes.

Så fremover vil betalingsområdet være parallelt reguleret i et direktiv (PSD3) og i en samtidig forordning (PSR), ligesom vi i forvejen kender det fra eksempelvis bankområdet (CRD og CRR) og investeringsområdet (MiFID og MiFIR).

PSD3 vil overordnet set indeholde regelsættene vedrørende betalingsinstitutternes tilladelse og tilsyn, og PSR vil overordnet set indeholde de resterende regelsæt vedrørende selve betalingstjenesterne, tredjepartstjenester (Open Banking), forbrugerbeskyttelse mv.

Samtidig flyttes reguleringen af e-pengeinstitutterne og e-penge fra hidtil eget direktiv (EMD) til netop PSD3/PSR for at holde al betalingsreguleringen i bred forstand samlet, hvilket vi faktisk i forvejen kender til herhjemme, idet vores egen lov om betalinger (betalingsloven) netop implementerer både PSD2 og EMD i én sammenhængende lovgivning.

Fokus på betalingsmisbrug og sikkerhed

Indholdsmæssigt nyt i PSD3/PSR i forhold til PSD2 er især følgende:

Regelsættet om betalingsmisbrug og hæftelse/ansvar forbedres med henblik på at bekæmpe nye former for fraud – især phishing og spoofing – som i grunden udvisker den ellers velkendte sondring i betalingsreguleringen mellem uautoriserede betalinger og autoriserede betalinger (brugeren har regulatorisk afgivet sit samtykke til betalingen og har dermed i princippet godkendt denne, men er dog blevet manipuleret til at afgive sine personlige sikkerhedsforanstaltninger / legitimationsoplysninger til brug herfor).

I sådanne misbrugssituationer vil brugeren få bedre mulighed for at forlange fuld tilbagebetaling fra banken/betalingsudbyderen under visse særlige betingelser (fx mht. karakteren af spoofing, ikke gentagelsestilfælde, underretning til banken, indgivelse af politianmeldelse mv.).

Der indføres også en ny ordning og et nyt regelsæt om IBAN/navn-verifikation, som skal styrke sikkerheden i forbindelse med betalinger, og som indebærer, at betalingsmodtagerens bank/betalingsudbyder efter anmodning fra betalerens bank/betalingsudbyder skal verificere forud for betalingens gennemførelse, at betalingsmodtagerens IBAN-kontonummer og betalingsmodtagerens navn/identitet matcher hinanden.

Denne nye ordning og verifikationsmulighed skal stilles vederlagsfrit til rådighed for forbrugere, og disse vil også få mulighed for at forlange fuld tilbagebetaling fra banken/betalingsudbyderen under visse særlige betingelser, hvis verifikationen fejler og således ikke opdager et mismatch mellem IBAN-kontonummeret og navnet/identiteten.

Herudover forbedres regelsættet om stærk kundeautentifikation / stærk to-faktor-godkendelse (SCA), ligeledes for at styrke sikkerheden i forbindelse med elektroniske betalinger (eksempelvis ved fjernbetalinger mht. eksakt match af betalingsbeløb og betalingsmodtager, ved brug af digitale wallets med virtuelle betalingskort og ved brug af andre enheder/teknologier til SCA end fx smartphones).

Samtidig simplificeres SCA ved brug af kontooplysningstjenester, således at banken alene er ansvarlig for SCA ved den første adgang til kontooplysningerne (medmindre der er mistanke om fraud), hvorefter tredjepartstjenesten (AISP) er ansvarlig for SCA ved de efterfølgende adgange til kontooplysningerne.

Mere forbrugerbeskyttelse og transparens

Regelsættet om forbrugerbeskyttelse, især hvad angår oplysningskrav, udvides, eksempelvis med hensyn til flere oplysninger og mere transparens forbundet med betalinger til tredjelande, indholdet af kontoudtog og brugen af hæveautomater (ATM).

Forbrugerbeskyttelsen ved beløbsreservationer på betalingskort (som det i praksis kendes fra brugen af betalingskort ved fx brændstoftankning, hotelbooking, parkering og biludlejning) øges med hensyn til beløbsstørrelsen forbundet med reservationen og frigivelsen af restbeløbet forbundet med reservationen (der indføres krav om proportionalitet mv.).

Desuden bliver der en vis afgrænset mulighed for at hæve kontanter i butikker, uden at hævningen er afhængig af køb i butikken (cashback), og uden at butikken af den grund regulatorisk bliver betragtet som en betalingsudbyder, der skal underlægges tilladelse og tilsyn (dette bliver dog ikke en ny form for kontantpligt for butikken, men blot en frivillig mulighed for butikken).

Også visse operatører af kontanthæveautomater (ATM) slipper fremover for at blive underlagt tilladelse og tilsyn (så længe de ikke servicerer betalingskonti).

Styrkelse af Open Banking

Det banebrydende regelsæt om Open Banking ændres og justeres hist og pist for netop at styrke Open Banking i praksis.

Det omhandler særligt kvaliteten af bankernes tekniske API’er til brug for tredjeparternes adgang til brugernes betalingsoplysninger og betalingskonti, og det handler samtidig om at fjerne forskellige hindringer for Open Banking betalingsløsningerne og om at sikre brugernes overblik og kontrol over afgivne samtykker til data- og kontoadgangen mv.

Således opstilles nye væsentlige krav til bankernes dedikerede Open Banking API’er og opstilles samtidig en oversigt over ikke-tilladte tekniske hindringer. Og fremover vil bankerne som udgangspunkt ikke længere skulle operere permanent med to Open Banking API’er, nemlig det dedikerede API og det såkaldte fall-back API.

Der vil dog stadig gælde en form for beredskabsmekanisme under særlige og midlertidige omstændigheder for at sikre tredjeparternes nødvendige forretningskontinuitet i tilfælde af, at en banks dedikerede Open Banking API er nede og således ikke er funktionsdygtigt.

Der bliver derfor en særskilt (og måske kontroversiel) mulighed for tredjeparten for at anmode det nationale tilsyn om tilladelse til (tilsyneladende som en form for passiv godkendelsesordning i forhold til tilsynet) midlertidigt at tilgå eksempelvis bankens kundevendte API (dvs. netbank eller mobilbank), således at tredjepartstjenesten ikke lider skade i nedeperioden som følge af det dedikerede API’s manglende funktionsdygtighed (og tilsynet kan også fastsætte en frist for bankens genopretning af det dedikerede API med mulighed for bøder ved bankens eventuelle manglende overholdelse af fristen).

Det er givetvis noget, som bankerne ikke ønsker at få indført og formentlig vil forsøge at få begrænset omfanget af, men omvendt vil bankerne slippe for at udvikle og vedligeholde og få tilsynsgodkendt det allerede forhadte fall-back API.

Som noget nyt skal bankerne udvikle og over for brugerne stille såkaldte Permission Dashboards til rådighed, således at brugerne af Open Banking betalingsløsningerne nemt kan se og styre, hvilke samtykker til adgang de har givet og til hvilke tredjepartstjenester – og også nemt kan tilbagekalde sådanne samtykker via disse dashboards.

Mon ikke bankerne er enige i, at det giver god mening med sådanne Permission Dashboards til brugerne som led i eller med tilknytning til bankernes Open Banking API’er.

Adgang til betalingsinfrastrukturen

Særligt nyskabende er, at betalingsudbydere, der ikke er banker, dvs. betalingsinstitutter mv., fremover vil få regulatorisk mulighed for at få direkte adgang til og selv deltage i alle betalingssystemer i EU, dvs. til den bagvedliggende betalingsinfrastruktur uden at være afhængig af en indirekte adgang via en bank.

Alene bankerne har således hidtil haft en sådan direkte og attraktiv adgang til betalingsinfrastrukturen (til centralbankkonti, til clearingsystemer mv.), hvormed betalingsinstitutterne/betalingsudbyderne løbende har været afhængige af netop bankerne for overhovedet at kunne levere deres egne betalingstjenester til brugerne.

Muligheden for at få direkte adgang til og selv deltage i betalingssystemerne bliver helt naturligt betinget af betalingsinstitutternes/betalingsudbydernes overholdelse af diverse adgangskrav og opfyldelsen af diverse forudsætninger med hensyn til risiko, sikkerhed, foranstaltninger mv.

Og i sidste ende er det stadig op til den enkelte centralbank mv. at beslutte i praksis, om der skal gives direkte adgang til et betalingsinstitut (nu bliver det blot ikke selve reguleringen, der bliver en barriere eller hindring herfor).

Regulatorisk løses ovenstående i øvrigt ganske elegant ved, at PSD3/PSR afslutningsvis medtager en ændring i det såkaldte finalitetsdirektiv (SFD).

Retten til en bankkonto

Samtidig skærpes det særlige (og kontroversielle) regelsæt om betalingsinstitutternes lovmæssige adgang til bankernes betalingskontotjenester (ikke at forveksle med Open Banking adgang), således at betalingsinstitutterne fremover ligefrem sikres en egentlig ret til en bankkonto i form af en betalingskonto i en bank.

Hvis et betalingsinstitut – der i forvejen er underlagt tilladelse og tilsyn ligesom bankerne og også er underlagt hvidvaskforanstaltninger ligesom bankerne – ikke har en bankkonto, dvs. hvis banken kan nægte betalingsinstituttet en bankkonto i form af en betalingskonto, kan betalingsinstituttet alt andet lige ikke beskytte (safeguarde) brugernes midler og behørigt adskille disse brugermidler fra egne midler, hvorved betalingsinstituttet allerede af den grund ikke kan og ikke må levere sine egne betalingstjenester til brugerne og som led heri tage imod brugernes midler.

Faktisk kan et betalingsinstitut slet ikke opnå en licens fra tilsynet, hvis betalingsinstituttet ikke har en konto i en bank.

Retten til en bankkonto for betalingsinstitutterne er således med til at sikre konkurrencen på betalingsområdet og udviklingen af innovative betalingsløsninger og dermed med til at sikre, at det ikke kun er bankerne, der i praksis opererer på betalingsmarkedet uden virksom konkurrence fra de nye betalingsfintechs mv.

Kommissionen taler på denne vis selv om konkurrencemæssig og regulatorisk level playing field mellem bankerne og de andre betalingsudbydere qua PSD3/PSR.

Ovenstående viser samlet set – som også forhåndsvarslet af Kommissionen – at PSD3/PSR nok ikke bliver helt samme regulatoriske revolution på betalingsområdet, som PSD2 alt andet lige var udtryk for. Det synes således med PSD3/PSR mere nærliggende at tale om en regulatorisk evolution baseret på de hidtidige erfaringer med PSD2.

Fra Open Banking til Open Finance

Som bekendt introducerede PSD2 de nye tredjepartstjenester (TPP) i form af kontooplysningstjenester (AISP) og betalingsinitieringstjenester (PISP) bedre kendt som Open Banking, hvorved sådanne tredjeparter blev sikret åben og fri adgang til brugernes betalingsoplysninger og betalingskonti i bankerne til brug for nye, innovative betalingsløsninger i form af eksempelvis multinetbanker, Personal Finance Management (PFM) apps, konto-til-konto-betalinger, Embedded Finance og lignende.

Alt sammen for at sikre udvikling, innovation og konkurrence på hele betalingsområdet og for den finansielle sektor i bred forstand, herunder for fintechs.

Som det mest nyskabende i Kommissionens reguleringspakke bredes dette med den nye Open Finance forordning (FiDA) nu ud til at dække andre finansielle delområder/konti/data og således ikke kun som hidtil bankbetalinger/betalingskonti, idet adgang til eksempelvis konti/data for opsparinger, investeringer, kreditter, pensioner og forsikringer fremover også omfattes.

Den bredere Open Finance forordning (FiDA) bliver sin egen parallelregulering til PSD3/PSR og dermed til den snævrere Open Banking regulering, idet et politisk og regulatorisk kompromis i Kommissionens reguleringsforslag er, at den helt frie og åbne adgang for tredjeparterne ind i bankerne til brugernes betalingsoplysninger og betalingskonti ikke skal være lige så fri på de andre finansielle områder og for de andre finansielle konti/data.

Her skal bankerne og de øvrige finansielle virksomheder i et vist omfang kunne kræve kompenserende betaling og forudsætte et aftalegrundlag mellem parterne for at lukke tredjeparterne ind.

FISP som nye tredjepartstjenester

Særligt interessant og nyskabende i FiDA er følgende:

FiDA introducerer nye tredjepartstjenester (TPP) i form af finansoplysningstjenester (Financial Information Service Providers - FISP), der således regulatorisk modsvarer kontooplysningstjenesterne (AISP) i PSD2/PSD3/PSR.

Idet FiDA netop vedrører finansielle data og adgangen hertil, introduceres der (desværre) ikke i FiDA – i modsætning til PSD2/PSD3/PSR – transaktionsinitierende / produkt- eller tjenesteinitierende tredjepartstjenester, dvs. der bliver ikke (i denne omgang) tale om en form for PISP inden for Open Finance.

Med andre ord: JA til åben adgang til data og oplysninger om finansielle transaktioner/produkter/tjenester – men (foreløbigt) NEJ til åben adgang til initiering og iværksættelse af sådanne finansielle transaktioner/produkter/tjenester.

Så fremover bliver der altså samlet set i den finansielle regulering tale om følgende tredjepartstjenester (TPP), som især henvender sig til de mange nye og innovative betalingsfintechs: AISP (Open Banking), PISP (Open Banking), FISP (Open Finance).

FISP bliver naturligvis ligesom AISP underlagt særskilt tilladelse og tilsyn, idet i forvejen regulerede finansielle virksomheder dog også kan optræde som FISP i forhold til andre finansielle virksomheder under deres eksisterende finansielle tilladelse (ligesom banker eksempelvis kan optræde som AISP i forhold til andre banker under banklicensen).

Med andre ord henvender FISP-tilladelsen ligesom AISP-tilladelsen sig især til de nævnte nye fintechs på området. Og en AISP vil samtidig kunne fungere som en FISP, så længe den iagttager den supplerende Open Finance regulering.

Forskellige finansielle data

Ved finansielle oplysninger/data forstås både transmissionsdata (oplysninger transmitteret af brugerne selv, både personlige og ikke-personlige data) og transaktionsdata (oplysninger hidrørende fra brugernes interaktioner med og brug af de finansielle virksomheder og disses finansielle produkter og tjenester).

De specifikke typer af finansielle data/konti omfatter som nævnt kredit, opsparing, investering, pension og forsikring, dog ikke livsforsikring.

Data/oplysninger eksempelvis indhentet til brug for egnethedsvurderinger og hensigtsmæssighedsvurderinger på investeringsområdet og til brug for kreditværdighedsvurderinger af virksomheder på kreditområdet/finansieringsområdet omfattes også.

Omvendt omfattes data/oplysninger forbundet med kreditværdighedsvurderinger af forbrugere ikke, ligesom data/oplysninger forbundet med forsikring inden for liv, sygdom, sundhed heller ikke omfattes. Open Finance må således ikke risikere at føre til finansiel eksklusion af visse forbrugersegmenter mv.

Open Finance aftale-schemes

Adgangen til disse finansielle data/konti mv. bliver vederlagsfri for selve brugerne, hvorimod de nye tredjeparter (FISP) som nævnt ikke får fri adgang hertil under FiDA på Open Finance området på samme måde som de velkendte tredjeparter AISP har fri adgang under PSD2/PSD3/PSR på Open Banking området.

De finansielle virksomheder, som skal åbne op for adgangen via de til formålet udviklede API’er, får således (omsider) mulighed for en rimelig kompensationsbetaling og dermed en vis omkostningsdækning som led i de Financial Data Sharing Schemes, som FiDA introducerer på Open Finance området, og som således nærmere skal aftaleregulere vilkårene og betingelserne i forholdet mellem de finansielle virksomheder og tredjepartstjenesterne/FISP.

Med andre ord skal både de finansielle virksomheder og tredjepartstjenesterne være medlemmer af de pågældende nye Financial Data Sharing Schemes, hvilke således også vil rumme de nærmere standarder for selve dataadgangen, API’erne mv., som schemes-medlemmerne skal udvikle og implementere.

Den nævnte kompensationsbetaling skal dermed ikke betragtes som vederlagsbetaling for selve data/oplysningerne som sådan men netop som kompensation for / dækning af omkostningerne forbundet med udviklingen og vedligeholdelsen af den tekniske infrastruktur mv. forbundet med Open Finance.

Det er helt sikkert noget, som bankerne ønsker at få overført til og formentlig vil forsøge at få overført til PSD3/PSR tilsvarende, men som nævnt lægger PSD3/PSR (indtil videre) op til, at Open Banking fortsat skal være vedlagsfrit og aftalefrit for både brugerne og tredjepartstjenesterne, dvs. uden brug af de pågældende aftale-schemes.

I øvrigt skal bankerne og de øvrige finansielle virksomheder også under FiDA udvikle og over for brugerne stille til rådighed de ovennævnte Permission Dashboards. Så i det mindste går dette igen i både reguleringen af Open Banking og Open Finance.

Opgør med dansk særregulering

Afslutningsvis skal nævnes, nærmest opfordres til, at nu hvor Open Banking og Open Finance totalharmoniseres i PSR og FiDA, dvs. i de ovennævnte nye forordninger, som ikke længere skal implementeres i national ret / i dansk lovgivning, at vi herhjemme heller ikke længere bør have national overimplementering / dansk særregulering på området, hvorved sigtes til det konkurrenceforvridende og innovationshæmmende danske særforbud (tidligere totalforbud, nu delvist forbud) mod brugen af betalingsoplysninger til kommercielle formål.

Dette danske særforbud bør ikke opretholdes og bør under alle omstændigheder ikke udvides til alle finansielle oplysninger. Tværtimod må tiden nu være moden til, at særforbuddet helt ophæves, således at den nødvendige databeskyttelse og den tilstrækkelige forbrugerbeskyttelse på området anses for behørigt sikret ved netop PSD3/PSR og FiDA – hvortil naturligvis kommer GDPR, der som bekendt også er kommet til siden PSD2, og som i øvrigt også er tænkt ind i både PSD3/PSR og FiDA i et fint regulatorisk samspil.

Klummer: Camphausen’s Column

Twitter: www.twitter.com/m_camphausen

Email: mca@camphausen.dk