I den lange række af omfattende finansielle lovpakker fra EU kendetegnet ved de knap så fængende akronymer – CRD IV, MiFID II, BRRD, MAD, EMIR, AML etc. – er både det strategiske og det regulatoriske fokus i den finansielle sektor hastigt nået til det helt nye og allerede kontroversielle EU-direktiv for betalingstjenester / payment services: PSD2.

Direktivet, som skal være implementeret i national ret i januar 2018 – herhjemme ved den største ændring af betalingstjenesteloven siden lovens tilblivelse for ca. 10 år siden – udgør hele den vigtige regulatoriske ramme for bankernes og andre betalingsinstitutters udbud af betalingstjenester i form af betalingskonti og betalingskort, betalingsoverførsler og pengeoverførsler samt andre kreditoverførsler og betalingstransaktioner.

Formålet med PSD2 er at styrke og modernisere hele denne regulatoriske ramme på det eksplosivt voksende betalingsområde og bl.a. tilpasse reguleringen til den nye teknologiske virkelighed med de mange forskellige digitale betalingstjenester og de mange nye elektroniske betalingsløsninger. Men formålet går videre end blot den regulatoriske tilpasning, idet hensigten med PSD2 samtidig er at fremme innovation og konkurrence på hele betalingsområdet.

Et væsentligt led i denne forbindelse er at åbne op for bankernes og andre betalingsinstitutters eftertragtede betalingskonti over for de såkaldte tredjepartsudbydere, TPP’ere, mere eller mindre på samme måde som teleselskaberne tidligere blev tvunget til at åbne op for den eftertragtede infrastruktur for nye teleudbydere – fra frigivelse af det rå kobbernet til frigivelse af de attraktive betalingskonti.

Adgang til bankkonti og kontooplysninger

Og heri består således det kontroversielle, idet PSD2 ligefrem tvinger bankerne til at give TPP’erne uhindret adgang til bankernes betalingskonti og de tilknyttede kontooplysninger, således at TPP’erne kan udvikle og tilbyde nye innovative finansielle tjenester oven på disse og baseret på disse.

PSD2 sondrer i denne sammenhæng mellem på den ene side de såkaldte betalingsinitieringstjenester og tredjepartsudbyderne heraf, PISP, og på den anden side de såkaldte kontooplysningstjenester og tredjepartsudbyderne heraf, AISP. Både disse nye former for betalingstjenester og disse nye udbydere omfattes således fremover af betalingstjenestereguleringen og altså fra 2018 af vores hjemlige betalingstjenestelov.

Ved en betalingsinitieringstjeneste i direktivets forstand forstås en onlinetjeneste til initiering af en betalingsordre, dvs. gennemførsel af en betalingstransaktion (indbetaling, overførsel, hævning) på anmodning af betaleren, dvs. kunden, med hensyn til en betalingskonto hos en anden betalingstjenesteudbyder, dvs. typisk banken.

Disse betalingsinitieringstjenester har især udviklet sig inden for internethandel og internetbetalinger og spiller således en helt ny rolle ved at etablere en softwarebro direkte mellem den forretningsdrivendes internetside/webshop og betalerens/kundens netbank hos den kontoførende bank med henblik på netop at gennemføre en internetbetaling på grundlag af en kreditoverførsel (tænk på fx Trustly i Sverige og Sofort i Tyskland). Tjenesterne udgør en alternativ og ofte billigere betalingsløsning for både de forretningsdrivende og kunderne og giver kunderne mulighed for at foretage internetkøb helt uden brug af et betalingskort/kreditkort.

Ved en kontooplysningstjeneste i direktivets forstand forstås en onlinetjeneste, som leverer konsoliderede oplysninger om en eller flere betalingskonti, som betaleren, dvs. kunden, har hos enten en anden betalingstjenesteudbyder, dvs. typisk banken, eller hos flere end én betalingstjenesteudbyder, dvs. typisk flere banker.

Disse kontooplysningstjenester indsamler, kategoriserer og sammenstiller således betalingsoplysningerne knyttet til betalerens/kundens forskellige betalingskonti, som føres hos en eller flere banker, og som er tilgængelige via netbank eller lignende online platforme hos banken. Derved får kunden mulighed for at få et hurtigt og nyttigt overblik over sin finansielle sitauation på et hvilket som helst tidspunkt og mulighed for at analysere sine forbrugsmønstre og planlægge sine finansielle behov på en brugervenlig måde (tænk på fx Spiir i Danmark og Mint i USA).

Reglerne om tredjepartsadgang

Både hvad angår udbyderne af betalingsinitieringstjenesterne, PISP’erne, og af kontooplysningstjenesterne, AISP’erne, sikrer PSD2 den nødvendige adgang til de omhandlede betalingskonti og kontooplysninger ved at foreskrive, at kunden har ret til at gøre brug af disse udbyderes betalingsinitierings- og kontooplysningstjenester, så længe betalingskontoen er tilgængelig online.

Den kontoførende bank kan således ikke kræve, at kunden skal indhente et samtykke hertil fra banken, ligesom banken ikke kan kræve, at der foreligger et aftaleforhold mellem banken og den pågældende PISP eller AISP. Omvendt skal PISP’en og AISP’en naturligvis have kundens udtrykkelige samtykke til at gennemføre selve betalingen eller samle kontooplysningerne.

Idet PISP’en eller AISP’en jo ikke er et gængs betalingsinstitut i reguleringens forstand, må PISP’en eller AISP’en på intet tidspunkt komme i besiddelse af betalerens/kundens midler i forbindelse med leveringen af betalingsinitieringstjenesten eller kontooplysningstjenesten. Omvendt må en bank eller et andet gængs betalingsinstitut selv levere betalingsinitieringstjenester eller kontooplysningstjenester til kunderne.

PISP’en eller AISP’en må heller ikke tilgå, anvende eller gemme kundens oplysninger med andre formål end leveringen af betalingsinitieringstjenesten eller kontooplysningstjenesten, dvs. der gives ikke fuld adgang til betalingskontoen og til samtlige kontooplysninger, kun til det der er nødvendigt for at levere tjenesten.

Og PISP’en og AISP’en skal naturligvis sikre, at kundens personlige og fortrolige sikkerhedsoplysninger (koder mv.) ikke gøres tilgængelige for andre. Men omvendt skal de kontoførende banker faktisk tillade, at PISP’erne og AISP’erne anvender de samme procedurer for sikker kundeautentifikation (fx NemID), som bankerne har gjort tilgængelige for kunderne.

En fælles og åben grænseflade

Den adgang til betalingskonti og til betalingskontooplysninger, som de kontoførende banker i medfør af PSD2 skal stille til rådighed for PISP’erne og AISP’erne i forbindelse med betalingsinitieringstjenesterne og kontooplysningstjenesterne, sker teknisk set via såkaldte API’er, dvs. fælles og sikre åbne grænseflader/interfaces, som bankerne stiller til rådighed for PISP’erne og AISP’erne, og som PISP’erne og AISP’erne således kan koble sig på.

Og heri ligger velsagtens den største regulatoriske revolution, nemlig at bankerne ikke blot tvinges til at give TPP’erne uhindret adgang til de værdifulde betalingskonti og tilknyttede kontooplysninger, men ligefrem tvinges til at udvikle og stille til rådighed sådanne fælles og åbne API’er, som TPP’erne – der som oftest vil være innovative fintech-startups – kan bygge deres nye finansielle løsninger og platforme oven på.

Derved vil bankerne i grunden kunne betragtes som tekniske underleverandører til TPP’erne på betalingsområdet, dvs. reduceret til bagvedliggende infrastruktur uden den direkte kundekontakt, medmindre bankerne strategisk og forretningsmæssigt formår at omstille sig og tilpasse sig, eksempelvis ved at indgå i samarbejder med TPP’erne eller selv udbyde de samme tjenester som TPP’erne eller udbyde tilknyttede tjenester.

De nærmere regulatoriske krav til og rammer for API’erne, herunder standarderne for sikker kommunikation og autentifikation, er i øvrigt ikke vedtaget endnu og er således overladt til EBA, den europæiske banktilsynsmyndighed, at udarbejde. Hele den finansielle sektor venter selvsagt med spænding på EBA’s tekniske standarder, for først når man kender de nærmere krav til API’erne, kender man også rækkevidden af PSD2.

Også nye tilsynskrav

Den regulatoriske revolution har imidlertid ikke kun sin pris for – og måske ligefrem sine ofre blandt – bankerne, så at sige, men så sandelig også for TPP’erne, dvs. for de mange fintech-startups på betalingsområdet, som indtil videre er gået fri af den finansielle regulering, men som fremover gribes heraf.

Prisen for den nye attraktive og uhindrede adgang til bankernes betalingskonti og de tilknyttede kontooplysninger er nemlig, at PISP’erne og AISP’erne samtidig bliver underlagt egentlig tilsynsregulering og finansielt tilsyn – herhjemme under Finanstilsynets tilsyn – ligesom de andre regulerede betalingstjenesteudbydere, herunder bankerne.

Dette indebærer, at PISP’erne fremover skal søge licens hos Finanstilsynet, og at AISP’erne skal registreres hos tilsynet. PISP’erne skal i denne forbindelse stille med en startkapital på 50.000 EUR. Der kommer også til at gælde fit & proper krav for ledelsen i både PISP’erne og AISP’erne.

Der kommer dog ikke til at gælde løbende kapitalgrundlagskrav, men til gengæld skal både PISP’erne og AISP’erne tegne erhvervsansvarforsikring eller lignende garanti mod eventuelle erstatningskrav over for den kontoførende bank og/eller kunden. Desuden kommer der til at gælde særlige krav om bl.a. ansvar og hæftelse, gennemsigtighed, fortrolighed og sikkerhed.

Disse regulatoriske rammevilkår skal således sikre fornøden forbrugerbeskyttelse og databeskyttelse mv. på det nu udvidede betalingsområde samt sikre tilstrækkelig level playing field, dvs. lige konkurrencemæssige vilkår – om TPP’erne vil det eller ej – mellem de forskellige betalingstjenesteudbydere, herunder bankerne og de nye udbydere af betalingsinitieringstjenesterne og kontooplysningstjenesterne.

Så PSD2 er med andre ord ikke blot ubetingede muligheder, friheder og fordele for de nye tredjeparter – der er faktisk en række udfordringer, begrænsninger og ulemper for de nye spillere indeholdt i den nye regulering.

Man kan passende tale om to forskellige sider af samme regulatoriske mønt. Dette vil måske i sig selv medføre, at den forventede revolution på betalingsområdet reduceres til en moderat evolution.

Og omvendt er PSD2 ikke blot ubetingede problemer og byrder for de etablerede banker og andre betalingsinstitutter – der er faktisk også en række potentialer og åbninger for de gamle spillere indeholdt i den nye regulering.

PSD2 finanskonference

PSD2 giver i øvrigt ikke kun anledning til strategiske og forretningsmæssige overvejelser hos bankerne og hos fintech-virksomhederne. Adskillige regulatoriske uklarheder, uafklaretheder, udeståender og usikkerheder i det ellers banebrydende direktiv giver nemlig anledning til vanskelige implementeringsmæssige overvejelser hos lovgiver og hos tilsynet, når direktivet inden længe skal omsættes til dansk lovgivning.

Hvis man som bank, betalingsinstitut, fintech-virksomhed, rådgiver eller lignende vil høre meget mere herom, så afholdes den store danske PSD2 konference den 9. juni i København med oplæg, indspark og synspunkter fra både gamle og nye aktører på betalingstjenesteområdet, førende eksperter samt de finansielle virksomheder, organisationer og tilsynsmyndigheder. Jeg ser selv frem til at fungere som moderator under konferencen og styre paneldebatterne.

Læs mere om PSD2 konferencen og hele programmet på konferencens hjemmeside.

Af Michael Camphausen, Partner, Advokat, PhD i Camphausen|Co

E-mail: mca@camphausen.dk

Twitter: www.twitter.com/m_camphausen