EU-Kommissionen offentliggjorde den 28. juni 2023 forslag til en revision af 2. betalingstjenestedirektiv ("PSD2") fra 2015. Som led i revisionen opdeles direktivet i to forskellige lovgivningsinstrumenter således, at betalingstjenestereguleringen på europæisk plan fremover vil bestå af:

• et opdateret betalingstjenestedirektiv ("PSD3"), og
• en betalingstjenesteforordning ("PSR")

med tilhørende delegerede forordninger m.v. Derudover konsolideres betalingstjenestereglerne med de næsten identiske regler om elektroniske penge, og 2. e-pengedirektiv ("2EMD") fra 2009 ophæves i den forbindelse.

Opdelingen af PSD2 og konsolideringen af 2EMD er foretaget således, at regler vedrørende tilladelse (herunder som e-pengeinstitut), intern organisation og outsourcing og nationalt tilsyn fremover skal findes i PSD3 (og dermed implementeres i de enkelte EU-medlemslande), medens reguleringen af oplysningskrav, rettigheder og forpligtelser, hæftelsesregler, stærk kundeautentifikation, adgang til betalingssystemer og bankkontotjenester m.v. løftes over i PSR, som vil være direkte anvendelig i EU-medlemsstaterne.

Webinar om de nye betalingstjenesteregler

Plesners specialister inden for betalingstjenester og Fintech redegør nedenfor nærmere for de væsentligste nyskabelser i lovgivningspakken. 

På et webinar den 26. september 2023 vil vi gå endnu mere i detaljen omkring PSD3 og PSR. 

Læs mere og tilmeld dig webinaret

Direktivet (PSD3)

Konsolidering af 2EMD
Som nævnt konsolideres dele af 2EMD ind i PSD3 således, at direktivet fremover også regulerer kravene til opnåelse af tilladelse m.v. som e-pengeinstitut, der i øvrigt ophører som selvstændigt begreb således, at virksomheder med tilladelse til udstedelse af e-penge fremover også betegnes som betalingsinstitutter.

Kontanthævninger i butikker og hæveautomatoperatører
Det er i dag tilladt for butikker at tilbyde kunder at "betale over beløbet", det vil sige få et kontantbeløb udbetalt men kun, hvis det sker i forbindelse med kundens køb af varer eller tjenesteydelser i butikken. Af hensyn til at lette adgangen til kontanter indføres der i PSD3 en adgang for fysiske detailforretninger til at tilbyde rene kontanthævninger - altså uden krav om, at det sker i forbindelse med køb af varer eller tjenesteydelser i butikken - forudsat, at der ikke hæves mere end 50 euro ad gangen.

Operatører af hæveautomater, som ikke samtidig udbyder betalingskonti vil fremover skulle registreres hos Finanstilsynet og vil være under tilsyn men behøver i øvrigt ikke overholde direktivets regler om kapitalkrav, intern organisation, outsourcing m.v. Det er uklart, i hvilket omfang disse udbydere vil blive omfattet af reglerne for betalingsinstitutter i PSR.

Tredjeparter
Da PSD2 blev vedtaget i 2015, var forventningen, at udbydere af kontooplysningstjenester ville hente data gennem API'er direkte mellem udbyderne af kontooplysningstjenesterne og de enkelte europæiske banker. Henset til antallet af banker i EU (cirka 8.500 i 2015 faldende til cirka 5.200 i 2022) har dette været en helt uoverkommelig opgave for kontooplysningstjenesteudbyderne, og andre parter har i stedet udviklet en forretning i "kun" at bygge API-adgange til bankerne og agere som rene IT-gateways for kontooplysningstjenesteudbydere.

Den tvivl der siden har været i markedet om, hvorvidt og hvordan denne forretningsmodel kunne forenes med definitionen på en kontooplysningstjeneste fjernes med PSD3, som i definitionen af en kontooplysningstjeneste udtrykkeligt forudser, at udbyderen kan indhente data via tredjemænd/gateways.

Et andet forhold omkring tredjeparterne hvor PSD2 viste sig at ramme meget "skævt" i forhold til markedsforholdene er kravet om, at udbydere af kontooplysningstjenester eller betalingsinitieringstjenester skal have en ansvarsforsikring (eller alternativt stille en bankgaranti, hvilket ikke benyttes i noget væsentligt omfang i praksis). Et sådant forsikringsprodukt eksisterede ikke i markedet de første år efter implementering af PSD2, og det har generelt været dyrt og besværligt for tredjeparter at tegne den krævede forsikringsdækning. I et forsøg på at afhjælpe denne problematik giver PSD3 mulighed for, at tredjeparter som et alternativ kan starte med at holde yderligere 50.000 euro i startkapital og så erstatte dette med en ansvarsforsikring, når virksomheden har fået sin tilladelse og er gået i drift.

Direkte deltagelse i betalingsafviklingssystemer
Det har i en meget lang årrække været et stort ønske fra betalingsinstitutter at kunne blive direkte deltagere i betalingsafviklingssystemer registreret under finality-direktivet, herunder i Danmark KRONOS2 drevet af Nationalbanken og Sum-, Intradag- og Straksclearingen drevet af Finans Danmark.

Med PSD3 og en ændring af finality-direktivet bliver dette ønske opfyldt, og betalingsinstitutter - som i øvrigt opfylder finality-direktivets krav - vil fremover kunne blive direkte deltagere i registrerede betalingsafviklingssystemer. Betalingsinstitutter vil dermed ikke længere være afhængige af de pengeinstitutter, de i vidt omfang konkurrerer med for (indirekte) adgang til betalingsafvikling.

Ikrafttræden og overgangsregler
På sædvanlig vis for et direktiv træder PSD3 formelt i kraft 20 dage efter offentliggørelse i EU-Tidende, hvorefter medlemsstaterne har 18 måneder til at implementere direktivet. Dog har medlemsstaterne kun seks måneder efter ikrafttræden til at implementere betalingsinstitutters adgang som direkte deltagere i registrerede betalingsafviklingssystemer under finality-direktivet.

Med visse modifikationer vil betalingsinstitutter og e-pengeinstitutter, som opnår tilladelse under eksisterende regler senest 18 måneder efter PSD3s ikrafttræden kunne fortsætte denne aktivitet forudsat, at de opnår ny tilladelse under den nationale lovgivning, som implementerer PSD3 senest to år efter PSD3s ikrafttræden.

Forordningen (PSR)

Tredjeparter
Kontooplysningstjenesteudbyderes videregivelse af data til andre tjenesteydere
Da PSD2 i 2015 åbnede op for udviklingen af kontooplysningstjenester, var forventningen, at disse tjenester ville bestå i at indsamle data fra en brugers bankforbindelser, behandle disse data og derefter videregive dem (f.eks. i form af et forbrugsoverblik) til brugeren. I praksis har en stor del af udbyderne af kontooplysningstjenester imidlertid i stedet udviklet forretningsmodeller, hvor det primære mål med dataindsamlingen er, at videregive de indsamlede data til andre tjenesteydere, f.eks. prissammenligningstjenester eller til kreditudbydere til brug for kreditværdighedsvurderinger.

Der har i markedet og blandt de nationale tilsynsmyndigheder været tvivl om, hvorvidt en tjeneste, hvor data videregives til andre uden om brugeren overhovedet udgjorde en lovlig kontooplysningstjeneste. Den tvivl adresserer PSR, som i præamblerne udtrykkeligt anerkender, at en kontooplysningstjeneste også kan bestå i at indsamle data og videregive det til andre til brug for, at disse datamodtagere leverer en tjenesteydelse til brugeren.

Såfremt PSR endeligt vedtages med dette indhold, vil det antageligt betyde, at Forbrugerombudsmandens nuværende holdning, hvorefter data indsamlet af en kontooplysningstjeneste skal resultere direkte i en tjeneste leveret til brugeren ikke vil kunne opretholdes.

API'er
Udviklingen af de API'er, der skulle sætte tredjeparter i stand til nemt at forbinde sig til pengeinstitutter og trække transaktionsdata henholdsvis initiere kontooverførsler har lige siden PSD2 blev vedtaget i 2015 været en betydelig udfordring for alle markedsdeltagere, og der har fra tredjepart-siden af markedet lydt mange klager over kvaliteten af API'erne og angivelige forhindringer pengeinstitutterne mere eller mindre bevidst lagde i vejen for brugen af API'erne.

I modsætning til hvad mange markedsdeltagere havde ønsket går PSR ikke så vidt som at bemyndige f.eks. EBA til at udvikle en bindende API-standard, men i stil med EU-markedsføringsreguleringen indføres der bl.a. et katalog over eksempler på forbudte forhindringer i brugen af API'er. Kataloget omfatter bl.a. (i) krav om, at brugeren manuelt skal indtaste IBAN-nummeret på den konto tilladelsen vedrører, (ii) krav om gennemførelse af stærk kundeautentifikation i videre omfang, end når brugeren selv direkte tilgår netbanksystemet, og (iii) API'er, som ikke understøtter alle de autentifikationsprocedurer som pengeinstituttet i øvrigt stiller til rådighed for brugeren.

Permission dashboard
For at lette brugeres overblik over hvilke tilladelser de har givet til kontooplysningstjenester samt til gentagne overførsler via betalingsinitieringstjenester, bliver der krav om, at pengeinstitutter etablerer et "dashboard" i instituttets netbanksystem, hvor brugeren nemt kan (i) se oplysninger omkring de tilladelser, brugeren har givet, og hvilke af brugerens konti og hvilke tredjeparter tilladelserne vedrører, (ii) trække eksisterende tilladelser tilbage, (iii) genetablere tidligere tilbagetrukne tilladelser, og (iv) se udløbne/tilbagetrukne tilladelser for de seneste to år.

Pengeinstitutter og tredjeparter skal samarbejde om at holde oplysningerne på "dashboard'et" opdaterede. Således skal pengeinstituttet i real-tid give meddelelse til den relevante tredjepart, hvis brugeren via "dashboard" trækker en tilladelse til den tredjepart tilbage, og omvendt skal tredjeparter i real-tid give pengeinstituttet de relevante oplysninger om nye tilladelser, brugeren giver til tredjeparterne.

Bekæmpelse af misbrug
IBAN-verifikationsmekanisme
I tilfælde af direkte kontooverførsler bliver modtagerbanken under PSR forpligtet til at stille en verifikationsmekanisme til rådighed. Mekanismen skal give mulighed for, at modtagerbanken - inden betaleren endeligt godkender betalingen over for afsenderbanken - kan verificere, om navnet på betalingsmodtageren matcher det navn på indehaveren af det pågældende IBAN-nummer, som betaleren, via afsenderbanken, har oplyst til modtagerbanken. Formålet med mekanismen er at undgå den type svindel, hvor en svindler giver betaleren svindlerens eget IBAN-nummer i stedet for IBAN-nummeret på den legitime betalingsmodtager, som betaleren tror vedkommende overfører penge til.

Såfremt verifikationsmekanismen fejlagtigt har bekræftet overensstemmelse mellem modtagernavn og IBAN, hæfter modtagerbanken (eller, hvis fejlen ligger hos denne, afsenderbanken) for betalerens tab ved, at pengene overføres til en anden end den tilsigtede modtager.

Betalere har mulighed for specifikt at godkende en konkret betaling uanset svaret fra modtagerbanken, ligesom betalere også generelt kan afmelde sig fra verifikationsmekanismen, men i begge tilfælde er "prisen", at betaleren så ikke kan påberåbe sig den særlige hæftelsesregel nævnt ovenfor.

Hæftelse for "spoofing"
Der indføres en ny hæftelsesregel for forbrugere, der udsættes for "spoofing"-misbrug. "Spoofing" dækker generelt over svindel, der sker ved, at svindleren - typisk ved brug af falske email-adresser, telefonnumre eller lignende - narrer en person til at tro, at svindleren er/kommer fra/repræsenterer en person eller virksomhed, som personen stoler på, f.eks. personens bank, forsikringsselskab, en idrætsforening eller en  velgørenhedsorganisation.

Den nye hæftelsesregel omfatter dog kun "spoofing", der består i, at betaleren narres til at tro, at svindleren er en medarbejder fra betalerens betalingstjenesteudbyder gennem brug af udbyderens navn, email-adresse eller telefonnummer. Sker dette, hæfter betalingstjenesteudbyderen for forbrugerens eventuelle tab forudsat, at forbrugeren uden ophold har politianmeldt forholdet og orienteret betalingstjenesteudbyderen.

Som størstedelen af hæftelsesreglerne i både PSD2 og den kommende PSR gælder ovenstående bl.a. ikke, hvis forbrugeren har handlet groft uagtsomt. Det er i præamblerne til PSR præciseret, at det må anses for groft uagtsomt, hvis en forbruger bliver "spoofing"-offer over for en betalingstjeneste, såfremt den pågældende forbruger allerede en gang før har ladet sig udnytte via "spoofing" relateret til den samme betalingstjenesteudbyder.

Deling af oplysninger til brug for bekæmpelse af misbrug
Såfremt en betalingstjenesteudbyder har "tilstrækkeligt grundlag" for at mistænke, at en bestemt betalingsmodtager er involveret i betalingssvindel, får udbyderen mulighed for at dele betalingsmodtagerens IBAN-nummer med andre betalingstjenesteudbydere. En betalingstjenesteudbyder vil som minimum have "tilstrækkeligt grundlag" for at mistænke en betalingsmodtager for svindel, hvor mindst to separate kunder hos udbyderen har underrettet denne om, at det pågældende IBAN-nummer er blevet benyttet til svindel i forbindelse med kontooverførsler.

Deling af IBAN-numre må kun ske inden for rammerne af et "information sharing arrangement", som skal fastlægge praktikken omkring delingen af informationerne, herunder brug af en IT-platform og overholdelse af persondatalovgivningen.

Stærk kundeautentifikation
180 dages "gyldighedsperiode" for kontooplysningstjenester
Perioden mellem, at der skal gennemføres pligtmæssig stærk kundeautentifikationsprocedure for kontooplysningstjenester udvides fra 90 til 180 dage, med mindre pengeinstituttet har rimelig mistanke om misbrug.

Tilgængelighed for handicappede og udsatte grupper
Ved designet af procedurer for stærk kundeautentifikation bliver betalingstjenesteudbydere forpligtede til at tage hensyn til handicappede, personer med ringe digitale kundskaber, personer uden adgang til digitale kommunikationskanaler og andre udsatte grupper og sikre, at alle sådanne grupper har mindst en måde at gennemføre stærk kundeautentifikation på, som er tilpasset deres specifikke situation.

Udbydere forpligtes således til fremover at udvikle og implementere en række helt forskellige procedurer for stærk kundeautentifikation, og det fremgår udtrykkeligt af PSR, at gennemførelsen af stærk kundeautentifikation ikke direkte eller indirekte må nødvendiggøre, at brugeren er i besiddelse af en smartphone.

Hæftelse for tekniske leverandører og kortordninger
Selv om både tekniske leverandører (f.eks. leverandører af kortterminaler og kassesystemer i fysisk handel og betalingsgateways i online-handel) og kortordningerne havde en enorm rolle at spille i udrulningen af stærk kundeautentifikation under PSD2, var de ikke udtrykkeligt omfattet af nogen forpligtelse under PSD2 til at medvirke til at facilitere stærk kundeautentifikation eller pålagt noget særligt ansvar, hvis deres systemer ikke understøttede stærk kundeautentifikation.

Dette rettes der op på med PSR, som fastsætter en udtrykkelig hæftelse for tekniske leverandører og kortordninger, såfremt deres forhold gør, at en transaktion ikke kan gennemføres med stærk kundeautentifikation, og betaleren, dennes betalingstjenesteudbyder eller betalingsmodtageren derved lider tab.

EBA product intervention-ret
Som noget helt nyt i forhold til PSD2 får EBA under PSR "product intervention"-rettigheder. Med disse kan EBA, såfremt visse betingelser er opfyldt, generelt begrænse eller forbyde typer af betalingstjenester eller visse funktioner i betalingstjenester på tværs af hele EU. Indgrebet skal være midlertidigt og udløber automatisk efter tre måneder, hvis ikke det forlænges i en ny tremånedersperiode.

Ikrafttræden
PSR træder formelt i kraft 20 dage efter offentliggørelse i EU-Tidende og finder anvendelse fra det tidspunkt, der ligger 18 måneder derefter. Dog finder kravet om IBAN-verifikationsmekanisme først anvendelse fra to år efter ikrafttrædelsestidspunktet.

Den videre proces

Baseret på hvor lang tid det tog at opnå enighed om tilsvarende (om end mere omfattende) nye EU-lovgivningsinitiativer inden for området som f.eks. PSD2 og MiCA-forordningen, er der formentlig en vis risiko for, at forslagene ikke når at blive endeligt vedtaget inden valg til Europa-Parlamentet skal afholdes primo juni 2024.

I så fald skal forslagene genfremsættes, hvilket i praksis først kan ske, når det nyvalgte Europa-Parlament er trådt sammen, og der er udpeget og godkendt en ny EU-Kommission. I 2019 tog det cirka et halvt år, fra europaparlamentsvalget til den nuværende EU-Kommission var endeligt udpeget, og på den baggrund ville et konservativt estimat være, at forslagene tidligst træder i kraft i andet halvår af 2025. Det ville føre til, at PSD3 vil skulle implementeres med virkning fra første halvår af 2027 (bortset fra ændringerne til finality-direktivet, som vil skulle implementeres med virkning fra første halvår 2026), medens PSR ville finde anvendelse fra første halvår af 2027 (bortset fra kravet om IBAN-verifikationsmekanisme, som først ville finde anvendelse fra andet halvår af 2027).