<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

PSD2 i Norge fra 1. april 2019

bannerbildet finansbloggen ‹ Tilbake til artikler

EUs andre betalingstjenestedirektiv trådte i kraft i EU i februar 2018, men gjennomføres nå i Norge med virkning fra 1. april 2019. Dette innebærer endringer i finansforetaksloven og tilhørende forskrifter, og som åpner for nye typer konsesjoner og betalingstjenester.

Fra 1. april vil det være mulig å oppnå konsesjon som “betalingsfullmektig” og “opplysningsfullmektig” i Norge - og bankene må gi slike aktører adgang til kundenes betalingskonti.

Dette innlegget vil ta for seg aktuelle rettslige endringer i Norge som avklares ved de nye bestemmelsene. For generell informasjon om PSD2 - se våre temasider.

Nye konsesjonstyper etter PSD2

  • “Betalingsfullmektig” (Payment Initiation Service Provider - PISP) reguleres som “betalingsforetak” etter finansforetaksloven § 2-10.

Betalingsforetak som kun har konsesjon for betalingsfullmakttjenester unntas fra lovens regler om kapitalkrav og sikring av kundemidler, men omfattes av egne krav til ansvarsforsikring. Forsikringsdekningens omfang skal beregnes etter EBAs Guideline om dette. I tillegg etableres et eget kapitalkrav for betalingsfullmektig på EUR 50 000.

  • “Opplysningsfullmektig” (Account Information Service Provider - AISP) reguleres som egen konsesjon etter ny § 2-10 a.

Disse foretakene unntas fra ytterligere krav etter finansforetaksloven, herunder om eierforhold, kapitalkrav og tiltak for å oppfylle krav etter hvitvaskingsloven. Endret forskrift til finansforetaksloven (finansforetaksforskriften) fastslår også at opplysningsfullmektigene ikke vil omfattes av hvitvaskingsloven.

For opplysningsfullmektigene gjelder ikke av noe eget kapitalkrav, men disse skal etablere ansvarsforsikring beregnet etter EBA Guideline nevnt ovenfor. Opplysningsfullmektiger kan etableres som enkeltmannsforetak.

Ny midlertidig forskrift om betalingstjenester

Regler om forholdet mellom banken og kundene (den “privatrettslige” delen av PSD2) er Justis- og beredskapsdepartementets ansvar. Lovarbeidet på dette området er forsinket, men en høring om midlertidig forskrift ble gjennomført ifjor høst (se vår omtale av denne forskriften). Den endelige utformingen av forskriften ser ikke ut til å være klar ennå, men vi antar at også denne vil tre i kraft 1. April. Det ser ut til at en del av de bestemmelser som var tenkt plassert i forskriften slik utkastet forelå, nå er plassert i ny forskrift om systemer for betalingstjenester.

Regler om sikker kommunikasjon og sterk kundeautentisering

EU-kommisjonen har fastsatt egen forordning om hvordan banker og fullmaktsforetak skal kommunisere sikkert med hverandre og med kundene. Denne trer ikke i kraft før 14. September 2019. Det foreligger ikke noe utkast til norsk oversettelse, men Finanstilsynet bekrefter at norske regler tilsvarende denne forordningen vil gjelde fra samme dato.

I ny forskrift om systemer for betalingstjenester § 5 innføres likevel et krav til “sterk kundeautentisering” for alle betalingstjenestetilbydere, når kunden:

“a) logger seg inn på sin betalingskonto via nettet,
b) initierer en elektronisk betalingstransaksjon, eller
c) gjennomfører handling som kan innebære risiko for svindel eller annet misbruk.”

Ettersom forskriften trer i kraft 1. April, vil dermed kravet til “sterk kundeautentisering” gjelde i Norge allerede fra denne datoen.

Med “sterk kundeautentisering” menes “en løsning basert på bruk av to eller flere elementer, som er uavhengige av hverandre slik at kompromitteringen av ett elemenet likevel ikke vil påvirke de andre elementene”.

Ved betalinger skal slik autentisering også “koble transaksjonen til et spesifikt beløp og en spesifikk betalingsmottaker” - dvs inneholde samtykke til den konkrete transaksjonen.

Bestemmelsen fastslår også at bankene må gi fullmaktsforetakene adgang til å benytte de autentiseringsprosedyrene som banken gjør tilgjengelig for sine kunder.

Beskyttelse av kundenes sikkerhetsinformasjon og “screen scraping”

Ny forskrift om systemer for betalingstjenester § 11 pålegger på den annen side betalingstjenestetilbydere å sikre at brukerens personlige sikkerhetsinformasjon ikke blir tilgjengelig for andre enn brukeren, når den aktuelle identifikasjon eller signatur også gir adgang til elektroniske tjenester fra offentlig sektor. Dette medfører antagelig at “screen scraping” ikke vil være aktuelt i Norge i perioden frem til 14. September 2019, på tross av at EBA tidligere har uttalt at dette må tillates av bankene i denne perioden.

Søknad om unntak fra “fall back mechanism”

Ovennevnte betyr formodentlig også at Finanstilsynet vil kunne behandle søknader fra bankene om fritak fra “beredskapsløsning” for sikker kommunikasjon med fullmaktsforetakene ihht forordningens artikkel 33. Vi antar at slik søknad vil være aktuell for en rekke banker i tiden fremover. Søknaden bør ta hensyn til EBAs Guideline utgitt i desember 2018.

Øvrige endringer i forskrifter:

Finansdepartementet har i tillegg fastsatt endringer i en rekke ulike forskrifter som er tilpasset lovendringene:

  • Forskrift 9. desember 2012 nr.1502 om finansforetak og finanskonsern

  • Forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi

  • Forskrift 22. september 2008 nr. 1080 om risikostyring og internkontroll

  • Forskrift 28. desember 1993 nr. 1257 om finanstilsyn i EØS

  • Forskrift 18. desember 2015 nr. 1776 om utlikning av utgifter på tilsyn

  • Ny forskrift om systemer for betalingstjenester

Overgangsordninger

Endringene medfører at også etablerte betalingsforetak vil omfattes av en rekke nye krav til virksomheten.

Finansforetaksforskriften vil etter endringer inneholde overgangsordninger for de etablerte foretakene, som må innordne seg nye krav innen ulike frister.

Ta gjerne kontakt med meg om du vil høre mer om innføringen av PSD2i Norge eller ønsker bistand i denne forbindelse.

Daniel Næsse

Daniel Næsse

PwC | Advokat | Partner | Leder finansjuridiske tjenester

Tlf: 97 17 57 17 E-post: daniel.naesse@pwc.com

Legg igjen en kommentar

Relevante artikler

Les artikkelen

EU ønsker å innføre krav til konsesjon for å tilby ESG-vurderinger

I juni publiserte EU Kommisjonen forslaget til “ESG Rating Regulation”. Forslaget innebærer at tilbydere av ESG-vurderinger må ha ...

Les artikkelen
Les artikkelen

Oppdatert rundskriv om Finanstilsynets praksis for vurdering av risiko og kapitalbehov

Finanstilsynet har oppdatert sitt rundskriv om praksis for vurdering av risiko og kapitalbehov i banker, finansieringsforetak og ...

Les artikkelen
Les artikkelen

PSD2 - Våre erfaringer med søknad til Finanstilsynet om konsesjon som betalingsfullmektig og opplysningsfullmektig

I 2019 trådte PSD2 i kraft i Norge. Dette medførte at såkalte tredjepartsaktører, som ikke er banker, kan søke om konsesjon for å bli ...

Les artikkelen