PSD2 - Våre erfaringer med søknad til Finanstilsynet om konsesjon som betalingsfullmektig og opplysningsfullmektig

I 2019 trådte PSD2 i kraft i Norge. Dette medførte at såkalte tredjepartsaktører, som ikke er banker, kan søke om konsesjon for å bli henholdsvis betalingsfullmektig («Payment Initiation Service Provider - PISP») og opplysningsfullmektig («Account Information Service Provider - AISP»).

Siden ikrafttredelsen av PSD2 i Norge har flere aktører fått tillatelse til å yte betalingstjenester gjennom å være PISP og AISP. I dette innlegget deler vi våre erfaringer med søknadsprosessen til Finanstilsynet og hvilke fokusområder vi opplever at Finanstilsynet har i slike prosesser. Vi har tidligere skrevet om kravene foretak må tilfredsstilles for å få konsesjon som PISP og AISP, som du kan lese mer om HER. 

Virksomhetsbeskrivelser og betalingsflyt

For at konsesjonsprosessen skal lykkes er det viktig at virksomheten har en klar plan for hvilke konsesjonsbelagte tjenester virksomheten ønsker å tilby. Vår erfaring er at Finanstilsynet ikke vil  innvilge søknad om konsesjon dersom selskapet ikke kan gi en god beskrivelse av hva konsesjonen skal brukes til. Vårt inntrykk er at Finanstilsynet legger mye ressurser i å forstå både de tekniske og praktiske aspektene ved hvordan tjenestene skal tilbys til kundene. Dette har også en side til kundebeskyttelse, hvor det legges betydelig vekt på at konsesjonsbelagte tjenester som ytes til kunder er gjennomtenkte og sikre.

Vi har også erfart at det er viktig å illustrere på en tydelig måte hvordan betalingsstrømmene vil være i praksis (fra/til hvem skal det betales, via hvilke(n) aktør(er) mv.), og hvilken rolle foretaket skal ha i denne pengeflyten. Ved søknad om PISP / AISP, er det vanlig at konsesjonen skal bli en del av en annen forretningsidé, som ikke nødvendigvis knytter seg til betaling, og vårt inntrykk er at Finanstilsynet er opptatt av hvordan konsesjonen skal passe inn i forretningsidéen eller forretningsområdet.

IKT-sikkerhet

Som følge av rask utvikling på IKT-området, og hyppigere bruk av ulike IKT-systemer i virksomheter, er det økende fokus på IKT-sikkerhet. På området betaling knytter dette seg særlig til sensitiv personinformasjon og kundens betalingsinformasjon. Høy grad av bruk av eksterne IKT-systemer medfører at risikoen for tap av data og nedetid på slike systemer øker, og virksomheten må derfor ha en plan for hva de kan gjøre ved inntreden av sikkerhetshendelser, fysiske og digitale hendelser som medfører at systemer blir utilgjengelig, i tillegg til feil ved systemer som medfører tap av data, herunder både kundedata og betalingsdata.

Finanstilsynet stiller krav til at de prosedyrer som selskaper etablerer for å redusere risiko for ovennevnte hendelser, skal være testet, og at roller og ansvarslinjer er etablert, samt krav til dokumentering og rapportering. I tillegg skal det være klare retningslinjer for varsling til kunder dersom hendelser medfører at kundene berøres, eksempelvis ved tap av informasjon, feil ved betalinger eller lignende.

Antihvitvasking og terrorfinansiering

Bekjempelse av hvitvasking og terrorfinansiering har vært et fokusområde for både rapporteringspliktige og Finanstilsynet de siste årene. Det har blitt gjennomført en rekke tilsyn på området, noe som har ført til en stadig utvikling i hvilke forventninger Finanstilsynet har på området. 

Som PISP (ikke AISP), er man omfattet av hvitvaskingsregelverket, og må derfor sikre at det foreligger et tilfredsstillende skriftlig rammeverk og tilhørende etterlevelse av dette i praksis. Ved søknad om konsesjon som PISP alene eller både PISP og AISP, må det sendes inn en virksomhetsinnrettet risikovurdering som identifiserer og vurderer risikoen for hvitvasking og terrorfinansiering, samt et rutineverk som forklarer hvordan foretaket skal håndtere denne risikoen i praksis. Rutineverket må redegjøre for hvordan foretaket skal håndtere alle forpliktelsene i hvitvaskingsregelverket. 

Ettersom det er kun PISP som er omfattet av hvitvaskingsregelverket er det viktig for foretak som skal søke om både PISP og AISP å være tydelig på når og hvordan kunden får tilgang til PISP-tjenestene. Det er som utgangspunkt tidspunktet kunden har anledning til å benytte seg av PISP-tjenestene at kundetiltakene skal være ferdig gjennomført.  

Risikovurderinger

Foretaket er forpliktet til jevnlig å gjennomføre en prosess for å identifisere vesentlige operasjonelle, sikkerhetsmessige og øvrige risikoer for betalingstjenestevirksomheten. 

Håndteringen av risiko skal til enhver tid være avhengig av risikoens vesentlighet, og hvorvidt en risiko er vesentlig må blant annet vurderes på grunnlag av eksempelvis risiko for økonomiske tap, risiko for tap av konsesjon og risiko for tap av omdømme. Etablering av risikovurdering, innebærer at foretaket skal drive virksomheten slik at risiko forblir innenfor risikotoleransen, og slik at nødvendige tiltak igangsettes i tilfeller der risiko er større enn det foretaket kan akseptere. 

Risikovurdering skal sendes til Finanstilsynet, og Finanstilsynet vil evaluere hvorvidt risikovurdering er velbegrunnet, og at foretaket har gjort en gjennomtenkt vurdering selskapets risiko. 

Utkontraktering

Utkontraktering er et tema som Finanstilsynet har hatt et økende fokus på, og som ofte krever mer arbeid enn det mange er forberedt på. Ved å ha kontroll på utkontrakteringsavtalene, kan dette være tidsbesparende i en søknadsprosess. Med utkontraktering menes tilfeller hvor et foretak velger å la en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Dette er imidlertid en definisjon som ikke gir klare svar i praksis, og vår erfaring er at utkontrakteringsbegrepet rekker videre enn det mange legger til grunn, spesielt på IKT-området. Finanstilsynet legger blant annet til grunn at alle SaaS, IaaS og Paas er å anse som utkontraktering, uavhengig av viktigheten av tjenestene. Dette innebærer også at avtalene derfor må oppfylle kravene i IKT-forskriften.

Et vesentlig krav til disse avtalene er at de må inneholde en innsynsklausul, som sikrer Finanstilsynet innsyn og tilgang ved et eventuelt tilsyn. Videre må det foretas en risikovurdering av den utkontrakterte tjenesten, og både avtalene og risikovurderingen må være behandlet av styret i virksomheten. I forkant av en konsesjonssøknad er det derfor viktig å oppstille en komplett oversikt over alle utkontrakteringsavtaler.

Trenger din virksomhet hjelp med PSD2? 

PwC tilbyr bistand på betalingsområdet, og kan bidra til å løse spørsmål knyttet til finansforetaksloven og tilhørende regelverk. PwC kan bistå med å vurdere hvorvidt tjenestene din virksomhet ønsker å tilby er konsesjonsbelagte, i tillegg til å utarbeide søknad om konsesjon som PISP og/eller AISP. PwC har gjennom erfaring med gjennomføring av flere konsesjonsprosesser utarbeidet styrende dokumentasjon til bruk i søknadsprosesser, i tillegg til at vi har god kunnskap om hva Finanstilsynet har fokus på i slike prosesser. 

Vi arbeider tett med virksomhetenes ledelse for å avdekke nødvendige tilpasninger i virksomhetens styring og kontrollregime. Våre prosjektledere kan bistå virksomheten med gjennomføring av prosjekter og koordinere utviklingsteam for å sikre samhandling mellom teknologiske, juridiske og forretningsmessige interessenter.

Ta gjerne kontakt med oss!