Orientering om tredjepartsudbydere i overgangsperioden

Finanstilsynets behandling af tredjepartsudbydere i overgangsperioden.

Hvad er tredjepartsudbydere?

Med 2. betalingstjenestedirektiv (PSD2) indføres to nye typer udbydere af betalingstjenester, med introduktionen af udbydere af betalingsinitierings-tjenester og kontooplysningstjenester, der samlet omtales som tredjepartsudbydere.

Betalingsinitieringstjenester defineres som: En tjenesteydelse, der iværksætter en betalingsordre efter instruktion fra en bruger med henblik på at foretage en betalingstransaktion fra en betalingskonto, der udbydes af en anden udbyder end udbyderen af betalingsinitieringstjenesten. Det er eksempelvis en udbyder, som sørger for, at der igangsættes en betaling fra en brugers betalingskonto, uden at udbyderen selv kommer i besiddelse af midlerne.

Kontooplysningstjenester defineres som: En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere. Det er eksempelvis en udbyder, der tilbyder at udarbejde forbrugsoverblik eller budgetter, der skal gøre det muligt for en bruger at få et bedre overblik over sin privatøkonomi.

Lov om betalinger, der træder i kraft 1. januar 2018, implementerer PSD2 i dansk ret.

Retten til at anvende tredjepartsudbydere

Med § 83, i lov om betalinger, indføres en ret for brugerne – såvel forbrugere og virksomheder – som har en betalingskonto, der er tilgængelig online til at gøre brug af tredjepartsudbydere.

Rent praktisk betyder det, at en bruger kan kræve, at en kontoførende ud-byder, typisk et pengeinstitut, giver:

  • En udbyder af betalingsinitieringstjenester adgang til at iværksætte en betaling fra brugerens betalingskonto.
  • En udbyder af kontooplysningstjenester adgang til at indhente information fra brugerens betalingskonto.

Denne adgang skal kunne ske uden, at den kontoførende udbyder, hvor brugeren har den pågældende betalingskonto, stiller krav om, at der er indgået et aftaleforhold mellem instituttet og tredjepartsudbyderen.

Tredjepartsudbyderes ret til at opnå adgang jf.  § 83, i lov om betalinger, gælder kun når:

  • Brugeren har givet udtrykkeligt samtykke.
  • Virksomheden har tilladelse fra Finanstilsynet som udbyder af betalingsinitieringstjenester eller kontooplysningstjenester.
  • Tredjepartsudbyderen i øvrigt overholder §§ 84, 85, 87 og 88, i lov om betalinger, som indeholder regler om indhentning af brugerens samtykke samt reglerne om sikring af, at anmodning, tilgang, anvendelse og lagring af oplysninger ikke må ske med andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om.

Det fastslås i § 87, i lov om betalinger, at adgang og kommunikation skal ske i overensstemmelse med de regler, som udstedes af Europa-Kommissionen i medfør af artikel 98 i PSD2. Disse regler træder først i kraft senere, som beskrevet nedenfor, men Finanstilsynet forventer, at tredjepartsudbydere vil bestræbe sig på at iværksætte foranstaltninger, der kan sikre, at identifikation og kommunikation sker på tilstrækkelig sikker vis.

Tilsvarende forventes det, at de kontoførende udbydere loyalt vil medvirke til, at tredjepartsudbydere får adgang til brugerens konto som foreskrevet i lov om betalinger. 

Lov om betalinger og overgangsperioden

Kravet om tredjepartsudbyderes adgang til betalingskonti lovfæstes med § 83, stk. 1, i lov om betalinger , der træder i kraft den 1. januar 2018. Reglerne for, hvordan denne adgang skal opnås, skal følge af forordninger og regler udstedt af Europa-Kommissionen i medfør af artikel 98 i PSD2. Reglerne udstedes i form af en delegeret retsakt (”RTS”), hvilket betyder, at den får direkte retsvirkning i medlemslandene.

Den 27. november i år udsendte Europa-Kommissionen det endelig udkast til RTS, og medmindre Europa-Parlamentet eller Europarådet gør indsigelser, træder reglerne i kraft to måneder efter vedtagelsen, og får herefter retsvirkning 18 måneder fra ikrafttræden. Det forventes derfor, at reglerne om, hvordan adgangen skal opnås, vil få direkte retsvirkning i Danmark ultimo 2019.

Da kravet om adgang for tredjepartsudbydere i § 83, i lov om betalinger træder i kraft den 1. januar 2018, opstår der en overgangsperiode fra denne dag og indtil den delegerede retsakt træder i kraft i 2019, hvor der kan være tvivl om, hvilke regler der gælder.

Finanstilsynets praksis i overgangsperioden

Dette betyder, at:

  • Kravet om adgang for tredjepartsudbydere gælder fra den 1. januar 2018.
  • Reglerne for, hvordan denne adgang skal ske, bliver først endelige i løbet af 2019, når RTS træder i kraft. 

Dermed vil brugerne have krav på at kunne anvende en tredjepartsudbyder fra 1. januar 2018, når lov om betalinger træder i kraft. Der opstår således en overgangsperiode fra 1. januar 2018 og indtil den delegerede retsakt træder i kraft i løbet af 2019, hvor en kontoførende udbyder ikke må nægte en tredjepart mulighed for at udføre den tjeneste, som brugeren har givet samtykke til, men omvendt er der ikke fastsat konkrete regler for, hvordan adgangen skal gives.

I den periode forventer Finanstilsynet, at:

Kontoførende udbydere

  • Ikke spærrer for adgangen for en tredjepartsudbyder, blot fordi tredjepartsudbyderen ikke overholder de kommende regler i RTS, men giver adgang på objektivt og ikke-diskriminerende grundlag.
  • Tager konkret stilling til muligheden for at give hver enkelt tredjepartsudbyders adgang.
  • Overvejer muligheden for at stille et API til rådighed for tredjepartsudbydere, før dette bliver et krav, når RTS træder i kraft i 2019.

Tredjepartsudbydere

  • Søger om tilladelse hos Finanstilsynet i overensstemmelse med reglerne i § 9 og 60, i lov om betalinger snarest muligt.
  • Dokumenterer, hvordan de vil indhente samtykke fra brugerne i overensstemmelse med § 84, stk. 1 og § 87, stk. 1, i lov om betalinger.
  • Dokumenterer, hvordan de vil leve op til reglerne i § 85 og § 88, i lov om betalinger, om at de skal sikre, at anmodning, tilgang, anvendelse og lagring af oplysninger ikke må ske med andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om.
  • Hvis en tredjepartsudbyder forventer at anvende screen scraping eller lignende metoder i overgangsperiode, skal denne dokumentere overfor Finanstilsynet, hvordan dette kan ske i overensstemmelse med § 85, der fastsætter, at anmodning, tilgang, anvendelse og lagring af oplysninger ikke må ske med andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om.

Praktiske forhold i overgangsperioden

Den nuværende udformning af RTS indeholder et krav om, at kontoførende udbydere skal tilbyde mindst én måde, hvorpå tredjepartsudbydere kan iværksætte betalinger eller indhente oplysninger fra en brugerens betalingskonti i overensstemmelse med kravene om sikker adgang og kommunikation beskrevet i RTS. 

Med RTS tilskyndes der til, at de kontoførende udbydere stiller et API (Application Programming Interface) til rådighed, som kan sikre, at adgang og kommunikation sker i overensstemmelse med kravene i RTS.

I overgangsperioden indtil RTS træder i kraft vil Finanstilsynet opfordre til, at der samarbejdes på tværs af sektoren for at sikre, at der udvikles gode løsninger, der sikrer gode brugeroplevelser og åbner for den konkurrence og innovation i markedet, som forsøges skabt med PSD2 og lov om betalinger.

Finanstilsynet kan ikke fastsætte særlige standarder for de API’er, der udvikles, men for at sikre et velfungerede marked, der kan understøtte den digitale udvikling, vil Finanstilsynet gerne opfordre sektoren til at arbejde hen imod en harmonisering af API-løsninger i sektoren.

Derudover forventer Finanstilsynet, at der ikke vil blive anvendt forretningsmodeller, der strider mod andre regler og love i Danmark, eksempelvis NemID reglerne eller regler om behandling af persondata.

Tredjepartsudbydere, der allerede er i drift pr. 1. januar 2018

Det følger af § 153, stk. 9, i lov om betalinger, at virksomheder, der inden den 1. januar 2018, har påbegyndt og reelt udøver virksomhed, der kræver en tilladelse efter § 9 eller § 60, jf. bilag 1, nr. 7 eller nr. 8 kan fortsætte denne virksomhed indtil den 13. juli 2018.

Det betyder, at disse virksomheder kan fortsætte deres eksisterende aktiviteter, men før de søger og opnår en tilladelse efter lov om betalinger, kan de ikke påberåbe sig de rettigheder, der følger af loven. De kan ikke kræve adgang, jf. § 83 eller passporte deres aktiviteter til resten af Europa.

Finanstilsynet opfordrer til, at disse virksomheder hurtigst muligt søger og opnår en tilladelse i henhold til lov om betalinger, som beskrevet nedenfor.

Tilladelsesprocessen

Den 1. januar 2018 åbner Finanstilsynet for behandling af ansøgning om tilladelse som udbyder af betalingsinitieringstjenester eller kontooplysningstjenester.

Udbydere af betalingsinitieringstjenester skal have en tilladelse som betalingsinstitut, jf. lov om betalinger § 9. Udbydere af kontooplysningstjenester skal have en tilladelse jf. § 60, i lov om betalinger.

Vil du vide mere?

Kontakt betalingstjenesteteamet på finanstilsynet@ftnet.dk