Spørgsmål og svar om KPSD-indberetning

Finanstilsynet modtager halvårligt indberetninger om drift og misbrug af betalingstjenester, i skemaet KPSD. Finanstilsynet modtager løbende spørgsmål til denne indberetning. I den forbindelse offentliggør Finanstilsynet hermed en række svar på de oftest stillede spørgsmål.

I disse spørgsmål og svar finder du svar på de spørgsmål, som Finanstilsynet oftest er blevet stillet i forbindelse med KPSD-indberetningen.

Finanstilsynet ser dette som en første udgivelse og vil benytte denne lejlighed til at gentage, at alle relevante parter er meget velkomne til at indsende de spørgsmål der løbende måtte melde sig, når de fremtidige KPSD-indberetninger bliver foretaget.

Siden med spørgsmål og svar blev offentliggjort 23. juni 2023 og er efterfølgende opdateret første gang den 7. december 2023.

I KPSD-regi er svig alle uberettigede overførsler, som er iværksat og gennemført.

Konkret fremgår det af EBA Guideline pkt. 1.1., at:


For the purposes of reporting statistical data on fraud in accordance with these Guidelines, the payment service provider should report for each reporting period: 

a. unauthorised payment transactions made, including as a result of he loss, theft or misappropriation of sensitive payment data or a payment instrument, whether detectable or not to the payer prior 
to a payment and whether or not caused by gross negligence of the payer or executed in the absence of consent by the payer (‘unauthorised payment transactions’); and

b. payment transactions made as a result of the payer being manipulated by the fraudster to issue a payment order, or to give the instruction to do so to the payment service provider, in good-faith, to a payment account it believes belongs to a legitimate payee (‘manipulation of the payer’).

Det fremgår af EBA Guideline pkt. 1.2., at:

“For the purposes of Guideline 1.1, the payment service provider (including the payment instrument issuer where applicable) should report only payment transactions that have been initiated and executed (including acquired where applicable). The payment service provider should not report data on payment transactions that, however linked to any of the circumstances referred to in Guideline 1.1, have not been executed and have not resulted in a transfer of funds in accordance with PSD2 provisions.

Indberetning af svig skal dermed ske, uagtet om det efterfølgende har vist sig muligt at inddrive hele eller dele af beløbet.  

Konkret fremgår det af EBA Guideline pkt. 1.6(a), at:  

Total fraudulent payment transactions’ refer to all transactions mentioned in Guideline 1.1, regardless of whether the amount of the fraudulent payment transaction has been recovered.

Det betyder, at det fulde beløb, som på svigagtig vis forlader f.eks. en kundes betalingskonto, skal indberettes i den korrekte fane som del af det halvårlige svigagtige beløb. Bliver en overførsel derimod blokeret af f.eks. en banks interne fraud monitorering, skal beløbet ikke tælle med i opgørelsen af svig.

Dette sidste punkt følger af EBA Guideline pkt. 2.4: 
The payment service provider should report only payment transactions that have been executed, including those transactions that have been initiated by a payment initiation service provider. Prevented fraudulent transactions that are blocked before they are executed due to suspicion of fraud should not be included.

Til illustration følger her et hypotetisk eksempel:

En kunde får uberettiget anvendt sit betalingskort for 10.000 kr. Kunden skal selv dække 375 kr. som følge af selvrisikoen, jf. § 100, stk. 3, i lov om betalinger. Efterfølgende er det muligt for kortudstederen at inddrive 5.000 kr. Uanset, at kundens tab er 375 kr., og bankens tab er 4.625 kr., skal det fulde beløb på 10.000 kr. indberettes.

Realiserede tab er i KPSD-regi det beløb, som ikke bliver genvundet. Opgørelsen over realiserede tab skal ske i det halvår, hvor tabet bliver bogført. Det realiserede tab skal samtidig fordeles mellem det indberettende institut (”The reporting payment service provider”), instituttets kunde (”The payment service user”, PSU) og kategorien ”others”, som omfatter alle andre parter, der lider tab. ”Others” er således residualen mellem det totale realiserede tab og den del af tabet, der bæres af instituttet selv og dets kunder.  

I forhold til allokeringen vil en kundes selvrisiko samt eventuelle yderligere beløb dækket af PSU henføres til ”PSU”, mens det resterende beløb dernæst fordeles mellem instituttet selv og ”others”, hvis også øvrige fysiske eller juridiske personer ender med at dække en del af tabet. Hvis instituttets kunde hæfter for det fulde beløb, skal hele det realiserede tab allokeres til ”PSU”. 

Opgørelse og bogføring af endelige tab vil ofte ikke ligge i samme halvår, som selve svindlen sker, da der f.eks. kan være et efterspil forud for endelig afklaring af, hvem der bærer tabet, og bogføringen finder sted. Derfor er der ikke nødvendigvis entydig sammenhæng mellem periodens indberettede niveau for svig og realiserede tab. Tab vil over tid også alt andet lige være lavere end angivelsen af svig, da genvundne beløb i sagens natur ikke vil figurere i opgørelsen af realiserede tab. 

Af EBA Guideline pkt. 1.6(b) fremgår det også, at der i opgørelsen af realiserede tab ikke skal tages hensyn til eventuelle udbetalinger fra forsikring, da en sådan betaling ikke er relateret til forebyggelse af svindel i medfør af PSD2.

Konkret fremgår det af EBA Guideline pkt. 1.6(b), at:  

Losses due to fraud per liability bearer‘ refers to the losses by the reporting payment service provider, its payment service user or others, reflecting the actual impact of fraud on a cash flow basis. Since the registering of financial losses borne may be disassociated time-wise from the actual fraudulent transactions and in order to avoid revisions of reported data purely due to this immanent time lag, the final fraud losses should be reported in the period when they are recorded in the payment service provider’s books. The final fraud loss figures should not take into account refunds by insurance agencies because they are not related to fraud prevention for the purposes of PSD2.

Nedenstående viderefører eksemplet ovenfor.

Det realiserede tab for indberetter på 4.625 kr. viser sig at skulle dækkes med 2.000 af indberetter selv, og 2.625 kr. af et andet institut. Indberetter får efterfølgende udbetalt 1.000 kr. fra sin forsikring til at dække tabet. Her skal det realiserede tab indberettes som 2.000 kr. for indberetter, 375 kr. for PSU og 2.625 kr. for kategorien ”others”. 

Der kan være tilfælde, hvor et tidligere indberettet realiseret tab ikke længere er retvisende, og data derfor skal revideres. Finanstilsynet anfører, at en sådan revision bør foretages ved at indrapportere korrektionen til tidligere indrapporterede beløb i den periode, hvor det korrektionen bliver bogført. Det er dermed ikke meningen, at indberetter skal genindberette opdaterede beløb i den tidligere periode, hvor det oprindelige tab blev bogført. 

I sjældne tilfælde vil en sådan korrektion kunne medføre indberetning af negative værdier for periodens realiserede tab. Dette er tilfældet, hvis et tidligere bogført tab revideres ned, og der i samme periode ikke er bogført tab i en grad, der overstiger korrektionen. En negativ indberetning vil give anledning til, at Finanstilsynet gennemgår data, men vil ikke i sig selv lede til afvisning af KPSD-skemaet. 

Det fremgår af EBA Guideline pkt. 2.10, at:

The payment service provider can report zero (‘0’) where there were no transactions or fraudulent transactions taking place for a particular indicator in the reporting period established. Where the payment service provider cannot report data for a specific breakdown because that particular data breakdown is not applicable to that PSP, the data should be reported as ‘NA’.

Det følger af ovenstående, at relevante skemaer i KPSD-datasættet skal udfyldes med nul (’0’), hvis der for konkrete datapunkter i en periode ikke har været transaktioner, svig eller realiserede tab. Kun i de tilfælde, hvor et datafelt ikke er relevant for den konkrete indberetter, skal et felt efterlades blankt. 

Skema 2 i KPSD-datasættet omhandler direkte debitering. Det fremgår af EBA Guideline pkt. 2.11, at:

for direct debits, transactions must be reported by the payee’s payment service provider only, given that these transactions are initiated by the payee.

Da det er betalingsmodtager, som iværksætter betalinger ved hjælp af direkte debitering, er det betalingsmodtagers betalingsinstitut, som skal indrapportere data for transaktioner, svig og realiserede tab for så vidt angår denne betalingstype.

I en særlig dansk kontekst betyder det, at transaktioner og eventuel svindel og tab via Betalingsservice bliver indberettet af MasterCard Payment Services A/S. Hvis modtagende PSP derudover har egne tjenester, hvor kreditor kan iværksætte betalinger fra debitors konto, skal disse indberettes af modtager PSP selv. 

Der er i KPSD to separate steder, hvor der skal indberettes om betalinger iværksat af udbydere af betalingsinitieringstjenester.

Det følger af EBA Guideline pkt. 2.12, at:

In order to avoid double counting when calculating the total transactions and fraudulent transactions across all payment instruments, the payment 
service provider that executes credit transfers initiated by a payment initiation service provider should indicate the breakdown for the volume and value of the total transactions and fraudulent payment transactions that have been initiated via a payment initiation service provider when reporting under Data Breakdown A.

Dette betyder, at pengeinstitutter i felt 1.1. i skema A skal indberette brug og misbrug ved betalinger iværksat af en udbyder af betalingsinitieringstjenester fra konti i pengeinstituttet. Felt 1.1.i skema A skal udfyldes uagtet om det er instituttet selv eller en tredjepart der har iværksat betalingerne. Felt 1.1. i skema A indeholder dermed data på et meget overordnet niveau.

Skema H bliver udfyldt og indberettet af de selskaber, der i perioden har iværksat ovennævnte betalinger. Det vil i udgangspunktet være de virksomheder, der har tilladelse til specifikt at udføre betalingsinitieringstjenester. Da pengeinstitutter har tilladelse til at udføre betalingsinitieringstjenester, kan det også være tilfældet, at et pengeinstitut skal udfylde skema H. Dette uagtet om samme pengeinstitut også har udfyldt felt 1.1. i skema A.

EBA har i en Q&A4 givet mere baggrund til indberetningen af betalinger iværksat af udbydere af betalingsinitieringstjenester. 

Der er ingen bagatelgrænse for, hvornår registreret svig skal indrapporteres. Institutterne skal aggregere den samlede svig og hvert halvår indrapportere dette tal, fordelt på relevante kategorier.

Det samme gør sig gældende for genindrapportering, hvis en indberetter på et senere tidspunkt, finder ud af, at data i en allerede indrapporteret periode, ikke er retvisende. 

Denne kategori af svig dækker over de situationer, hvor en svindler modificerer en legitim betalingsordre. Det kan f.eks. være som et ”man in the middle” angreb, eller ved at ændre betalingsinformationen inden den forlader betalers institut.

Det følger af EBA Guideline pkt.1.6(c), at:

Modification of a payment order by the fraudster’ is a type of unauthorised transaction as defined in Guideline 1.1(a) and refers to a situation where the fraudster intercepts and modifies a legitimate payment order at some point during the electronic communication between the payer’s device and the payment service provider (for instance through malware or attacks allowing attackers to eavesdrop on the communication between two legitimately communicating hosts (man-in-the middle attacks)) or modifies the payment instruction in the payment service provider’s system before the payment order is cleared and settled.”

Finanstilsynet oplyser afslutningsvist, at de indberettende institutter ikke skal indsende data om såkaldt first party fraud, hvor betaler svindler. Dette da denne type svindel ikke reflekterer effektiviteten af sikkerheden i betalingssystemet.

Senest opdateret 06-12-2023