EU er i ferd med å vedta nye regler om betalingstjenester (PSR og PSD3)

Innledning

I dag er betalingstjenester hovedsakelig regulert kun i et direktiv – PSD 2. Det betyr at nasjonale myndigheter har et visst grad av skjønn ved gjennomføring av reglene i nasjonal rett. Den nye regelverkspakken flytter de fleste operative reglene til en forordning (PSR). Dette øker graden av harmonisering. Kravene for å få konsesjon, kapitalkrav og regler om tilsyn vil imidlertid fortsatt fremgå av et direktiv (PSD 3).

E-penger er i dag regulert i et eget e-pengedirektiv. Disse reglene flyttes slik at også e-penger blir regulert av PSR og PSD 3. Utstedelse av e-penger blir nå én (av flere) betalingstjeneste(r) som kan tilbys av betalingsforetak.

I Norge vil dette medføre endringer både i finansforetaksloven og finansavtaleloven. I finansavtaleloven antas det at mange av reglene, særlig i kapittel 3 og 4, må oppheves for så vidt gjelder betalingstjenester og i stedet henvise til PSR. Dette gjelder for eksempel reglene om hvilken informasjon kunden skal gis, hva kontrakten skal inneholde, hvordan kontrakten endres, ansvarsfordeling mv.

Virkeområdet

Virkeområdet til PSD 3 og PSR er i hovedtrekk tilsvarende som under PSD 2. Virkeområdet er fortsatt knyttet til å yte betalingstjenester, som litt forenklet innebærer å motta penger for det formål å videreformidle pengene til noen andre.

Det er flere presiseringer av eksisterende unntak, herunder unntakene for handelsagenter og begrensede nettverk. Det presiseres også hvilke type mobile lommebøker som i seg selv utgjør betalingstjenester. Såkalte "pass-through wallets", inkludert tokenisering av kort, skal ikke utgjøre betalingstjenester. Derimot vil "pre-funded wallets" utgjøre betalingsinstrumenter.

Det er forventet enkelte justeringer av unntakene fra direktivets virkeområde, herunder følgende:

• Technical Service Providers: Såkalte "technical service providers" er fortsatt unntatt hoveddelen av reglene, men de blir nå underlagt enkelte spesifikke plikter og bestemmelser. Dette er foretak som bistår med teknisk meldingsflyt eller IT-tjenester knyttet til betalingstjenester uten å komme i besittelse av betalingsmidlene.
• Telekom, Hosting Services og "very large online platforms": Denne type aktører blir underlagt enkelte spesifikke bestemmelser som i hovedsak handler om svindelforebygging samt samarbeid og informasjonsdeling med både banker og myndighetene. Videre underlegges plattformene som er "very large", krav til å undersøke hvorvidt foretak som markedsfører på deres plattform, har konsesjon. Dersom plattformene ikke har fått tilstrekkelig informasjon, skal de nekte aktørene å markedsføre på plattformene.
  
  En "very large"-plattform følger terskelen i Digital Services Act artikkel 33, som p.t. er plattformer som i snitt har mer enn 45 millioner aktive tjenestemottakere per måned. I hovedsak treffer dette de globale aktørene som for eksempel Google, Facebook, LinkedIn, Tiktok, X, Amazon, Booking, AliExpress, Snap og Zalando.
• Butikker og forhandlere kan tilby kontantuttak uten kjøp opptil 150 EUR per uttak (nasjonalt skjønn tillater reduksjon til 100 EUR), uten å ha konsesjon som betalingsforetak. Dette er såkalte kontant-i-butikk løsninger. Uttak skal underlegges krav til SCA.

PSR og PSD3 gjelder alle betalingstjenesteytere, men i dette nyhetsbrevet bruker vi ofte ordet "bank" som en forenklet forkortelse.

Svindelbekjempelse og -forebygging

Bakgrunn

Svindel har vært et økende problem både i EU og Norge. Spørsmålet om bankenes ansvar for at tredjepersoner svindler bankens kunder – for eksempel ved sosial manipulasjon – har vært gjenstand for flere rettslige avklaringer i Norge de siste årene, herunder for eksempel den såkalte Edison-saken og en del underrettspraksis. Det er også et relativt stort volum av svindelsaker i Finansklagenemnda, der i alle fall enkelte svindeltyper ofte resulterer i dissensavgjørelser hvor det er uenighet om hvorvidt kunden har godkjent/samtykket til en transaksjon og hvor langt bankens omsorgsplikt for kunden strekker seg.

Nye regler i PSR

Et hovedfokus i PSR er forebygging av svindel. PSR adresserer svindel gjennom en rekke skjerpede plikter for bankene. Hovedelementene er krav til transaksjonsovervåking, innføring av såkalt "matching verification service", økt fokus på informasjonsdeling samt nye regler om ansvarsfordeling.

I tillegg er det mange interessante elementer i fortalen til PSR. For eksempel er det en drøftelse av svindel ved sosial manipulering som går langt i å avgrense bankens ansvar for svindel ved sosial manipulasjon til de situasjoner som er regulert i forordningen.

Nedenfor følger en oppsummering av enkelte av de nye reglene:

• Transaksjonsovervåking: I dag gjelder det visse begrensede regler om transaksjonsovervåking, men reglene gjelder i tilknytning til SCA (Strong Customer Authentication). Formålet med dagens regler om transaksjonsovervåking er altså primært å avdekke om det faktisk er kunden selv som inngir betalingsordren, eller en (uautorisert/svindlende) tredjepart.
  
  

  PSR innfører en prinsipielt viktig endring ved at transaksjonsovervåking også skal gjennomføres "to prevent and detect potentially fraudulent payment transactions". Altså en generell plikt til transaksjonsovervåking for å hindre svindel. Dette vil også omfatte plikt til å (forsøke å) avdekke svindel ved sosial manipulering.

  Plikten gjelder både avsenderbanken – som skal overvåke før gjennomføring av transaksjonen – og mottakerbanken – som skal overvåke før midlene gjøres tilgjengelig for betalingsmottaker. PSR spesifiserer hvilke data som skal inngå i transaksjonsovervåkingssystemet og hvilke risikofaktorer som skal hensyntas i vurderingene.

  Dersom slik transaksjonsovervåking ikke gjennomføres og betaleren lider tap, skal den banken som ikke gjennomførte overvåking, være ansvarlig for eventuelt tap.

• Plikt til å gjennomføre og stanse transaksjoner: I dag har banker plikt til å gjennomføre betalingstransaksjoner – så fremt de er godkjent av betaleren og alle vilkår i avtalen er oppfylt. Denne hovedregelen opprettholdes i PSR. Men det innføres samtidig et unntak hvor banken får en plikt i motsatt retning: Banken er forpliktet til å suspendere transaksjonen dersom banken har "objectively justified reasons to suspect that the transaction is fraudulent". Dette kan for eksempel være basert på transaksjonsovervåkingen. PSR spesifiserer at det ikke kvalifiserer som "objectively justified reason" at det er mismatch mellom navn og nummer (se nedenfor om VoP), eller at transaksjonen er uvanlig. Det må altså noe mer til. Ved mislighold av plikten til å suspendere transaksjoner, blir banken erstatningsansvarlig for eventuelt tap betaleren lider.
  

  Når transaksjonen er suspendert, skal banken varsle og kontakte betaleren for å avgjøre om transaksjonen skal gjennomføres.

• Matching Verification Service / Verification of Payee (VoP): Det innføres krav om verifisering av at betalingsmottakerens navn stemmer med oppgitt kontonummer. Banker skal tilby verifikasjon etter at brukeren har tastet inn nødvendig informasjon om betalingsmottaker, men før betalingen godkjennes. Dersom det er mismatch mellom oppgitt navn og kontonummer, skal kunden varsles om dette. Dersom verifikasjonssystemet feiler og kunden lider tap, er banken ansvarlig. Tjenesten skal være gratis. Kravene innføres ved at det henvises til eksisterende krav som gjelder ved kredittoverføringer i euro, jf. forordning 260/2012.

• Uttrykkelig ansvarsregel om spoofing: Såkalt "spoofing" innebærer at svindlere utgir seg for å være kundens bank – typisk via falske e-poster, telefonoppringninger, nettsider eller apper. Denne formen for svindel reguleres nå uttrykkelig i PSR. Banken pålegges en plikt til å ha tekniske sikkerhetstiltak som forhindrer at svindlere kan etterligne bankens kommunikasjonskanaler. Der tiltakene svikter, har forbrukeren rett til full tilbakebetaling av det tapte beløpet. Kunden må imidlertid varsle banken uten ugrunnet opphold og anmelde forholdet til politiet.
  

  Dette utvider bankens ansvar sammenlignet med PSD2, som ikke hadde tilsvarende erstatningsregler. I norsk rett er det imidlertid allerede en lignende bestemmelse i finansavtaleloven som formodentlig vil erstattes med en henvisning til PSR.

• Deling av svindelrelatert informasjon: Banker pålegges å delta i informasjonsdelingsnettverk. Informasjon skal deles for eksempel der det foreligger "objectively justified reasons" for svindel. Det er spesifisert hvilken informasjon som skal deles.

• Svindelinformasjon til kunder: Banker skal holde sine kunder informert om nye svindeltrender og hvordan kunder kan unngå å bli utsatt for svindel. Bankene skal ha særlig fokus på de mest sårbare kundegruppene. Bankene må også ha årlig opplæring av egne relevante ansatte om svindeltrender.
  

  Det innføres videre en plikt for medlemsstatene til å informere allmennheten om svindeltrender. Staten Norge skal ha "adequate measures with appropriate funding to raise awareness among the public about the trends and new forms of payment fraud".

• "Human support": Det gjelder allerede krav om at banker skal ha tilgjengelige systemer som setter kunder i stand til å varsle om misbruk av betalingsinstrumenter – typisk blokkering av kort som er kommet på avveie. PSR innfører krav om at banker skal ha gratis tilgjengelig "human support" i alminnelige åpningstider for å hjelpe kunder med dette.

På vanlig måte er det lagt opp til at EBA skal foreslå RTS-er som utpensler reglene i mer detalj.

Kravene suppleres av forpliktelsene etter hvitvaskingsloven, som pålegger rapporteringspliktige – herunder banker – å gjennomføre løpende oppfølging av kundeforhold for å avdekke mistenkelige forhold. Etter hvitvaskingsregelverket skal mistenkelige transaksjoner rapporteres til Økokrim. Det presiseres i PSR at mistanke om svindel også kan gi grunnlag for rapporteringsplikt etter hvitvaskingsregelverket.

Sterk kundeautentisering (SCA)

Sterk kundeautentisering (SCA) er allerede et sentralt krav etter gjeldende rett. Etter forskrift om systemer for betalingstjenester § 5 skal betalingstjenestetilbydere anvende sterk kundeautentisering når brukeren logger inn på sin betalingskonto via nettet, initierer en elektronisk betalingstransaksjon eller gjennomfører handlinger som kan innebære risiko for svindel eller annet misbruk.

Kravene til SCA videreføres i hovedsak uendret, men det er enkelte justeringer:

• Mer detaljerte regler om når SCA skal anvendes og når unntak kan gjøres gjeldende: Blant de sentrale endringene er utvidede unntak for lavrisikotransaksjoner og klarere regler om delegering av SCA-plikten mellom betalingstjenestetilbydere. Blant annet vil det at betaler er forbruker eller ikke, være et kriterium for SCA-unntak. SCA-unntakene samt regler om transaksjonsrisikoanalyser pålegges gjennom nye tekniske standarder fra EBA. Målet er å balansere sikkerhet og brukervennlighet. Det er også enkelte presiseringer for når SCA gjelder – for eksempel ved tokenisering av kort i mobile lommebøker.
• Tilgjengelighet ved kundeautentisering: SCA skal være gratis. Betalingstjenesteytere må tilby flere autentiseringsmetoder tilpasset eldre, personer med nedsatt funksjonsevne og personer med lave digitale ferdigheter. Videre presiseres at SCA ikke kan være avhengig av at kunden har "smartphone or other smart device, unless the payment service user has agreed to the provision of services exclusively through mobile applications on such device". For norske aktører innebærer dette behov for gjennomgang av eksisterende løsninger.
  

Open banking og tiltak for økt konkurranse

Open banking ble introdusert i EU gjennom det andre betalingstjenestedirektivet (PSD2), som påla bankene å åpne sine systemer for autoriserte tredjepartsaktører via dedikerte API-er for betalingsinitiering og kontoinformasjonstjenester. Formålet var å øke konkurransen og fremme innovasjon i betalingsmarkedet. Regimet har imidlertid hatt blandet suksess, blant annet som følge av manglende API-standardisering og praktiske hindringer for tredjepartsaktørers tilgang. PSR gjør nå endringer i flere av reglene.

• Betalingsfullmektiger og opplysningsfullmektigers tilgang til kundedata: Betalingsfullmektigers og opplysningsfullmektigers tilgang til kundens betalingskonto med kundens samtykke videreføres og styrkes.
• Tydeligere krav til grensesnittene (API-er): Kontotilbydere må tilby tredjeparter API-er for å sikre stabil, sikker og ikke-diskriminerende tilgang. Det stilles også mer presise krav til API'ene, datapunkter og funksjonalitet som skal være tilgjengelig. For norske banker og andre kontotilbydere innebærer dette at eksisterende API-løsninger må gjennomgås og eventuelt oppgraderes for å tilfredsstille de nye tekniske standardene som vil bli utviklet.
• Dashbord-oversikt med alle kundens samtykker: Kontotilbydere må tilby et dashbord som gir kunden oversikt over samtykker gitt til tredjepartstilbydere. Den endelige teksten bruker konsekvent begrepet "samtykker" (consents) fremfor "tillatelser" (permissions). I fortalen presiseres det at "consent" under PSR ikke berører innholdet av "consent" under personvernforordningen (GDPR). Brukere kan velge å reservere seg mot datadeling med tredjeparter generelt, for alle nåværende og fremtidige forespørsler.
• Tilgang til mobilteknologi (NFC mv.): PSR pålegger såkalte "original equipment manufacturers of mobile devices" – altså i praksis for eksempel Apple og Samsung – å gi betalingstjenesteytere og deres tekniske tjenesteleverandører tilgang til "effective interoperability" og tilgang til både software og hardware-funksjoner. Det fremgår av fortalen at dette inkluderer NFC-teknologi. Tilgangen skal gis på rettferdige og ikke-diskriminerende vilkår. Denne bestemmelsen har særlig betydning for konkurransen i markedet for mobile betalingsløsninger, der tilgang til NFC-brikken har vært et sentralt tema mellom etablerte teknologiselskaper og betalingstjenestetilbydere.
  

Veien videre

Neste steg er at PSR og PSD 3 formelt vedtas i EU. Det er forventet i løpet av 2026. Det kan fortsatt komme enkelte justeringer i teksten. Regelverket vil deretter tre i kraft – foreløpig satt til 21 måneder senere. Kravene til "matching verification service" har likevel en overgangsperiode på 27 måneder.

Betalingsforetak må, innen fastsatte frister, vise at de oppfyller kravene til konsesjon som fastsatt i PSD 3. Det gjelder for eksempel krav om startkapital, internkontroll, sikkerhet og hendelseshåndtering samt beredskaps/avviklingsplaner. Eksisterende konsesjoner forblir gyldige i overgangsperioden, forutsatt at foretaket sender inn oppdatert informasjon som viser at kravene i PSR/PSD3 overholdes.

I Norge vil regelverket innlemmes i EØS-avtalen og gjennomføres nasjonalt. Erfaringsmessig tar prosessene noe tid, men norske finansforetak bør likevel allerede nå kartlegge konsekvensene for sin virksomhet og vurdere behovet for tilpasninger av systemer, rutiner og avtalevilkår.