Betaltjänster (PSD 2/PAD)

EU:s andra betaltjänstdirektiv är genomfört i Sverige i och med ändringar i lagen (2010:751) om betaltjänster. Finansinspektionens ändrade föreskrifter trädde i kraft den 1 maj 2018. Kompletterande regler om bland annat stark kundautentisering och kommunikation genom så kallade gränssnitt trädde i kraft den 14 september 2019 genom Kommissionens delegerade förordning (EU) 2018/389.

Direktivets syfte: Att utveckla marknaden för elektroniska betalningar och skapa bättre förutsättningar för säkra och effektiva betalningar.

Utvidgat tillämpningsområde: Genom ändringarna i betaltjänstlagen utvidgades lagens tillämpningsområde så att så kallade tredjepartsleverantörer av betaltjänster omfattas av tillståndsplikt. Leverantörer av betaltjänster:

  • leverantörer av betalningsinitieringstjänster (Payment Initiation Service Providers, PISP)
  • leverantörer av kontoinformationstjänster (Account Information Service Providers, AISP).

Skyldigheter för kontoförvaltande institut: Företag som tillhandahåller betalkonton är under vissa omständigheter skyldiga att ge dessa tredjepartsleverantörer tillgång till kundernas konton, under förutsättning att kunden har gett sitt uttryckliga godkännande. Kontoförvaltande företag som tillhandahåller betalkonton ska uppfylla de krav på standarder för gemensam och säker kommunikation mellan företaget och leverantörer av betalningsinitieringstjänster eller leverantörer av kontoinformationstjänster som föreskrivs i den delegerade förordningen. Detta innefattar bland annat att tillhandahålla ett gränssnitt som uppfyller regelverkets krav på tillgänglighet och funktionalitet. Leverantörer av betalningsinitieringstjänster och kontoinformationstjänster har rätt att använda de starka kundautentiseringsförfaranden som det kontoförvaltande företaget erbjuder kunden.

Skyldigheter för tredjepartsleverantörer: Företag som tillhandahåller betalningsinitieringstjänster och/eller kontoinformationstjänster ska anropa kontoförvaltande institut via institutets anvisade gränssnitt. Vid anrop mot anvisade gränssnitt, där dessa företag begär och erhåller information om en eller flera specifika betalkonton och tillhörande betalningstransaktioner, ska bolagen identifiera sig för det kontoförvaltande institutet. Åtkomst till betalkontoinformation via kundgränssnitt utan identifiering är inte tillåten. Företag som tillhandahåller betalningsinitieringstjänster och/eller kontoinformationstjänster får inte behandla mer information än nödvändigt för att tillhandahålla den specifika betaltjänsten i varje anrop.

Reglerna medför anmälningsplikt för:

  • företag med betaltjänster som baseras på betalningsinstrument som enbart kan nyttjas inom ett begränsat nätverk av leverantörer, hos en leverantör i dennes affärsställe eller i fråga om ett mycket begränsat varu- eller tjänsteutbud.
  • företag som tillhandhåller betalningstransaktioner som genomförs via en leverantör av elektroniska kommunikationsnät eller elektroniska kommunikationstjänster vilken fungerar som mellanhand, om betalningstransaktionerna faktureras på leverantörens faktura.

Säkerhet: Bestämmelserna medför krav på en betaltjänstleverantörs hantering av säkerhet och risker.

FI:s föreskrifter med anledning av PSD 2

Finansinspektionen har föreskrifter om betaltjänstverksamhet som gäller för alla typer av företag som tillhandahåller betaltjänster, så kallade betaltjänstleverantörer. I föreskrifterna ställs krav på att leverantörerna ska ha system för operativa risker och säkerhetsrisker, samt att de ska rapportera incidenter i verksamheten till FI. Det anges även vid vilken tidpunkt de ska komma in med uppgifter om till exempel svikliga förfaranden.

Direktiv och delegerad förordning

Det andra betaltjänstdirektivet

Europaparlamentets och rådets direktiv (EU) 2015/2366 (PSD 2) om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (PSD) (publicerades den 23 december 2015 och trädde i kraft den 13 januari 2018)

Den delegerade förordningen

Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder (trädde i kraft den 14 september 2019)

Läs mer

Senast granskad: 2019-03-11
Laddar sidan