Rapportering enligt andra betaltjänstdirektivet (PSD 2)

Översikten visar FIs syn på kraven för viss händelsestyrd och periodisk rapportering som anges i PSD 2, lagen om betaltjänster (2010:751) och i tillämpliga riktlinjer från Europeiska Bankmyndigheten (EBA). Det kan noteras att Finland och även flera av de Baltiska staterna har lagstiftning som medför avsteg från de redovisade rapporteringsvägarna. Översikten ska inte betraktas som ett regeldokument utan utgör endast vägledning.

Rapportering av allvarlig operativ incident eller säkerhetsincident Lagstiftning: 5b kap. 3 § lagen (2010:751) om betaltjänster PSD 2: Artikel 96(1) Tillämpliga riktlinjer: EBA/GL/2021/03
Rapporteringsskyldig		Rapporterar till
Betaltjänstleverantör i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet)		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat		Sin huvudman som vidarebefordrar rapporten till tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat		Tillsynsmyndighet  i värdmedlemsstat

 

Årlig rapportering av operativa risker och säkerhetsrisker som är förknippade med leverantörens betaltjänstverksamhet Lagstiftning: 5 b kap. 2 § första stycket lagen (2010:751) om betaltjänster PSD 2: Artikel 95(2) Tillämpliga riktlinjer: EBA/GL/2017/17
Rapporteringsskyldig		Rapporterar till
Betaltjänstleverantör i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet)		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat		Sin huvudman som vidarebefordrar rapporten till tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat		Tillsynsmyndighet i hemmedlemsstat

 

Statistiska uppgifter om svikliga förfaranden Lagstiftning: 5 b kap. 2 § andra stycket lagen (2010:751) om betaltjänster PSD 2: Artikel 96(6) Tillämpliga riktlinjer: EBA/GL/2020/01
Rapporteringsskyldig		Rapporterar till
Betaltjänstleverantör i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet)		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat		Tillsynsmyndighet i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat		Tillsynsmyndighet i hemmedlemsstat

 

Underrättelse om underlåtelse att återställa konto vid misstanke om att transaktionen är behörig Lagstiftning: 5 a kap. 1 § andra stycket lagen (2010:751) om betaltjänster PSD 2: Artikel 73 Tillämpliga riktlinjer: Saknas
Rapporteringsskyldig		Rapporterar till
Betaltjänstleverantör i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat		Tillsynsmyndighet i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet)		Tllsynsmyndighet i värdmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat		Tillsynsmyndighet i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat		Tillsynsmyndighet i värdmedlemsstat

 

Betaltjänstleverantörer ska rapportera allvarliga operativa incidenter och säkerhetsincidenter till FI. Betaltjänstleverantören ska rapportera incidenten i Finansinspektionens rapporteringssystem Fidac.

Uppgifterna ska lämnas enligt blankettens avsnitt A–C enligt nedan.

A. Lämnas inom fyra timmar efter det att att en operativ incident eller en säkerhetsincident har klassificerats som allvarlig (avsnitt A – Inledande rapport),

B. Mellanliggande rapport – Lämnas när det finns uppdaterad information och senast inom tre arbetsdagar från det att den inledande rapporten lämnades in (avsnitt B – Mellanliggande rapport), och

C. Slutrapport – Lämnas senast 20 arbetsdagar efter det att verksamheten fungerar normalt igen (avsnitt C – Slutrapport)..

• Rapporteringskravet gäller från och med den 1 maj 2018.
• Rapporten ska inte innehålla information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information.

Europeiska bankmyndigheten (EBA) har utfärdat riktlinjer (EBA/GL/2021/03) för rapportering vid allvarliga incidenter enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2). Riktlinjerna innehåller bland annat information om hur man bör bedöma om en operativ incident eller säkerhetsincident ska anses allvarlig.

Läs mer

EBA:s riktlinjer för rapportering vid allvarliga incidenter (EBA/GL/2021/03)

FI tillämpar riktlinjer för rapportering vid allvarliga incidenter

En betaltjänstleverantör ska från och med den 21 februari 2019 årligen komma in till Finansinspektionen med en rapport som innehåller en aktuell och övergripande bedömning av de operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som leverantören tillhandahåller, och en beskrivning av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker. Rapporten ska även innehålla en bedömning av lämpligheten av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker.

Finansinspektionen har inte publicerat någon särskild mall för denna rapport. Vägledning för hur rapporteringen kan utformas finns i de dokumentationskrav som framgår i Finansinspektionens föreskrifter FFFS 2018:4 om verksamhet för betaltjänstleverantörer samt i beslutspromemorian "Nya föreskrifter och allmänna råd för betaltjänstleverantörer" (Dnr 15-10584).

• Kravet gäller från och med den 21 februari 2019.
• Underrättelsen bör lämnas genom krypterad mejl till: finansinspektionen@fi.se. Ange dnr: 24-6.
• Information om kryptering av mejl.

Europeiska bankmyndigheten, EBA, har utfärdat riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2).

Läs mer

EBA:s riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

FI tillämpar EU-riktlinjer för säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

Mappning av hur kraven i FFFS 2018:4 förhåller sig till FFFS 2014:1, 2014:4 och 2014:5

Rapportering av statistiska uppgifter om svikliga förfaranden i samband med olika former av betalningsmetoder baseras på en riktlinje från EBA: EBA/GL/2020/01. I svensk rätt ställs motsvarande rapporteringskrav i Finansinspektionens föreskrifter (FFFS 2018:4) om verksamhet för betaltjänstleverantörer.

En Betaltjänstleverantör är skyldig att lämna statistiska uppgifter till Finansinspektionen om svikliga förfaranden som har ägt rum i samband med användningen av betaltjänster under det föregående halvåret. Uppgifterna ska rapporteras halvårsvis till myndigheten, senast den 21 februari respektive senast den 21 augusti.

Betaltjänstleverantörer som är registrerade betaltjänstleverantörer (enligt lagen [2010:751] om betaltjänster 2 kap. 3§) och registrerade utgivare av elektroniska pengar (enligt lag [2011:755] om elektroniska pengar 2 kap. 3§) ska endast lämna sådana uppgifter en gång per år (21 februari).

Om det har genomförts en obehörig transaktion från en kontohavares konto, ska betaltjänstleverantör som regel återställa kontot till den ställning det skulle ha haft om transaktionen inte hade genomförts omedelbart. En betaltjänstleverantör som har anledning att misstänka att transaktionen är behörig har rätt till skälig tid för att undersöka saken. Betaltjänstleveratören ska skriftligen underrätta FI om anledningen till att ett konto inte återställs omedelbart eller senast i slutet av den bankdag som inträffar efter det att betaltjänstleverantörer har fått kännedom om transaktionen.

• Kravet gäller från och med den 1 maj 2018.
• Underrättelsen bör lämnas genom krypterad mejl. Så mejlar du krypterat.
• Mejla din underrättelse via denna länk
  (Om du inte kan använda länken, mejla till finansinspektionen@fi.se, ange dnr: 24-3, rapporterande betaltjänstleverantör, rapporteringsdatum, transaktionsdatum, ärendenummer hos betaltjänstleverantören, betalmedel, belopp, skäl till att kontot inte återställts, kontaktperson för rapporterande betaltjänstleverantör.)

En betaltjänstleverantör som förvaltar ett betalkonto får som huvudregel inte vägra en leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst åtkomst till ett konto. Bara om det finns objektiva skäl som är tillräckligt underbyggda får en tredjepartsleverantör nekas tillgång. Om det sker ska betaltjänstleverantören som förvaltar kontot omedelbart underrätta Finansinspektionen om detta. Betaltjänstleverantören ska ange skälen bakom vägran i underrättelsen.

• Kravet gäller från och med den 1 maj 2018.
• Underrättelsen bör lämnas genom krypterad mejl till: finansinspektionen@fi.se. Ange dnr: 24-2.
• Information om kryptering av mejl.

Ett kreditinstitut ska ge betaltjänstleverantörer som begär det tillgång till kreditinstitutets betalkontotjänster, på objektiva icke-diskriminerande och objektiva grunder. Tillgång ska ges i den omfattning som krävs för att betaltjänstleverantörer ska kunna tillhandahålla sina betaltjänster obehindrat och effektivt. Om ett kreditinstitut nekar en betaltjänstleverantör tillgång till institutets betalkontotjänster, ska institutet meddela Finansinspektionen och ange skälen för detta.

• Kravet gäller från och med den 1 maj 2018.
• Underrättelsen bör lämnas genom krypterad mejl till: finansinspektionen@fi.se. Ange dnr: 24-4.
• Information om kryptering av mejl.

En betaltjänstleverantör som tillhandahåller betalkonton med grundläggande funktioner (enligt 4 a kap. 2 § lagen (2010:751) om betaltjänster), ska från och med den 31 oktober 2018 lämna uppgifter till FI om den lägsta avgift som leverantören erbjuder alla konsumenter för de tjänster som framgår av den förteckning över de mest representativa tjänsterna knutna till betalkonton i Sverige som FI publicerar.

Rapporteringskravet gäller från den 31 oktober 2018.
Uppgifterna ska lämnas löpande via FI:s webbtjänst för löpande rapportering på det sätt som anvisas där.

Uppgifterna ska lämnas till FI senast samma bankdag som avgiften börjar tillämpas av betaltjänstleverantören.

 

Förteckning över de mest representativa tjänsterna knutna till betalkonton

Kontoförvaltande betaltjänstleverantör samt leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst ska utan onödigt dröjsmål rapportera problem med särskilda gränssnitt till Finansinspektionen. Detta gäller då gränssnittens funktion inte uppfyller kraven i kommissionens delegerade förordning (EU) 2018/389, artikel 32, om gränssnittet utsätts för ett oplanerat driftstopp eller om det inträffar en systemkollaps. Ett oplanerat driftstopp eller en systemkollaps kan antas ha inträffat när fem på varandra följande begäranden om tillgång till information i syfte att tillhandahålla en betalningsinitieringstjänst eller kontoinformationstjänst inte besvaras inom 30 sekunder.

• Kravet gäller från och med den 14 september 2019.
• Rapporteringen bör lämnas genom krypterad mejl till: finansinspektionen@fi.se Ange dnr: 24-7
• Så mejlar du krypterat.