Rapportering enligt andra betaltjänstdirektivet (PSD 2)

Från och med den 1 maj 2018 gäller nya regler om rapporteringskrav för betaltjänstleverantörer. De nya kraven omfattar samtliga kategorier av betaltjänstleverantörer. Det innebär att kraven gäller för kreditinstitut, betalningsinstitut, registrerade betaltjänstleverantörer, institut för elektroniska pengar och registrerade utgivare av elektroniska pengar.

Kravet på rapportering av statistiska uppgifter om svikliga förfaranden gäller även för utländska betaltjänstleverantörer med filial i Sverige.


Under respektive rapporteringsflik nedan presenteras de nya rapporteringskraven.

Översikt över rapporteringsvägar för viss händelsestyrd och periodisk rapportering under det andra betaltjänstdirektivet (PSD 2)

Översikten visar FIs syn på kraven för viss händelsestyrd och periodisk rapportering som anges i PSD 2, lagen om betaltjänster (2010:751) och i tillämpliga riktlinjer från Europeiska Bankmyndigheten (EBA). Det kan noteras att Finland och även flera av de Baltiska staterna har lagstiftning som medför avsteg från de redovisade rapporteringsvägarna. Översikten ska inte betraktas som ett regeldokument utan utgör endast vägledning.

Rapportering av allvarlig operativ incident eller säkerhetsincident
Lagstiftning: 5b kap. 3 § lagen (2010:751) om betaltjänster
PSD 2: Artikel 96(1)
Tillämpliga riktlinjer: EBA/GL/2021/03
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Sin huvudman som vidarebefordrar rapporten
till tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet 
i värdmedlemsstat

 


Årlig rapportering av operativa risker och säkerhetsrisker som är förknippade med leverantörens betaltjänstverksamhet
Lagstiftning: 5 b kap. 2 § första stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 95(2)
Tillämpliga riktlinjer: EBA/GL/2017/17
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Sin huvudman som vidarebefordrar rapporten till tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i hemmedlemsstat

 


Statistiska uppgifter om svikliga förfaranden
Lagstiftning: 5 b kap. 2 § andra stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 96(6)
Tillämpliga riktlinjer: EBA/GL/2018/05
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör
i värdmedlemsstat (direktöverskridande verksamhet)
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial
i värdmedlemsstat
Tillsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i hemmedlemsstat

 


Underrättelse om underlåtelse att återställa konto vid misstanke om att transaktionen är behörig
Lagstiftning: 5 a kap. 1 § andra stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 73
Tillämpliga riktlinjer: Saknas

Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tllsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Tillsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i värdmedlemsstat

 

Allvarliga operativa incidenter och säkerhetsincidenter

Betaltjänstleverantörer ska rapportera allvarliga operativa incidenter och säkerhetsincidenter till FI. Betaltjänstleverantören ska rapportera incidenten i Finansinspektionens rapporteringssystem Fidac.

Uppgifterna ska lämnas enligt blankettens avsnitt A–C enligt nedan.

A. Lämnas inom fyra timmar efter det att att en operativ incident eller en säkerhetsincident har klassificerats som allvarlig (avsnitt A – Inledande rapport),

B. Mellanliggande rapport – Lämnas när det finns uppdaterad information och senast inom tre arbetsdagar från det att den inledande rapporten lämnades in (avsnitt B – Mellanliggande rapport), och

C. Slutrapport – Lämnas senast 20 arbetsdagar efter det att verksamheten fungerar normalt igen (avsnitt C – Slutrapport)..

  • Rapporteringskravet gäller från och med den 1 maj 2018.
  • Rapporten ska inte innehålla information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information.

Europeiska bankmyndigheten (EBA) har utfärdat riktlinjer (EBA/GL/2021/03) för rapportering vid allvarliga incidenter enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2). Riktlinjerna innehåller bland annat information om hur man bör bedöma om en operativ incident eller säkerhetsincident ska anses allvarlig.

Läs mer

EBA:s riktlinjer för rapportering vid allvarliga incidenter (EBA/GL/2021/03)

FI tillämpar riktlinjer för rapportering vid allvarliga incidenter

Operativa risker, säkerhetsrisker och åtgärder

En betaltjänstleverantör ska från och med den 21 februari 2019 årligen komma in till Finansinspektionen med en rapport som innehåller en aktuell och övergripande bedömning av de operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som leverantören tillhandahåller, och en beskrivning av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker. Rapporten ska även innehålla en bedömning av lämpligheten av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker.

Finansinspektionen har inte publicerat någon särskild mall för denna rapport. Vägledning för hur rapporteringen kan utformas finns i de dokumentationskrav som framgår i Finansinspektionens föreskrifter FFFS 2018:4 om verksamhet för betaltjänstleverantörer samt i beslutspromemorian "Nya föreskrifter och allmänna råd för betaltjänstleverantörer" (Dnr 15-10584).

Europeiska bankmyndigheten, EBA, har utfärdat riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2).

Läs mer

EBA:s riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

FI tillämpar EU-riktlinjer för säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

Mappning av hur kraven i FFFS 2018:4 förhåller sig till FFFS 2014:1, 2014:4 och 2014:5

Rapportering av statistiska uppgifter om svikliga förfaranden

Rapportering av statistiska uppgifter om svikliga förfaranden i samband med olika former av betalningsmetoder baseras på en riktlinje från EBA: EBA/GL/2020/01. I svensk rätt ställs motsvarande rapporteringskrav i Finansinspektionens föreskrifter (FFFS 2018:4) om verksamhet för betaltjänstleverantörer.

En Betaltjänstleverantör är skyldig att lämna statistiska uppgifter till Finansinspektionen om svikliga förfaranden som har ägt rum i samband med användningen av betaltjänster under det föregående halvåret. Uppgifterna ska rapporteras halvårsvis till myndigheten, senast den 21 februari respektive senast den 21 augusti.

Betaltjänstleverantörer som är registrerade betaltjänstleverantörer (enligt lagen [2010:751] om betaltjänster 2 kap. 3§) och registrerade utgivare av elektroniska pengar (enligt lag [2011:755] om elektroniska pengar 2 kap. 3§) ska endast lämna sådana uppgifter en gång per år (21 februari).

Underrättelse från en betaltjänstleverantör som inte återställer konto

Om det har genomförts en obehörig transaktion från en kontohavares konto, ska betaltjänstleverantör som regel återställa kontot till den ställning det skulle ha haft om transaktionen inte hade genomförts omedelbart. En betaltjänstleverantör som har anledning att misstänka att transaktionen är behörig har rätt till skälig tid för att undersöka saken. Betaltjänstleveratören ska skriftligen underrätta FI om anledningen till att ett konto inte återställs omedelbart eller senast i slutet av den bankdag som inträffar efter det att betaltjänstleverantörer har fått kännedom om transaktionen.

  • Kravet gäller från och med den 1 maj 2018.
  • Underrättelsen bör lämnas genom krypterad mejl. Så mejlar du krypterat.
  • Mejla din underrättelse via denna länk
    (Om du inte kan använda länken, mejla till finansinspektionen@fi.se, ange dnr: 24-3, rapporterande betaltjänstleverantör, rapporteringsdatum, transaktionsdatum, ärendenummer hos betaltjänstleverantören, betalmedel, belopp, skäl till att kontot inte återställts, kontaktperson för rapporterande betaltjänstleverantör.)
Leverantör av betalningsinitieringstjänst eller kontoinformationstjänst ges inte åtkomst till konto

En betaltjänstleverantör som förvaltar ett betalkonto får som huvudregel inte vägra en leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst åtkomst till ett konto. Bara om det finns objektiva skäl som är tillräckligt underbyggda får en tredjepartsleverantör nekas tillgång. Om det sker ska betaltjänstleverantören som förvaltar kontot omedelbart underrätta Finansinspektionen om detta. Betaltjänstleverantören ska ange skälen bakom vägran i underrättelsen.

Betaltjänstleverantör får inte tillgång till betalkontotjänst (bara kreditinstitut)

Ett kreditinstitut ska ge betaltjänstleverantörer som begär det tillgång till kreditinstitutets betalkontotjänster, på objektiva icke-diskriminerande och objektiva grunder. Tillgång ska ges i den omfattning som krävs för att betaltjänstleverantörer ska kunna tillhandahålla sina betaltjänster obehindrat och effektivt. Om ett kreditinstitut nekar en betaltjänstleverantör tillgång till institutets betalkontotjänster, ska institutet meddela Finansinspektionen och ange skälen för detta.

Uppgifter om lägsta avgift för de mest representativa tjänsterna knutna till ett betalkonto

En betaltjänstleverantör som tillhandahåller betalkonton med grundläggande funktioner (enligt 4 a kap. 2 § lagen (2010:751) om betaltjänster), ska från och med den 31 oktober 2018 lämna uppgifter till FI om den lägsta avgift som leverantören erbjuder alla konsumenter för de tjänster som framgår av den förteckning över de mest representativa tjänsterna knutna till betalkonton i Sverige som FI publicerar.

Rapporteringskravet gäller från den 31 oktober 2018.
Uppgifterna ska lämnas löpande via FI:s webbtjänst för löpande rapportering på det sätt som anvisas där.

Uppgifterna ska lämnas till FI senast samma bankdag som avgiften börjar tillämpas av betaltjänstleverantören.

 

Förteckning över de mest representativa tjänsterna knutna till betalkonton

Rapportering av problem med särskilda gränssnitt

Kontoförvaltande betaltjänstleverantör samt leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst ska utan onödigt dröjsmål rapportera problem med särskilda gränssnitt till Finansinspektionen. Detta gäller då gränssnittens funktion inte uppfyller kraven i artikel 32, om gränssnittet utsätts för ett oplanerat driftstopp eller om det inträffar en systemkollaps. Ett oplanerat driftstopp eller en systemkollaps kan antas ha inträffat när fem på varandra följande begäranden om tillgång till information i syfte att tillhandahålla en betalningsinitieringstjänst eller kontoinformationstjänst inte besvaras inom 30 sekunder.


Senast granskad: 2024-01-02