Ohita valintanauhan komennot
Siirry pääsisältöön
SharePoint
Finanssiala > Uutismajakka > Kysymyksiä ja vastauksia toisesta maksupalveludirektiivistä (PSD2)

Kysymyksiä ja vastauksia toisesta maksupalveludirektiivistä (PSD2)

Tulevaisuudessa asiakas voi maksaa tililtään ja saada tietoa tileistään muunkin kuin oman pankkinsa kautta, kun pankkien ylläpitämät maksutilit avataan ulkopuolisille maksupalveluntarjoajille. Uudistuksen myötä kuluttajien omavastuu oikeudettomista tilitapahtumista supistuu. Toiseen maksupalveludirektiiviin (PSD2) perustuvat lakimuutokset ovat voimassa 13.1.2018 lähtien. Kaikki uudistukset eivät tule samaan aikaan käyttöön.

1 Mikä on PSD2:n keskeinen sisältö?

Toimiluvan saaneille tai rekisteröidyille kolmansille palveluntarjoajille on sallittava rajoitettu pääsy muiden maksupalveluntarjoajien kuten pankkien ylläpitämille maksutileille. Kolmannet palveluntarjoajat voivat tarjota maksutoimeksiantojen käynnistyspalveluja, tilitietopalveluja ja korttipohjaisia maksuvälineitä.  Maksutoimeksiantopalvelun tarjoajalta edellytetään maksulaitostoimilupaa, tilitietopalvelun tarjoajalta rekisteröitymistä.

Palveluntarjoajan pääsy maksutilille edellyttää, että tiliä voidaan käyttää tietoverkon välityksellä. Palveluntarjoajan ei tarvitse tehdä sopimusta tilinpitäjän kanssa, vaan kaikilla luvan saaneilla tai rekisteröityneillä palveluntarjoajilla on oltava pääsy tällaisille tileille.

Asiakkaan vahva tunnistaminen tulee pakolliseksi käytettäessä maksutiliä tietoverkon välityksellä, tehtäessä sähköisiä maksutapahtumia tai toimenpiteitä, joihin liittyy petoksen tai väärinkäytöksen riski. Tähän saakka asiakkaan vahva tunnistaminen maksamisessa on perustunut Euroopan keskuspankin (EKP) ja EBA:n internet-maksamista koskeviin turvallisuussuosituksiin eikä siis ole ollut pakollista, vaikka sitä on yleisesti käytetty – ainakin Suomessa.

Kuluttajan vastuuta maksuvälineen väärinkäytöstilanteissa rajoitetaan edelleen. Toisaalta maksupalveluntarjoajien palautusvastuu virhe- ja väärinkäytöstilanteissa tiukentuu. Jos väärinkäytös tapahtuu maksutoimeksiannon käynnistyspalvelussa, pankki on ensi vaiheessa velvollinen palauttamaan varat asiakkaalle. Käynnistyspalvelun tarjoaja on velvollinen korvaamaan pyynnöstä palautetun rahamäärän pankille. Muilta osin PSD2 ei muuta olennaisesti nykylainsäädäntöä.
 

2 Mikä maksutoimeksiannon käynnistyspalvelu on? Entä tilitietopalvelu ja korttipohjainen maksuväline?

Maksutoimeksiannon käynnistyspalvelu on palvelu, jossa maksaja voi antaa verkossa (esimerkiksi verkkokaupassa) toimeksiannon, joka toteutetaan tilisiirtona maksajan tililtä.  Käynnistyspalvelun tarjoaja välittää toimeksiannon pankille, joka toteuttaa maksutapahtuman ja hyvittää rahat saajalle. Palveluntarjoaja saa käyttää, hankkia ja säilyttää vain maksajan pyytämän maksun toteuttamiseksi tarpeellisia tietoja. Tällä hetkellä vastaava maksaminen esimerkiksi kotimaisessa verkkokaupassa tapahtuu verkkopankin avulla. Maksutoimeksianto perustuu silloin välittäjän ja pankin väliseen sopimukseen.

Tilitietopalvelun tarkoituksena on antaa maksupalvelun käyttäjälle koottua tietoa tämän maksutileistä ja niiden tilitapahtumista reaaliaikaisesti. Palvelu on hyödyllinen erityisesti silloin, kun asiakkaalla on maksutilejä useammassa eri pankissa. Kolmannella maksupalveluntarjoajalla on pääsy vain käyttäjän nimeämien maksutilien tietoihin ja niiden maksutapahtumiin. Palveluntarjoaja saa käyttää, hankkia ja säilyttää tietoja vain käyttäjän toimeksiannon mukaisen tilitietopalvelun suorittamiseksi.

Korttipohjaisten maksuvälineiden sääntelyn tarkoituksena on lisätä kilpailua. Jatkossa kortilla maksamisen on oltava mahdollista muillakin kuin jo markkinoilla olevilla maksukorteilla. Näin uusilla palveluntarjoajilla on mahdollisuus tuoda markkinoille omia korttejaan. Pankin on annettava pyynnöstä tällaisenkin maksukortin liikkeellelaskijalle vahvistus asiakkaan tilin katteen riittävyydestä. Pankille on kuitenkin kiellettyä tehdä asiakkaan tilille katevarausta tällaisista korttiostoista.
 

3 Vahva tunnistaminen – mitä tarkoittaa käytännössä?

Vahvassa tunnistamisessa tunnistetaan maksuvälineellä maksun tekevä asiakas. Siinä varmistetaan, että maksun tekee todella se henkilö, jonka maksuväline on. Vahvaa tunnistamista tarvitaan, kun maksaja käyttää tiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai tekee muita toimia, joihin liittyy petoksen tai muun väärinkäytöksen vaara. Sähköisiä maksutapahtumia ovat esimerkiksi verkkopankissa tehdyt tilisiirrot ja korttien maksupäätetapahtumat sekä verkkokaupassa maksaminen.

Vahvaan tunnistamiseen on tulossa uusia vaatimuksia EU-tasolta. Asiakkaan vahvaa tunnistamista ja turvallista kommunikaatiota maksupalveluosapuolien välillä koskeva pakollinen tekninen standardi (RTS) odottaa EU-parlamentin hyväksyntää. Kun vaatimukset on hyväksytty, niitä on ryhdyttävä soveltamaan viimeistään 18 kuukauden siirtymäajan jälkeen. Tämän hetkisen arvion mukaan siirtymäaika päättyisi syksyllä 2019.

PSD2:n lähtökohta on, että kolmannet maksupalveluntarjoajat voivat hyödyntää palveluissaan samoja vahvoja tunnisteita, joita asiakas käyttää pankin omissa palveluissa. Suomessa tämä tarkoittaa verkkopankkitunnuksia. Myös kolmansien maksupalveluntarjoajien on tunnistauduttava pankin rajapinnan välityksellä.  
 

4 Mitä ongelmia PSD2:een liittyy?

Verkkopankkipalveluja ei ole suunniteltu eikä tarkoitettu kolmansien osapuolten hyödynnettäviksi. PSD2:n edellyttämä rajoitettu pääsy maksutileille edellyttää muutoksia joko verkkopankkiin tai erillistä rajapintaa. Vaikka eurooppalaisia rajapintoja koskeva standardointityö on käynnistynyt, tilanne on vielä avoin. Joka tapauksessa verkkopalveluiden turvallinen avaaminen kolmansille maksupalveluntarjoajille edellyttää muutoksia pankkien järjestelmiin. Muutosten tekeminen vie tietenkin aikansa ja niitä varten tarvitaan tarkempia teknisiä määrittelyjä, jotka ovat vasta tulossa.

Uusien toimijoiden ja tekniikoiden mukaan tulo tuottaa myös hämmennystä palveluiden turvallisuudesta. Suomessa on totuttu käyttämään pankkien tunnistuspalvelua myös maksutapahtumien käynnistämiseen verkkokaupoissa ja asiakkaat tunnistavat hyvin nämä turvallisiksi tunnetut palvelut. PSD2:en liittyvien teknisten standardien täsmentyessä toivotaan saatavan selvennystä myös siihen, miten asiakas jatkossa erottaa turvallisen, luvan saaneen palvelun, jos maksutapahtuman käynnistäminen tai tilitietokysely ei enää tapahtuisikaan pankin kirjautumissivun kautta.


5 Onko kolmansien tarjoamien palvelujen kautta mahdollista hyödyntää myös rikollisesti asiakkaan maksutilitietoja? 

Asiakkaan on tärkeä varmistua palveluntarjoajan luotettavuudesta. Maksamisen palvelut ovat verkkorikollisuuden kannalta hyvin houkutteleva kohde. Myös identiteettivarkaudet ovat yleistymässä. PSD2:ssa riskiä yritetään vähentää niin, että kolmansien maksupalveluntarjoajien on tunnistauduttava pankille kunkin toimeksiannon tai kyselyn yhteydessä. Se, miten kolmannen palveluntarjoajan tunnistautuminen toteutetaan ja miten pankki voi varmistua tietojen aitoudesta, on vielä avoinna.
 

6 Mitä tarkoittaa Screen Scraping, ruutukaappaus tai kuvakaappaus ja miksi se on kiellettyä?

Screen Scrapingilla eli kuvakaappauksella tarkoitetaan sitä, että maksupalvelun tai tilitietopalvelun tarjoaja pyytää asiakasta antamaan pankkitunnuksensa omalle sivulleen (eikä pankin tunnistautumislinkin kautta) ja kirjautuu sen jälkeen tunnusten avulla asiakkaan verkkopankkiin. 

Suomen valvontaviranomaisen (Finanssivalvonta) mukaan Screen Scraping ei ole sallittua kahdestakaan syystä. Palveluntarjoaja ei tällä menetelmällä pystyisi täyttämään omaa lainsäädännön edellyttämää tunnistautumisvelvollisuuttaan pankille. Toisaalta se mahdollistaa pääsyn yksilöityjen maksutilitietojen lisäksi myös muihin asiakkaan verkkopankissa oleviin tietoihin, mihin uusi sääntely ei anna oikeutta.

7 Muuttaako PSD2 käyttäjän vastuuta? 

Kyllä. Kuluttajan asemassa olevan maksuvälineen käyttäjän vastuuta kavennetaan. Myös omavastuu alenee 150 eurosta 50 euroon. Rajoitus ei edelleenkään koske tilanteita, joissa on menetelty tahallisesti tai törkeän huolimattomasti.

Väärinkäytöstilanteissa myös pankin palautusvastuu tiukkenee. Varat on palautettava yhden pankkipäivän kuluessa siitä, kun pankki on saanut ilmoituksen oikeudettomasta maksutapahtumasta. Pankki voi kuitenkin jatkaa selvittelyjä, ja vaatia asiakkaalta palautettua määrä takaisin, jos ilmoitus väärinkäytöksestä osoittautuu aiheettomaksi.
 

8 Milloin PSD2:n mukaisia uusia palveluja on saatavilla?

Uusien palvelujen tulo asiakkaan ulottuville riippuu lainsäädäntö- ja standardointityön etenemisestä. Palveluja ei voi rakentaa, ennen kuin suuntaviivat ovat selvillä. Muutosten teko pankkien järjestelmiin vie aikaa. Jos lainsäädäntö teknisten asioiden osalta etenee aikataulussa, valmista tulee syksyyn 2019 mennessä. Uusia palveluja voi ilmestyä asiakkaille jo aiemmin.