Ohita valintanauhan komennot
Siirry pääsisältöön
SharePoint
Finanssialan Keskusliitto > Uutismajakka > Kysymyksiä ja vastauksia toisesta maksupalveludirektiivistä (PSD2)

Kysymyksiä ja vastauksia toisesta maksupalveludirektiivistä (PSD2)

Toinen maksupalveludirektiivi (PSD2) tuli voimaan 13.1.2016. Se on pantava kansallisesti täytäntöön kahden vuoden kuluessa. Koska PSD2:lla kumotaan aikaisempi maksupalveludirektiivi vuodelta 2007 (PSD1), täytäntöönpano aiheuttaa muutoksia maksupalvelulakiin ja maksulaitoslakiin.

Keskeisimmät muutokset koskevat kolmansia maksupalveluntarjoajia, jotka voivat tarjota maksutoimeksiannon käynnistyspalvelua, tilitietopalvelua tai laskea liikkeelle korttipohjaisia maksuvälineitä. Maksutilejä ylläpitävien maksupalveluntarjoajien, kuten pankkien, on puolestaan tarjottava kolmansille maksupalveluntarjoajille rajoitettu pääsy asiakkaidensa maksutileille.  Maksutilien ylläpitäjät voivat myös itse toimia kolmansina maksupalveluntarjoajina. Lisäksi asiakkaan vahva tunnistamisesta tulee pääsääntöisesti pakollista.

PSD2:ssa annetaan paljon säädösvaltaa Euroopan pankkivalvojalle (EBA). Yksi keskeisimmistä on sitova tekninen sääntelystandardi, joka koskee asiakkaan vahvaa tunnistamista ja turvallista kommunikaatiota maksupalveluosapuolien välillä (ns. autentikointi-RTS). Määräyksissä on täsmennettävä muun muassa vaatimukset, jotka koskevat käyttäjien henkilökohtaisten tunnisteiden luottamuksellisuuden ja eheyden suojaamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja. EBA antoi lopullisen määräysluonnoksen komissiolle 23.2.2017.

Autentikointi-RTS:ää ja siihen liittyviä PSD2:n säännöksiä sovelletaan 18 kuukauden siirtymäajan jälkeen autentikointi-RTS:n voimaantulosta. Tämän hetkisen arvion mukaan soveltaminen alkaisi loppuvuodesta 2018.

1      Mikä on PSD2n keskeinen sisältö?

Toimiluvan saaneille tai rekisteröidyille kolmansille maksupalveluntarjoajille on sallittava rajoitettu pääsy muiden maksupalveluntarjoajien kuten pankkien ylläpitämille maksutileille.  Maksutoimeksiannon käynnistyspalvelun tarjoajalta edellytetään maksulaitostoimilupaa, tilitietopalvelun tarjoajalta rekisteröitymistä.

Kolmannet maksupalveluntarjoajat voivat tarjota maksutoimeksiantojen käynnistyspalveluja, tilitietopalveluja ja korttipohjaisia maksuvälineitä. Pääsy maksutilille edellyttää, että tiliä voidaan käyttää tietoverkon välityksellä. Pääsyn edellytyksenä ei saa olla tilinpitäjän ja kolmannen palveluntarjoajan välinen sopimus, kun kyse on direktiivin mukaisesta palvelusta.

Asiakkaan vahva tunnistaminen tulee pakolliseksi käytettäessä maksutiliä tietoverkon välityksellä, tehtäessä sähköisiä maksutapahtumia tai toimenpiteitä, joihin liittyy petoksen tai väärinkäytöksen riski. Tähän saakka asiakkaan vahva tunnistaminen maksamisessa on perustunut Euroopan keskuspankin (EKP) ja EBA:n internet-maksamista koskeviin turvallisuussuosituksiin.

Kuluttajan vastuuta maksuvälineen väärinkäytöstilanteissa rajoitetaan edelleen. Myös maksupalveluntarjoajien palautusvastuu virhe- ja väärinkäytöstilanteissa tiukentuu. Kun kyse on maksutoimeksiannon käynnistyspalvelusta, tilinpitäjä on ensi vaiheessa velvollinen palauttamaan varat asiakkaalle. Käynnistyspalvelun tarjoaja on velvollinen korvaamaan pyynnöstä palautetun rahamäärän tilinpitäjälle.

Muilta osin PSD2 ei muuta olennaisesti nykylainsäädäntöä.

2      Mikä maksutoimeksiannon käynnistyspalvelu on? Entä tilitietopalvelu ja korttipohjainen maksuväline?

Maksutoimeksiannon käynnistyspalvelu on pankin verkkopalvelun ja maksunsaajan välissä oleva palvelu, jossa maksaja voi antaa maksutoimeksiannon, joka toteutetaan tilisiirtona maksajan tililtä.  Käynnistyspalvelun tarjoaja välittää toimeksiannon pankille, joka toteuttaa maksutapahtuman. Tilinpitäjältä saamansa palautteen perusteella käynnistyspalvelun tarjoaja ilmoittaa maksutapahtuman käynnistämisestä maksunsaajalle. Palveluntarjoaja saa käyttää, hankkia ja säilyttää vain tarpeellisia tietoja maksajan pyytämän maksutoimeksiantopalvelun toteuttamiseksi.

Vastaavantyyppisiä palveluja (ns. overlay-palvelu) käytetään jo nyt esimerkiksi verkkokaupoissa ja nettipelisivustoilla, ja niillä on vakiintunut käyttäjäkuntansa myös Suomessa. Yksi tunnetuimmista palveluntarjoajista Trustly.

Tilitietopalvelun tarkoituksena on antaa maksupalvelun käyttäjälle koottua tietoa tämän maksutileistä ja niiden tilitapahtumista reaaliaikaisesti. Palvelu on hyödyllinen erityisesti, kun asiakkaalla on maksutilejä useammassa eri pankissa. Kolmannella maksupalveluntarjoajalla on pääsy vain käyttäjän nimeämien maksutilien tietoihin ja niiden maksutapahtumiin. Palveluntarjoaja saa käyttää, hankkia ja säilyttää tietoja vain käyttäjän toimeksiannon mukaisen tilitietopalvelun suorittamiseksi.

Korttipohjaisten maksuvälineiden tarkoituksena on lisätä kilpailua mahdollistamalla sekä internetissä että myyntipaikassa käytettävissä olevan maksukortin hankkiminen nykyisten korttijärjestelmien ulkopuolelta ja muulta taholta kuin tilinpitäjältä. Näissäkin tilanteissa tilinpitäjän on annettava pyynnöstä maksuvälineen liikkeellelaskijalle vahvistus (OK/NOK) katteen riittävyydestä, mutta katevarauksen tekeminen on nimenomaisesti kielletty. Korttitapahtumia vastaava veloitus tehtäisiin tililtä tavallisimmin suoraveloituksena.

3      Vahva tunnistaminen – mitä tarkoittaa käytännössä?

Vahvaa tunnistamista tarvitaan, kun maksaja käyttää tiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai tekee toimia, joihin liittyy petoksen tai muun väärinkäytöksen vaara. Väärinkäytöksen vaara voi liittyä esimerkiksi sähköisesti annettaviin valtuutuksiin ja verkkopankissa ylläpidettäviin maarajoituksiin. Etänä tehtävissä sähköisissä maksutapahtumissa edellytetään tapahtumakohtaista tunnistamista, joka voidaan yhdistää tapahtuman rahamäärään ja maksunsaajaan. Sähköisiä maksutapahtumia ovat esimerkiksi verkkopankissa tehdyt tilisiirrot ja maksupäätetapahtumat.

Vahvan tunnistamisen on täytettävä autentikointi-RTS:n vaatimukset, jolloin ne saattavat poiketa yleisistä vahvaa tunnistamista ja sähköisiä luottamuspalveluja (eIDAS) koskevista ja kansallisen tunnistusratkaisun (luottamusverkosto) vaatimuksista. PSD2:n kansallisessa täytäntöönpanossa on lähdetty siitä, että vahvan tunnistusvälineen vaatimukset täyttäisivät ainakin luottamusverkostossa käytettävät tunnistusvälineet.

PSD2:n lähtökohta on, että kolmannet maksupalveluntarjoajat voivat hyödyntää palveluissaan samoja vahvoja tunnisteita, joita asiakas käyttää tilinpitäjän omissa palveluissa, kuten verkkopankissa.

4      Mitä ongelmia PSD2:een liittyy?

Verkkopankkipalveluja ei ole suunniteltu eikä tarkoitettu kolmansien osapuolten hyödynnettäviksi. PSD2:n edellyttämä rajoitettu pääsy maksutileille edellyttää todennäköisesti muutoksia joko verkkopankkiin tai erillistä rajapintaa. Vaikka eurooppalaisia rajapintoja koskeva työ on käynnistynyt, tilanne on vielä avoin. Joka tapauksessa kolmannet maksupalveluntarjoajat aiheuttavat muutoksia pankkien tarjoamiin verkkopalveluihin.

Asiakkaan oikeus käyttää verkkopankkipalveluja perustuu asiakkaan ja pankin väliseen sopimukseen ja siinä määriteltyihin käyttö- ja muihin ehtoihin. Verkkopankkitunnusten luovuttaminen kolmannelle on sopimusehtojen mukaan kielletty. Luovuttaminen on nimenomaisesti kielletty myös tunnistuslain mukaan. Myös PSD2:ssä lähdetään siitä, että tunnisteet ovat henkilökohtaisia.

5      Onko kolmansien tarjoamien palvelujen kautta mahdollista hyödyntää myös rikollisesti asiakkaan maksutilitietoja?

Asiakas ei voi aina varmistautua palveluntarjoajan luotettavuudesta. Maksamisen palvelut ovat verkkorikollisuuden kannalta hyvin houkutteleva kohde.  Myös identiteettivarkaudet ovat yleistymässä.

PSD2:ssa riskiä pyritään vähentämään niin, että kolmansien maksupalveluntarjoajien on tunnistauduttava tilinpitäjälle kunkin toimeksiannon tai kyselyn yhteydessä. Se, miten tunnistautuminen toteutettaisiin ja miten tilinpitäjä voisi varmistua tietojen aitoudesta, on vielä avoinna.

6      Miksi verkkopankkitunnusten luovuttamista toiselle ei saisi sallia lainsäädännössä?

Tunnukset ovat henkilökohtaisia ja niiden luovuttaminen kolmannelle osapuolelle on kielletty sekä sopimusehtojen että lain mukaan. Verkkopankkitunnuksia käytetään Suomessa laajalti myös tunnistautumiseen esimerkiksi julkishallinnon palveluissa.

Myös direktiivissä edellytetään, että henkilökohtaisia tunnisteita saavat käsitellä ainoastaan tunnisteiden haltija ja tunnisteiden myöntäjä.

7      Muuttaako PSD2 käyttäjän vastuuta?

Kyllä. Kuluttajan asemassa olevan maksuvälineen käyttäjän vastuuta kavennetaan. Myös omavastuu alenee 150 eurosta 50 euroon. Rajoitus ei edelleenkään koskisi tilanteita, joissa on menetelty tahallisesti tai törkeän huolimattomasti Vahva tunnistaminen kytketään käyttäjän vastuuseen niin, että tunnistaminen puuttuessa käyttäjä vastaa ainoastaan, jos hän on toiminut petollisesti.

Väärinkäytöstilanteissa myös pankin palautusvastuu tiukkenee. Varat on palautettava yhden pankkipäivän kuluessa siitä, kun pankki on saanut ilmoituksen oikeudettomasta maksutapahtumasta. Pankki voi kuitenkin jatkaa selvittelyjä, ja vaatia asiakkaalta palautettua määrä takaisin, jos ilmoitus väärinkäytöksestä osoittautuu aiheettomaksi.