14.9.2019 lähtien asiakas voi maksaa tililtään ja saada tietoa tileistään muunkin kuin oman pankkinsa kautta, kun pankkien ylläpitämät maksutilit avataan ulkopuolisille maksupalveluntarjoajille. Tämä on viimeinen vaihe toiseen maksupalveludirektiiviin (PSD2) perustuvista muutoksista. Sääntelyn tarkoituksena on lisätä kilpailua maksuliikepalveluissa ja toisaalta parantaa kuluttajansuojaa ja maksupalvelujen turvallisuutta.
Direktiivin myötä tehdyt lakimuutokset tulivat muilta osin voimaan jo 13.1.2018, jolloin mm. kuluttajien omavastuu väärinkäytöstapauksissa pieneni.
1 Mikä on PSD2:n keskeinen sisältö?
Kolmannet palveluntarjoajat voivat tarjota maksutoimeksiantojen käynnistyspalveluja, tilitietopalveluja ja korttipohjaisia maksuvälineitä. Maksutilejä ylläpitävien maksupalveluntarjoajien kuten pankkien on mahdollistettava niille rajoitettu pääsy ylläpitämilleen maksutileille. Maksutoimeksiantopalvelun tarjoajalta edellytetään maksulaitostoimilupaa, tilitietopalvelun tarjoajalta rekisteröitymistä.
Palveluntarjoajan pääsy maksutilille edellyttää, että tiliä voidaan käyttää tietoverkon välityksellä. Palveluntarjoajan ei tarvitse tehdä sopimusta tilinpitäjän kanssa, vaan kaikilla luvan saaneilla tai rekisteröityneillä palveluntarjoajilla on asiakkaan suostumuksella oltava pääsy tällaisille tileille.
Asiakkaan vahva tunnistaminen tulee pakolliseksi käytettäessä maksutiliä tietoverkon välityksellä, tehtäessä sähköisiä maksutapahtumia tai toimenpiteitä, joihin liittyy petoksen tai väärinkäytöksen riski. Tähän saakka asiakkaan vahva tunnistaminen maksamisessa on perustunut Euroopan keskuspankin (EKP) ja EBA:n internet-maksamista koskeviin turvallisuussuosituksiin eikä siis ole ollut pakollista, vaikka sitä on yleisesti käytetty – ainakin Suomessa.
Kuluttajan vastuuta maksuvälineen väärinkäytöstilanteissa pienennetään. Myös maksupalveluntarjoajien palautusvastuu virhe- ja väärinkäytöstilanteissa tiukentuu. Jos väärinkäytös tapahtuu kolmannen palveluntarjoajan palvelussa, pankki on ensi vaiheessa velvollinen palauttamaan varat asiakkaalle. Palvelun tarjoaja on periaatteessa velvollinen korvaamaan pyynnöstä palautetun rahamäärän pankille. Muilta osin PSD2 ei muuta olennaisesti nykylainsäädäntöä.
2 Mikä maksutoimeksiannon käynnistyspalvelu on? Entä tilitietopalvelu ja korttipohjainen maksuväline?
Maksutoimeksiannon käynnistyspalvelu on palvelu, jossa maksaja voi antaa verkossa (esimerkiksi verkkokaupassa) toimeksiannon, joka toteutetaan tilisiirtona maksajan tililtä. Käynnistyspalvelun tarjoaja välittää toimeksiannon pankille, joka toteuttaa maksutapahtuman ja hyvittää rahat saajalle. Palveluntarjoaja saa käyttää, hankkia ja säilyttää vain maksajan pyytämän maksun toteuttamiseksi tarpeellisia tietoja. Tällä hetkellä vastaava maksaminen esimerkiksi kotimaisessa verkkokaupassa perustuu maksunvälittäjän ja pankin väliseen sopimukseen.
Tilitietopalvelun tarkoituksena on antaa maksupalvelun käyttäjälle koottua tietoa tämän maksutileistä ja niiden tilitapahtumista reaaliaikaisesti. Palvelu on hyödyllinen erityisesti silloin, kun asiakkaalla on maksutilejä useammassa eri pankissa. Kolmannella maksupalveluntarjoajalla on pääsy vain käyttäjän nimeämien maksutilien tietoihin ja niiden maksutapahtumiin. Palveluntarjoaja saa käyttää, hankkia ja säilyttää tietoja vain käyttäjän toimeksiannon mukaisen tilitietopalvelun suorittamiseksi.
Jatkossa kortilla maksamisen on oltava mahdollista muillakin kuin jo markkinoilla olevilla maksukorteilla. Näin uusilla palveluntarjoajilla on mahdollisuus tuoda markkinoille omia korttejaan. Pankin on annettava pyynnöstä tällaisenkin maksukortin liikkeellelaskijalle vahvistus asiakkaan tilin katteen riittävyydestä. Pankille on kuitenkin kiellettyä tehdä asiakkaan tilille katevarausta tällaisista korttiostoista.
3 Vahva tunnistaminen – mitä tarkoittaa käytännössä?
Vahvassa tunnistamisessa tunnistetaan maksuvälineellä maksun tekevä asiakas. Siinä varmistetaan, että maksun tekee todella se henkilö, jonka maksuväline on. Vahvaa tunnistamista tarvitaan, kun maksaja käyttää tiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai tekee muita toimia, joihin liittyy petoksen tai muun väärinkäytöksen vaara. Sähköisiä maksutapahtumia ovat esimerkiksi verkkopankissa tehdyt tilisiirrot ja korttien maksupäätetapahtumat sekä verkkokaupassa maksaminen.
Asiakkaan vahvaa tunnistamista ja turvallista tiedonvaihtoa maksupalveluosapuolien välillä säätelevä tekninen standardi (RTS) hyväksyttiin tammikuussa 2018. Se tulee voimaan 14.9.2019. Sen mukaiset vahvan tunnistamisen elementit ovat
- jotakin, mitä vain käyttäjä tietää (esim. salasana),
- jotakin, mitä vain käyttäjällä on (esim. matkapuhelin)
- käyttäjän yksilöivä ominaisuus (nk. biometrinen tunniste, esim. sormenjälki)
Tunnistaminen on vahvaa silloin, kun käytössä on kaksi näistä kolmesta elementistä.
PSD2:n lähtökohta on, että kolmannet maksupalveluntarjoajat voivat hyödyntää palveluissaan samoja vahvoja tunnisteita, joita asiakas käyttää pankin omissa palveluissa. Suomessa tämä tarkoittaa verkkopankkitunnuksia. Myös kolmansien maksupalveluntarjoajien on tunnistauduttava pankin rajapinnan välityksellä.
4 Mitä ongelmia PSD2:een liittyy?
Uudet palvelut
Verkkopalveluiden turvallinen avaaminen kolmansille maksupalveluntarjoajille edellyttää muutoksia pankkien järjestelmiin verkkopalveluissa tai uuden teknisen yhteyden (rajapinnan) rakentamista. Verkkopankkipalveluja ei ole suunniteltu eikä tarkoitettu kolmansien osapuolten hyödynnettäviksi. Rajapintojen rakentamiseksi tarvitaan tarkempia teknisiä määrittelyjä. Määrittelyjä täsmentävät tulkinnat ovat vielä osin auki. Pankit ovat joutuneet avaamaan rajapintansa testattaviksi tietäen, että toteutus voi vielä muuttua. Varsinaista yhtenäistä standardia rajapinnalle ei ole olemassa, joten pankkien tekniset toteutukset voivat erota toisistaan.
Uusien toimijoiden ja tekniikoiden mukaan tulo voi tuottaa kuluttajille myös hämmennystä palveluiden turvallisuudesta. PSD2:en liittyvien käytännön toteutusten täsmentyessä toivotaan saatavan selvennystä myös siihen, miten asiakas jatkossa erottaa turvallisen, luvan saaneen palvelun.
Tunnistaminen
Sähköisten palveluiden vahvan tunnistamisen vaatimus aiheuttaa suuria muutoksia, jotka ulottuvat kuluttajien maksamisen käytäntöihin ja verkkokauppiaisiin. Verkkokaupassa maksaminen voi tällä hetkellä vielä perustua pelkästään maksukortin tietoihin eli kortin numeroon, voimassaoloaikaan ja cvv-/cvc -koodiin. Nämä tiedot eivät kuitenkaan täytä yhdenkään vahvan tunnistamisen elementin vaatimuksia. Syyskuun puolen välin jälkeen, 14.9.2019 alkaen, pelkillä kortin tiedoilla maksaminen on mahdollista ainoastaan poikkeustapauksissa.
Osassa suomalaisista verkkokaupoissa korttimaksut vahvistetaan jo nyt pankkitunnuksilla, mutta meilläkin on kauppoja, varsinkin mobiiliratkaisuja, joissa näin ei ole. Sääntelyn mukaan myös kauppiaalla on velvoite vahvaan tunnistamiseen, joten heidän tulee yhdessä maksupalveluntarjoajiensa kanssa päivittää järjestelmänsä vastaamaan uutta vaatimusta.
Maksun vahvistaminen pankkitunnuksilla täyttää periaatteessa vahvan tunnistamisen 2 / 3 elementin vaatimuksen. Painettujen tunnuslukulistojen osalta on kuitenkin ongelmallinen sääntelyn kohta, jonka mukaan tunnistusvälineet eivät saa olla kopioitavissa. Pankit ovatkin tuoneet tunnuslukulistojen rinnalle niitä täydentäviä tai korvaavia ratkaisuja maksamisen vahvaan tunnistamiseen.
5 Onko kolmansien tarjoamien palvelujen kautta mahdollista hyödyntää myös rikollisesti asiakkaan maksutilitietoja?
Asiakkaan on tärkeä varmistua palveluntarjoajan luotettavuudesta. Maksamisen palvelut ovat verkkorikollisuuden kannalta hyvin houkutteleva kohde. Myös identiteettivarkaudet ovat yleistymässä. PSD2:ssa riskiä yritetään vähentää niin, että kolmansien maksupalveluntarjoajien on tunnistauduttava pankille jokaisen toimeksiannon tai tilikyselyn yhteydessä. Tunnistautuminen tapahtuu luotettavan tahon antaman sertifikaatin avulla. Sertifikaatin perusteella pankki pystyy tarkistamaan, että kyseinen toimija löytyy Finanssivalvonnan rekisteristä.
6 Mitä tarkoittaa Screen Scraping, ruutukaappaus tai kuvakaappaus ja miksi se on kiellettyä?
Screen Scrapingilla eli ruutukaappauksella tarkoitetaan sitä, että maksupalvelun tai tilitietopalvelun tarjoaja pyytää asiakasta antamaan pankkitunnuksensa omalle sivulleen (eikä pankin tunnistautumislinkin kautta) ja kirjautuu sen jälkeen tunnusten avulla asiakkaan verkkopankkiin. Toinen vastaava menetelmä on Reverse Engineering.
Suomen valvontaviranomaisen (Finanssivalvonta) mukaan Screen Scraping tai Reverse Engineering ei ole sallittua kahdestakaan syystä. Palveluntarjoaja ei tällä menetelmällä pysty täyttämään omaa lainsäädännön edellyttämää tunnistautumisvelvollisuuttaan pankille. Toisaalta se mahdollistaa pääsyn yksilöityjen maksutilitietojen lisäksi myös muihin asiakkaan verkkopankissa oleviin tietoihin, mihin uusi sääntely ei anna oikeutta.
14.9.2019 alkaen näitä tekniikoita voidaan kuitenkin käyttää rajapintojen varamenettelynä. Silloin on kyseessä niin sanottu parannettu Screen Scraping tai Reverse Engineering, jossa palveluntarjoaja tunnistautuu sertifikaatillaan pankille ja pankki rajaa pääsyn vain sääntelyn sallimiin tietoihin.
7 Muuttaako PSD2 käyttäjän vastuuta?
Kyllä. Kuluttajan asemassa olevan maksuvälineen käyttäjän vastuuta vähennetään. Myös omavastuu alenee 150 eurosta 50 euroon. Rajoitus ei edelleenkään koske tilanteita, joissa kuluttaja on menetellyt tahallisesti tai törkeän huolimattomasti.
Väärinkäytöstilanteissa myös pankin palautusvastuu tiukkenee. Varat on palautettava yhden pankkipäivän kuluessa siitä, kun pankki on saanut ilmoituksen oikeudettomasta maksutapahtumasta. Pankki voi kuitenkin jatkaa selvittelyjä, ja vaatia asiakkaalta palautettua määrä takaisin, jos ilmoitus väärinkäytöksestä osoittautuu aiheettomaksi.
8 Milloin PSD2:n mukaisia uusia palveluja on saatavilla?
Pankkien rakentamien rajapintojen, jota pitkin uusien palveluntarjoajien yhteys pankkiin toteutuu, on oltava käytettävissä 14.9.2019. Toiminnan aloittamiseksi on uusien toimijoiden rekisteröinnin (tilitietopalvelut) tai toimiluvan (maksuntoimeksiantopalvelut) Finanssivalvonnassa oltava kunnossa. Ensimmäiset rajapintoihin perustuvat uudet palvelut todennäköisesti käynnistyvätkin jo syyskuussa 2019.
Jäikö kysyttävää?
|Aiheen asiantuntijat
