Kustannusten kurissa pitäminen, kompensaatiomahdollisuus ja siirtymäaikojen kohtuullisuus ovat Finanssiala ry:n jäsenille erittäin tärkeitä näkökulmia
- Komission kesäkuussa antama esitys PSD2-sääntelyn uudelleentarkastelusta sisältää ehdotuksen maksupalveluasetukseksi (PSR) ja maksupalveludirektiivin muuttamiseksi (PSD3). Alan kannalta ongelmallisimmat ehdotukset liittyvät asetusehdotukseen.
- Finanssiala ry (FA) kannattaa U-kirjelmässä esiin nostettua rajapintojen käytön kompensaatiomahdollisuutta.
- FA pitää erittäin tärkeänä, että kirjelmässä esitetyn mukaisesti sääntelyn kustannukset ja hallinnolliset vaikutukset arvioidaan tarkasti ja pidetään huolta siitä, että toimijoille ei aiheudu kohtuutonta taloudellista tai hallinnollista taakkaa.
- Kirjelmässä esiin tuodut sääntelyn selkeys ja päällekkäisen sääntelyn välttäminen ovat myös erittäin tärkeitä näkökulmia, ja komission ehdotus sisältää useita tältä kannalta ongelmallisia kohtia, joita on osin kuvattu tarkemmin jäljempänä.
- Pankit Suomessa kantavat suurta huolta maksupetosten määrän kasvusta. Olemme yhtä mieltä kirjelmän kanssa siitä, että petosten ehkäisemiseen on pyrittävä löytämään tehokkaita keinoja. Yhtenä keinona sääntelyssä tulisi varmistaa, että pankeilla on lainsäädännössä riittävä tuki petolliseksi epäilemiensä maksujen pysäyttämiseen. Komission ehdotukseen sisältyvä pankkien korvausvastuun lisääminen ei johda petosten määrän vähenemiseen.
- Täytäntöönpano- ja siirtymäaikojen osalta on erittäin tärkeää, että ne ovat selkeästi pidemmät kuin komission esittämä 18 kk. Erityisen tärkeää on, että määräaikojen laskennassa otetaan kirjelmässä esitetyllä tavalla huomioon alemman tason sääntelyn voimaantulo.
U 51/2023 vp
1 Kompensaatiomalli tulisi tuoda PSR-sääntelyyn samoin kuin FIDA:aan
FA kannattaa kirjelmässä esiin nostettua rajapintojen käytön kompensaatiota.
Edellisellä sääntelykierroksella eli PSD2:ssa on omaksuttu poikkeuksellinen ja epätasapainoinen periaate, jonka mukaan pankkien tulee tarjota rajapintansa maksutta kaupallisin ehdoin toimivien, pankkien rajapintoja palveluidensa tuottamisessa hyödyntävien TPP-toimijoiden (tilitieto- tai maksunkäynnistyspalvelun tarjoajat) käyttöön. Epätasapainoa lisää vielä se, että pankkien on toteutettava rajapintoihin kaikki samat toiminnallisuudet, jotka ne tuovat omiin palveluihinsa. Pankkien kehittämien ratkaisujen rakennuskustannuksia on tällä tavalla kohtuuttomasti lisätty ja vähennetty niiden mahdollisuuksia kilpailla TPP-toimijoiden kanssa omilla ratkaisuillaan.
Yhtä aikaa käsillä olevien ehdotusten kanssa annetussa Open Finance/ FIDA -ehdotuksessa tämä ”valuvika” on korjattu mahdollistamalla finanssialan yrityksille kompensaatio niiden luovuttamasta datasta. Komission perustelu sille, miksi kompensaatiota ei ulotettaisi myös maksupalvelusääntelyyn – ei ole olemassa todisteita siitä, että kompensaatiomalli parantaisi API-rajapintojen laatua – on vähintäänkin kummallinen. Kompensaatiota ei ole ollut käytössä, joten sen vaikutuksista ei voi olla todisteita. Toisena perusteluna korvauksettomuudelle komissio mainitsee korvauksen markkinaa häiritsevän vaikutuksen. Tämän osalta voidaan todeta, että TPP-toimijat ovat saaneet tukea liiketoimintansa käyntiin saamiseen, mutta tällainen tuki markkinatoimijalta toiselle on täysin poikkeuksellista ja kompensaation käyttöönotto palauttaisi tilanteen normaalimmaksi.
2 Sääntelyn kustannukset ja hallinnollinen taakka
Komission ehdotukseen sisältyy useita uusia, oletettavasti suuriakin kustannuksia aiheuttavia velvoitteita ja vastuita pankeille, esim. API-rajapintojen muokkaaminen, suostumuksenhallintatyökalun ja saajan tilinumeron ja nimen vertailupalvelun rakentaminen, saajan kaupallisen nimen kertominen maksajan tiliotteella sekä velvoite korvata pankin nimissä tapahtuneen huijauksen kohteeksi joutuneelle asiakkaalle tämän menettämät varat. Uusien vaatimusten toteuttaminen tuottaa huomattavia kustannuksia. Edellisessä kappaleessa mainittu kompensaatiomahdollisuus tasapainottaisi tilannetta edes pieneltä osin.
3 Sääntelyn selkeydestä ja päällekkäisen sääntelyn välttämisestä on pidettävä huolta
FA jakaa kirjelmässä todetun huolen sääntelyn selkeydestä ja yksiselitteisyydestä. Asetusehdotuksessa (PSR) on useissa kohtaa epäsymmetrisyyttä, esim. kirjelmässäkin esiin nostettu velvoite maksajan pankille kertoa maksajan tiliotteella saajan kaupallinen nimi (PSR art 25). Tieto kaupallisesta nimestä on saatavissa ainoastaan saajalta itseltään sen maksupalveluntarjoajan kautta. Ottaen huomioon maksamisen monimutkaisen verkostomaisen luonteen, tulisi tarkkaan tutkia, mitkä kaikki toimijat olisi saatettava tämän velvoitteen piiriin. FA haluaa myös huomauttaa, että saajan tietojen näyttämisestä tiliotteella on parhaillaan käynnissä ERPB:n [1]projekti, joten asiasta säätäminen tuntuu ennenaikaiselta.
Saajan nimen ja tilinumeron vertailun toteutukseen (art 50) liittyy myös useita epäselvyyksiä. Kustannusten kannalta tärkeintä olisi huolehtia siitä, että säännös yhtenäistetään parhaillaan trilogikäsittelyssä olevan pikamaksusääntelyn kanssa.
Suostumuksenhallintatyökalun (art 43) osalta peruuttaminen ja uudelleen aktivointi ovat ongelmallisia; vaadittuun peruuttamistiedon jakamiseen ei ole välinettä ja uudelleenaktivoinnin vaatiman tiedon säilyttäminen olisi raskasta ja mahdollisesti ristiriidassa tietosuojasääntelyn tiedon minimointiperiaatteen kanssa.
Ei-digitaalisille asiakkaille tarjottavan tunnistusvälineen (art 88(2)) osalta on syytä miettiä, tuleeko siitä säätää erikseen maksupalvelusääntelyssä. Tunnistusvälineitä koskee jo ainakin esteettömyys- ja saavutettavuuslainsäädäntö sekä eIDAS-sääntely, joka on myös parhaillaan uudelleentarkastelussa.
PSR art 35 mukainen API-rajapintojen standardinmukaisuuden vaatimus on epäselvä. PSD2 osalta jätettiin API-standardien luominen markkinoiden tehtäväksi. Standardeja syntyi useampia, mutta yksikään niistä ei tietääksemme ole ISO- tai CEN-hyväksytty. Mikäli ko. artiklassa tarkoitetaan vain rajapinnoissa käytettäviä sanomastandardeja, tulisi se todeta yksiselitteisesti.
Uusista TPP as a service -toimijoista on todettu vain, että nämä voivat vapaasti toimittaa (asiakkaan luvalla) pankista saamansa tiedot muille palveluntarjoajille, jotka tarjoavat varsinaisen palvelun asiakkaalle. FA haluaa huomauttaa, että lopullisen palvelun tarjoajilta ei vaadita toimilupaa eikä edes ilmoittautumista valvojalle, eikä niiden toimintaa näin ollen valvota millään tavoin. Epäselväksi jää, onko tämä linjassa sääntelyllä tavoitellun lisääntyneen turvallisuuden ja luottamuksen kanssa.
Esityksessä myös delegoitaisiin vahva tunnistaminen tilitietopalveluun tapahtuvaksi tilitietopalveluntarjoajan vahvalla tunnistamisella (PSR art 86 (4)). Tällä hetkellä pääsy on vahvistettava tilinpitäjäpankin tunnisteilla. Ratkaisun vaikutusta palvelun turvallisuuteen ei FA:n mielestä ole riittävästi analysoitu. Epäselvää on, millä tavalla tilitietopalvelutarjoajien tarjoamia vahvan tunnistamisen ratkaisuja valvotaan.
4 Petosten torjunnan keinojen tehokkuus on harkittava tarkasti
Petosten torjunta on sekä lainsäätäjälle, asiakkaille että pankeille yhteinen tavoite. Pankit käyttävät merkittävästi resursseja väärinkäytösten havaitsemiseen ja estämiseen ja tiedottavat ja opastavat asiakkaitaan jatkuvasti välttämään havaittuja väärinkäyttöyrityksiä.
Komissio esittää uusiksi väärinkäytösten ehkäisemisen työkaluiksi tietojenvaihtoa rikoksiin käytetyistä tileistä, saajan tilinumeron ja nimen vertailupalvelua sekä pankkien korvausvastuun tiukentamista.
Tietojenvaihto niin sanotuista muulitileistä voisikin FA:n käsityksen mukaan toimia tehokkaasti rikollisuuden kitkemisessä. Ehdotuksessa asetettu kahdelta asiakkaalta samalle pankille tulleen ilmoituksen vaatimus on kuitenkin liian tiukka ja vesittää toiminnallisuuden tehokkuutta. Esitetty tilinumeron ja nimen vertailu saattaisi estää osan niistä rikoksista, joissa asiakas itse on erehdytettynä hyväksymässä maksua. Sen sijaan tapauksissa, joissa asiakkaan pankkitunnukset on saatu rikollisten haltuun (ns. kalastelurikokset), tai joissa rikolliset ovat manipuloineet asiakkaan tekemään maksun (erityisesti ns. rakkaushuijaukset), ei vertailun avulla todennäköisesti saada rikoksia estettyä.
Kirjelmässä onkin nostettu esille tarve selvittää vielä muita väärinkäytöksiä estäviä toimenpiteitä ja esimerkkinä on mainittu mahdollisuus hidastaa maksuja. FA haluaa huomauttaa, että maksujen toteuttamisajasta säädetään sekä olemassa olevassa lainsäädännössä että tulevassa pikamaksusääntelyssä, eikä poikkeaminen näistä näyttäisi olevan mahdollista edes asiakkaan kanssa niin sovittaessa. Olisikin tärkeää varmistaa, että sekä PSR- että pikamaksusääntely antaa pankeille riittävän mandaatin maksujen pysäyttämiseen, mikäli pankissa on syytä epäillä petosta.
On otettava huomioon, että pankit kehittävät jatkuvasti omaehtoisesti maksujen monitorointijärjestelmiään havaitsemaan petoksia paremmin. Resurssien käyttäminen näiden järjestelmien kehittämiseen on pankkien näkökulmasta tehokkainta rikosten ehkäisemistä, ottaen myös huomioon esitykseen sisältyvät tiukkenevat korvausvelvoitteet.
Komission ehdotukseen sisältyvä velvoite pankille korvata sen nimissä tehdyn huijauksen uhrin menettämät varat ei palvele huijausten estämistä, vaan saattaa houkutella rikollisia uudenlaisten petosmallien kehittämiseen. Vastaava malli on ollut käytössä Hollannissa, jossa tänä aikana petosten määrä on kolminkertaistunut ja maksettujen korvausten määrä kaksinkertaistunut. Sääntelyyn ei tule ottaa säännöstä, joka merkitsisi suoraa tulonsiirtoa pankeilta rikolliselle teollisuudelle. On myös otettava huomioon, että merkittävä osa ns. impersonaatiorikoksista[2] tapahtuu muiden toimijoiden (esim. vero, posti, omakanta) kuin pankkien nimissä, joten on kummallista, jos vain pankeille asetetaan korvausvelvollisuus niiden nimissä tehdyistä rikoksista.
Impersonaatiorikoksissa käytettävien puhelinnumeroiden, nettisivujen ja sähköpostiosoitteiden väärentämisen estämisellä rikollisuutta pystyttäisiin vähentämään. Ehdotukseen sisältyvä velvoite teleyrityksille tehdä yhteistyötä pankkien kanssa uhkaa jäädä tyhjäksi velvoitteeksi. Yhteistyön sisältö jää määrittämättä, ko. yritykset eivät lähtökohtaisesti kuulu sääntelyn soveltamisalaan, eikä ehdotus sisällä velvoitteen noudattamisen valvontaa tai sanktioita koskevaa sääntelyä.
FINANSSIALA RY
Hannu Ijäs
[1]Euro Retail Payments Board, Euroopan keskuspankin perustama korkean tason strateginen elin, jonka tehtävänä on edistää euroalueen vähittäismaksujen yhdentymistä, innovointia ja kilpailukykyä.
[2] Impersonaatiorikoksessa henkilö käyttää toisen henkilön tai yrityksen nimeä tai muita tietoja ilman yrityksen suostumusta. Esimerkiksi jos henkilö luo valeprofiilin tai valeverkkosivun yrityksen nimellä tai lähettää sähköpostia tai tekstiviestejä yrityksen nimissä.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
