Päivitetty 17.12.2020
PSD2 mahdollistaa sen, että asiakas voi käyttää pankkitiliään myös muiden toimijoiden kuin oman tilipankkinsa kautta. Yhteys pankkiin ei silloin tapahdu verkkopankin, vaan erillisen, pankin rakentaman yhteyden kautta. Asiakas pitää tunnistaa vahvasti pankkitunnuksilla myös tätä uutta yhteyttä käytettäessä. Vahvan tunnistamisen vaatimus koskee kaikkea sähköisesti tapahtuvaa maksamista ja muitakin tiliin liittyviä toimeksiantoja, joihin sisältyy väärinkäytöksen riski. Vahvan tunnistamisen vaatimuksesta on kuitenkin joitakin poikkeuksia, esimerkiksi pieniä maksuja koskien.
Mitä tarkoitetaan sähköisellä maksamisella?
Sähköisessä maksamisessa maksutoimeksianto välitetään pankkiin tietoverkon välityksellä. Sähköistä maksamista on siis esim. laskujen maksaminen verkkopankissa, ostosten maksaminen verkkokaupassa ja kortilla maksaminen kaupan maksupäätteellä.
Mitä tarkoittaa vahva tunnistaminen?
Vahvassa tunnistamisessa tulee käyttää sellaisia välineitä ja menetelmiä, joiden avulla varmistutaan siitä, että asioiva henkilö on oikeasti tilin käyttöön oikeutettu. Tunnistamistietona voidaan käyttää jotakin, mitä vain sinä itse tiedät (esim. salasana tai PIN), jotakin mitä sinulla kiistattomasti on hallussasi (esim. matkapuhelin, kaupan maksupäätteellä maksettaessa kortti) tai jotakin sinut yksilöivää ominaisuutta (esim. sormenjälki). Jotta tunnistaminen olisi vahvaa, pitää siinä käyttää kahta edellä mainituista kolmesta tunnistamiselementistä. Esimerkiksi kortilla kaupan maksupäätteellä maksaessasi sinulla tulee olla hallussasi kortti ja sinun tulee tietää kortin PIN-koodi. Pankkitunnuksilla tunnistauduttaessa sinun tulee tietää verkkopankin salasanasi ja sinulla tulee olla hallussasi esim. tunnuslukulaite tai matkapuhelin.
Onko älypuhelin jatkossa välttämätön, jos haluaa asioida pankkitunnuksilla?
Pankkitunnuksissa vahvan tunnistamisen vaatimus on perinteisesti muodostunut salasanasta (se, mitä vain sinä tiedät) ja painetusta tunnuslukulistasta otetusta vaihtuvasta turvaluvusta (osoittaa, että lista on hallussasi). Tunnuslukulista ei kuitenkaan yksinään täytä uuden lainsäädännön vaatimuksia, koska se on suhteellisen helposti kopioitavissa esim. valokuvaamalla. Tämän vuoksi pankit ovat tuoneet tunnuslukulistojen tilalle ja rinnalle muita ratkaisuja, esim. älypuhelimeen asennettavia tunnuslukusovelluksia tai erillisiä tunnuslukulaitteita tai tunnuslukulistaa varmentavia tekstiviestikäytäntöjä. Älypuhelimen tunnuslukusovellus ei siis suinkaan ole ainoa vaihtoehto tunnistautumiseen.
Huomattava on myös, että tunnistautumista koskevat uudet säännöt koskevat vain maksamista ja tiliin liittyviä toimeksiantoja. Tunnuslukulistojen käyttämiseen muussa sähköisessä asioinnissa, eli tunnistauduttaessa esim. Kansaneläkelaitoksen tai verottajan palveluihin sovelletaan eri sääntelyä. Pankin teknisestä ratkaisusta riippuu, käytetäänkö näissä edelleen tunnuslukulistaa vai uutta tunnistautumismenetelmää.
Minkälaisia uusia toimijoita ja palveluita on tulossa?
PSD2 mahdollistamia uudenlaisia palveluita ovat:
- Tilitietopalvelu, jossa eri pankeissa olevien tiliesi tiedot voivat olla yhdellä kertaa katsottavissa. Tilitietopalvelua voidaan käyttää myös siten, että annat palvelun tarjoajalle luvan tarjota tilitietojesi perusteella esimerkiksi sijoitus- tai lainapalveluita.
- Maksutoimeksiantopalvelut mahdollistavat maksujen käynnistämisen suoraan tililtäsi ilman korttia tai tilipankin tarjoamaa ns. verkkomaksunappia. Asiakkaalle nämä palvelut eivät juurikaan eroa nykyisistä verkkokaupassa käytettävissä maksutavoista, vain tekninen toteutustapa on erilainen kuin perinteisissä maksutavoissa.
- Korttipohjaiset maksuvälineet, jotka mahdollistavat muun kuin pankkisi liikkeeseen laskeman kortin osalta katteen varmistamisen tililtäsi.
Mitä tietoja pankin ulkopuolinen palveluntarjoaja näkee?
PSD2-sääntelyn kohteena on nimenomaan maksutilit. Niistä tileistä, jotka olet liittänyt tai hyväksynyt palvelussa käytettäväksi, palveluntarjoaja näkee tilistäsi samat tiedot kuin sinä itse verkkopankissasi.
Säädeltyjen maksutilejä koskevien palvelujen lisäksi markkinoille voi tulla palveluntarjoajia, jotka tarjoavat myös muita tietopalveluita, siis esim. luottoihin ja sijoituksiin liittyviä. Nämäkin palvelut perustuvat aina sinulta saatuun nimenomaiseen suostumukseen.
Mistä tiedän, että palveluntarjoaja on luotettava?
Kaikki maksupalveluja tarjoavat toimijat tarvitsevat toimiluvan tai rekisteröinnin, jonka Finanssivalvonta myöntää ja joita se valvoo. Toimijan lupa tai rekisteröinti voi olla myös toisesta ETA-maasta. Lupatiedot löytyvät valvontaviranomaisten rekistereistä. Euroopan pankkiviranomainen pitää keskitettyä rekisteriä, josta voi joko hakea tiettyä palveluntarjoajaa tai selata koko rekisteriä. Suomessa rekisteröidyt toimijat löytyvät Finanssivalvonnan rekisteristä; toisen valtion rekisteröinnin perusteella Suomessa toimiville palveluntarjoajille on erillinen rekisteri.
Mitä voin itse tehdä estääkseni huijauksia?
Älä luovuta pankkitili- tai luottokorttitietojasi, jos et ole täysin varma vastaanottajan luotettavuudesta ja maksamisen turvallisuudesta.
Hanki tietoa yrityksestä tai tarjouksen tekijästä ja koeta selvittää esimerkiksi yrityksen yhteystiedot. Luotettava verkkokauppa kertoo mm. postiosoitteensa ja kaupparekisteritunnuksensa.
Tarkista, että verkkokaupan www-osoite on oikea. Huijarit voivat luoda osoitteita, jotka muistuttavat tunnettujen yritysten osoitteita. KKV:n sivuilla on ohjeita huijausten tunnistamiseksi.
Onko minun jatkossa pakko avata tilitietoni ulkopuolisille palveluntarjoajille?
Ei ole. Pääsy tilillesi tapahtuu aina vain omalla suostumuksellasi. Suostumuksen pitää olla nimenomainen, eli sinulta kysytään erikseen lupaa esim. tilitietojesi hakemiseen tai niiden käyttämiseen luotonmyöntöön. Pelkästään käyttöehdoissa oleva maininta tietojen käyttämisestä ei lain sanamuodon mukaan riitä. Suostumus annetaan palveluntarjoajan palvelussa, sitä ei siis anneta tiliä pitävälle pankille eikä tilipankilla ole mahdollisuutta tarkistaa suostumuksen olemassaoloa.
Minulla on monta tiliä. Pääseekö ulkopuolinen palveluntarjoaja katselemaan niiden kaikkien tietoja?
Sinä itse päätät, mitkä tilit ovat käytettävissä oman pankkisi ulkopuolisissa palveluissa.
Mitä teen, jos tiliäni on veloitettu, vaikka en ole antanut lupaa siihen?
Asiakas ei vastaa ilman hänen suostumustaan tehdyistä maksutapahtumista/maksuista. Palveluntarjoajalla on korvausvastuu ilman suostumustasi tehdyistä tapahtumista. Aiheettomien tiliveloitusten palauttamista voit pyytää myös omalta tilipankiltasi.
Ostin tuotteen verkkokaupasta kortilla. Minua ei tunnistettu vahvasti esimerkiksi pankkitunnuksin. Oliko maksutapahtuma luotettava?
Pääsääntö sähköisessä maksamisessa on, että maksaja pitää tunnistaa vahvasti. Suomessa se tarkoittaa yleensä pankkitunnuksilla tunnistamista. Tunnistamisvaatimuksista on kuitenkin poikkeuksia, esimerkiksi verkkokaupassa pienet maksut 30 euroon saakka on mahdollista tehdä suurimmaksi osaksi ilman vahvaa tunnistamista – tunnistaminen vaaditaan kuitenkin, kun ostokerroille tai ostojen yhteismäärälle asetetut turvarajat tulevat täyteen.
Keneen olen yhteydessä ongelmatilanteissa?
Mikäli palveluntarjoajan palvelu ei vastaa odotuksiasi, ole ensisijaisesti yhteydessä kyseiseen palveluntarjoajaan. Jos kyseessä on aiheeton veloitus tililtäsi, voit pyytää sen palauttamista myös omalta tilipankiltasi. Mikäli sinulla on erimielisyyttä oman pankkisi kanssa, voit kääntyä Vakuutus- ja rahoitusnevonta Finen puoleen. Jos epäilet palveluntarjoajan toimineen normien vastaisesti, voit olla yhteydessä kuluttajaviranomaiseen ja Finanssivalvonnan valvomien toimijoiden osalta myös Finanssivalvontaan.
Kysymykset ja vastaukset toisen maksupalveludirektiivin (PSD2) vaikutuksista kuluttajiin on laadittu yhteistyössä Finanssiala ry:n, Finanssivalvonnan ja Fintech Finlandin kesken.
Jäikö kysyttävää?
|Aiheen asiantuntijat