EU-Kommissionen har fremlagt et samlet lovpakkeudkast, der opdeler de gældende regler om betalingstjenester i en ny direktivramme (PSD3) og en forordning (PSR). PSD3 samler bl.a. dele af 2EMD og fastlægger nationale regler om autorisation, organisation, outsourcing og tilsyn, mens PSR fastsætter direkte gældende regler om oplysningskrav, rettigheder og forpligtelser, hæftelse, stærk kundeautentifikation og adgang til betalingssystemer og konti.
Struktur og centrale ændringer
PSD3 integrerer e-penge i betalingstjenesteregimet, så e-pengeinstitutter fremover klassificeres som betalingsinstitutter. Derudover åbnes for, at detailbutikker kan tilbyde kontantudbetaling uden samtidig køb op til et lavt beløb. Uafhængige ATM-operatører, der ikke udbyder betalingskonti, skal registreres og underlægges tilsyn, men uden at skulle opfylde alle kapitalkrav og organisatoriske krav.
Et væsentligt nybrud er direkte deltagelse i afviklingssystemer under Settlement Finality Directive. Betalingsinstitutter, der opfylder betingelserne, får adgang til systemer som KRONOS2 samt Sum, Intraday og Express Clearing uden at skulle gå gennem banker. Det kan styrke konkurrence og reducere afhængighed af bankernes infrastruktur.
Tredjeparter, data og API’er
PSD3 præciserer, at kontooplysningstjenester lovligt kan indhente data via tredjepartsgateways. Kravet om ansvarsforsikring for konto- og betalingsinitieringstjenester suppleres med en fleksibel adgang til at stille yderligere startkapital, der senere kan erstattes af forsikring. PSR anerkender, at kontooplysningstjenester kan indsamle data med henblik på at overføre dem til andre udbydere, som leverer den endelige tjeneste til brugeren. Dette kan udfordre den nuværende danske fortolkning hos Forbrugerombudsmanden.
For API’er etablerer PSR ikke en bindende EBA-standard, men indfører en katalogliste over forbudte hindringer, fx krav om manuel indtastning af IBAN, SCA ud over bankens eget niveau, eller API’er der ikke understøtter alle tilgængelige autentifikationsprocedurer. Derudover pålægges banker at etablere et tilladelsesdashboard, hvor brugere kan se, tilbagekalde og genaktivere autorisationer; banker og tredjeparter skal udveksle opdateringer i realtid.
Svindelbekæmpelse og SCA
PSR indfører en IBAN-verifikationsmekanisme ved konto-til-konto-betalinger, så modtagende bank kan kontrollere, om modtagernavn matcher IBAN-ejeren, inden betalingen godkendes. Fejlmatch, som systemet uberettiget godkender, udløser ansvar hos den bank, hvor fejlen opstod. Betalere kan fravælge mekanismen, men mister da den særlige ansvarsbeskyttelse.
Der indføres udtrykkelige regler om ansvar ved spoofing, hvor forbrugeren vildledes til at tro, at svindleren er dennes betalingstjenesteudbyder. Udbyderen bærer da tabet, hvis forbrugeren straks anmelder forholdet til politiet og informerer udbyderen, med forbehold for brugerens uagtsomhed. Udbydere kan dele oplysninger om IBAN’er på et tilstrækkeligt grundlag for mistanke gennem en formel ordning, der også skal være GDPR-kompatibel.
Gyldighedsperioden for adgang til kontooplysninger efter SCA forlænges til 180 dage, med mulighed for afkortning ved misbrugsmistanke. Udbydere skal tilbyde SCA-løsninger, der tilgodeser personer med handicap, svag digitale kompetencer eller uden adgang til smartphones; SCA må ikke forudsætte en smartphone. Tekniske leverandører og kortordninger kan pålægges ansvar, hvis transaktioner ikke kan gennemføres med SCA på grund af deres systemer.
Ikrafttræden og overgang
PSD3 træder formelt i kraft kort efter offentliggørelse, hvorefter medlemsstaterne har en implementeringsperiode. Direkte adgang til afviklingssystemer skal dog åbnes hurtigere. PSR gælder efter en overgangsperiode, mens kravet om IBAN-verifikation får en længere indfasning. Eksisterende betalings- og e-pengeinstitutter kan fortsætte midlertidigt, men skal genautoriseres under de nye nationale regler.
Processen kan påvirkes af EU’s lovgivningskalender. Erfaringerne fra PSD2 og MiCA tilsiger, at endeligt vedtagne tekster og de fulde anvendelsestidspunkter kan strække sig over flere år, hvorfor institutioner bør påbegynde gap-analyser, planlægge tilpasninger af governance, it-integrationer og kundekommunikation samt afklare ansvar og datadeling på tværs af aktører.
