#SlushFiva

FinTech ja sääntely:Miten maksupalveludirektiivimuuttaa maailmaa?Slush side eventSuomen Pankin rahamuseossa 30.11.2016

#SlushFiva

#SlushFiva

PSD2: Mitä sanoo sääntely? Sanna Atrila & Terhi Wathén

#SlushFiva

Toinen maksupalveludirektiivi (PSD2)• Kansallinen implementointi käynnissä

• Oikeusministeriön johtama työryhmä, toimikausi 2.5.2016−28.2.2017• Jäsenet: OM, VM, Fiva, KKV, FK, LVM, EK, SY, KL, FiCom• Toimeksianto: direktiivin maksupalveluita koskevien osien täytäntöönpano• Maksulaitoslakiin tehtävät elinkeino-oikeudelliset säännökset valmistellaan

valtiovarainministeriössä virkamiestyönä• Kansallisesti täytäntöön viimeistään 13.1.2018• Direktiivin täydennys: EBAn tekniset standardit (RTS) + ohjeet

(guidelines)• Tavoite: erilaiset maksupalvelut nykyistä laajemmin sääntelyn piiriin

ja maksupalvelujen sääntely vastaamaan markkinakehitystä

#SlushFiva

Keskeiset muutokset• Kolmannet palveluntarjoajat sääntelyn ja valvonnan piiriin• Tilinpitäjäpankkien mahdollistettava kolmansille palveluntarjoajille

pääsy asiakkaiden tileille• Payment Initiation Service Providers (PIS)

= Maksutoimeksiantopalvelun tarjoajat• Account Information Service Providers (AIS)

= Tilitietopalvelun tarjoajat• Third Party Payment Instrument Issuer

= Korttipohjaisten maksuvälineiden liikkeeseenlaskijat• Vaatimus asiakkaan vahvasta tunnistamisesta

internetmaksamisessa ja tilin online-käytössä

#SlushFiva

Kolmannet palveluntarjoajat• Tilinpitäjäpankki ei saa edellyttää sopimusta PISin tai AISin kanssa• Tilinpitäjäpankki ei saa veloittaa palvelusta PISiä tai AISia• Edellyttää tilinpitäjäpankilta standardoitua, julkaistua rajapintaa

palveluja varten• Edellyttää tilinhaltijan nimenomaista hyväksymistä• Palveluntarjoajan tulee todentaa itsensä tilinpitäjälle• PIS ja AIS eivät saa tallentaa asiakkaan arkaluonteisia

maksutietoja • Palveluntarjoaja (PIS) ei saa pitää asiakkaan (maksajan) varoja

hallussa

#SlushFiva

Kolmannet palveluntarjoajat

• Korttipohjaisen maksuvälineen liikkeeseenlaskupalvelu toisen osapuolen tarjoamaan tiliin liitettynä• Kolmannen osapuolen tarjoama, maksajan tiliin liitettävä

korttipohjainen maksuväline• Tilinpitäjän tulee kolmannen osapuolen pyynnöstä välittää

katetarkistuspyyntöön vahvistus (OK tai NOK) maksun suorittamiseksi• Tilinpitäjä ei saa tehdä katevarausta maksusta • Maksajalla oikeus saada tilinpitäjältä yksilöidyt tiedot kolmannesta

palveluntarjoajasta ja vastauksesta katetarkistuspyyntöön

#SlushFiva

Asiakkaan vahva tunnistaminen

• Asiakas tunnistettava/todennettava vahvasti, kun• maksutiliä käytetään verkon kautta• käynnistetään sähköinen maksutapahtuma• etäkanavan kautta toteutetaan mikä tahansa toimi, joka voi johtaa

maksupetokseen tai muunlaisen väärinkäytöksen riskiin• Vastuunjako, jos asiakasta ei tunnistettu/todennettu vahvasti

• Asiakas ei vastaa virheistä tai väärinkäytöstä• Tilinpitäjäpankilla ensisijainen vastuu asiakkaalle, mutta

takautumisoikeus kolmannelta palveluntarjoajalta

#SlushFiva

Coo

rdin

atio

nof

ho

me-

host

supe

rvis

ion

RTSs on Passporting Notification

& on supervision

RTS Central Contact Points

Auth

oris

atio

ns

GL on Professional Indemnity Insurance for

PIS/AIS providers

GL on PI authorisation

EBA mandates in PSD2Entry into

force of PSD 2

Consultation until30.11.

Entry into force + 12 months

Entry into force + 18 months

Entry into force + 24 months =

Application date of PSD2

(incl. EBA mandates)

#SlushFiva

Reg

iste

r

RTS/ITSs on EBA register

ITS

Entry into force + 12 months

Entry into force + 18 months

Entry into force + 24 months =

Application date of PSD2

(incl. EBA mandates)

EBA mandates in PSD2Entry into

force of PSD 2

Con

sum

er

prot

ectio

n

GL on ComplaintsProcedures

RTS

#SlushFiva

EBA mandates in PSD2Se

curit

y

GL on IncidentReporting

GL on Operational Riskand Security Measures

RTS on StrongAuthentication

& Secure Communication

Entry into force of RTS (RTS adoption + 18 months) Q4/2018?

Entry into force + 12 months

Entry into force + 18 months

Entry into force + 24 months =

Application date of PSD2

(incl. EBA mandates, except bottom row)

Entry into force of PSD 2

Consultationended 12.10.

#SlushFiva

RTS on Strong Authentication& Secure Communication- Requirements of the strong customer authentication- Exceptions to strong customer authentication

- Mandatory or not?- Risk based approach? Fraud rate?- Thresholds?

- Requirements for common and secure open standards of communication- Availability- Technical solutions- Testing environment