#SlushFiva FinTech ja sääntely: Miten maksupalveludirektiivi muuttaa maailmaa? Slush side event Suomen Pankin rahamuseossa 30.11.2016
Apr 21, 2017
#SlushFiva
FinTech ja sääntely:Miten maksupalveludirektiivimuuttaa maailmaa?Slush side eventSuomen Pankin rahamuseossa 30.11.2016
#SlushFiva
Toinen maksupalveludirektiivi (PSD2)• Kansallinen implementointi käynnissä
• Oikeusministeriön johtama työryhmä, toimikausi 2.5.2016−28.2.2017• Jäsenet: OM, VM, Fiva, KKV, FK, LVM, EK, SY, KL, FiCom• Toimeksianto: direktiivin maksupalveluita koskevien osien täytäntöönpano• Maksulaitoslakiin tehtävät elinkeino-oikeudelliset säännökset valmistellaan
valtiovarainministeriössä virkamiestyönä• Kansallisesti täytäntöön viimeistään 13.1.2018• Direktiivin täydennys: EBAn tekniset standardit (RTS) + ohjeet
(guidelines)• Tavoite: erilaiset maksupalvelut nykyistä laajemmin sääntelyn piiriin
ja maksupalvelujen sääntely vastaamaan markkinakehitystä
#SlushFiva
Keskeiset muutokset• Kolmannet palveluntarjoajat sääntelyn ja valvonnan piiriin• Tilinpitäjäpankkien mahdollistettava kolmansille palveluntarjoajille
pääsy asiakkaiden tileille• Payment Initiation Service Providers (PIS)
= Maksutoimeksiantopalvelun tarjoajat• Account Information Service Providers (AIS)
= Tilitietopalvelun tarjoajat• Third Party Payment Instrument Issuer
= Korttipohjaisten maksuvälineiden liikkeeseenlaskijat• Vaatimus asiakkaan vahvasta tunnistamisesta
internetmaksamisessa ja tilin online-käytössä
#SlushFiva
Kolmannet palveluntarjoajat• Tilinpitäjäpankki ei saa edellyttää sopimusta PISin tai AISin kanssa• Tilinpitäjäpankki ei saa veloittaa palvelusta PISiä tai AISia• Edellyttää tilinpitäjäpankilta standardoitua, julkaistua rajapintaa
palveluja varten• Edellyttää tilinhaltijan nimenomaista hyväksymistä• Palveluntarjoajan tulee todentaa itsensä tilinpitäjälle• PIS ja AIS eivät saa tallentaa asiakkaan arkaluonteisia
maksutietoja • Palveluntarjoaja (PIS) ei saa pitää asiakkaan (maksajan) varoja
hallussa
#SlushFiva
Kolmannet palveluntarjoajat
• Korttipohjaisen maksuvälineen liikkeeseenlaskupalvelu toisen osapuolen tarjoamaan tiliin liitettynä• Kolmannen osapuolen tarjoama, maksajan tiliin liitettävä
korttipohjainen maksuväline• Tilinpitäjän tulee kolmannen osapuolen pyynnöstä välittää
katetarkistuspyyntöön vahvistus (OK tai NOK) maksun suorittamiseksi• Tilinpitäjä ei saa tehdä katevarausta maksusta • Maksajalla oikeus saada tilinpitäjältä yksilöidyt tiedot kolmannesta
palveluntarjoajasta ja vastauksesta katetarkistuspyyntöön
#SlushFiva
Asiakkaan vahva tunnistaminen
• Asiakas tunnistettava/todennettava vahvasti, kun• maksutiliä käytetään verkon kautta• käynnistetään sähköinen maksutapahtuma• etäkanavan kautta toteutetaan mikä tahansa toimi, joka voi johtaa
maksupetokseen tai muunlaisen väärinkäytöksen riskiin• Vastuunjako, jos asiakasta ei tunnistettu/todennettu vahvasti
• Asiakas ei vastaa virheistä tai väärinkäytöstä• Tilinpitäjäpankilla ensisijainen vastuu asiakkaalle, mutta
takautumisoikeus kolmannelta palveluntarjoajalta
#SlushFiva
Coo
rdin
atio
nof
ho
me-
host
supe
rvis
ion
RTSs on Passporting Notification
& on supervision
RTS Central Contact Points
Auth
oris
atio
ns
GL on Professional Indemnity Insurance for
PIS/AIS providers
GL on PI authorisation
EBA mandates in PSD2Entry into
force of PSD 2
Consultation until30.11.
Entry into force + 12 months
Entry into force + 18 months
Entry into force + 24 months =
Application date of PSD2
(incl. EBA mandates)
#SlushFiva
Reg
iste
r
RTS/ITSs on EBA register
ITS
Entry into force + 12 months
Entry into force + 18 months
Entry into force + 24 months =
Application date of PSD2
(incl. EBA mandates)
EBA mandates in PSD2Entry into
force of PSD 2
Con
sum
er
prot
ectio
n
GL on ComplaintsProcedures
RTS
#SlushFiva
EBA mandates in PSD2Se
curit
y
GL on IncidentReporting
GL on Operational Riskand Security Measures
RTS on StrongAuthentication
& Secure Communication
Entry into force of RTS (RTS adoption + 18 months) Q4/2018?
Entry into force + 12 months
Entry into force + 18 months
Entry into force + 24 months =
Application date of PSD2
(incl. EBA mandates, except bottom row)
Entry into force of PSD 2
Consultationended 12.10.
#SlushFiva
RTS on Strong Authentication& Secure Communication- Requirements of the strong customer authentication- Exceptions to strong customer authentication
- Mandatory or not?- Risk based approach? Fraud rate?- Thresholds?
- Requirements for common and secure open standards of communication- Availability- Technical solutions- Testing environment