REMISSYTTRANDE Förslag till nya regler för betaltjänstleverantörer med anledning av det andra betaltjänstdirektivet

Sparbankernas Riksförbund, nedan benämnt Förbundet, får härmed avge yttrande över FI:s förslag till nya regler för betaltjänstleverantörer med anledning av det andra betaltjänstdirektivet (PSD2).

Allmänt

Förbundet har beretts tillfälle att yttra sig över Finansinspektionens förslag till nya föreskrifter och allmänna råd med anledning av genomförandet av det andra betaltjänstdirektivet. Förbundet har inte beretts möjlighet att framföra synpunkter på förslagen tidigare i processen, vilket Förbundet beklagar. Förbundet vill med anledning av remissen nu framföra följande synpunkter.

Förbundet föreslår att Finansinspektionen överväger möjligheten att nedbringa antalet föreskrifter inom nu aktuellt område för att minska komplexiteten i regleringen och skapa en bättre överblickbarhet för de berörda företagen.

Finansinspektionen har i remisspromemorian framhållit att en övergripande princip  har varit att de riktlinjer som EBA har tagit fram för att komplettera det andra betaltjänstdirektivet ska tillämpas i så stor utsträckning som möjligt och att riktlinjerna ska omarbetas till föreskrifter endast om det finns klara skäl mot att låta riktlinjerna gälla som allmänna råd. Förbundet instämmer i att detta är en rimlig avvägning och en viktig princip som bör vara vägledande i Finansinspektionens arbete för att inte införa onödigt bindande betungande regler för Förbundets medlemmar.

Generellt anser Förbundet att förslagen följer denna metod. Förbundet har dock vissa synpunkter på förslagen till föreskrifter och allmänna råd, vilka redovisas nedan.

 

Förslag till föreskrifter om verksamhet för betaltjänstleverantörer

1 kap 3 §

I denna bestämmelse hänvisas till att termer och uttryck ska ha samma betydelse som i lagen (2010:751) om betaltjänster. Förbundet undrar om inte hänvisning bör göras till den nya och reviderade Betaltjänstlagen som genomför andra betaltjänstdirektivet när den antagits, då vissa definitioner har förtydligats i det andra betaltjänstdirektivet. Även på andra ställen i förslagen till föreskrifter hänvisas till den ”gällande” betaltjänstlagen (se t.ex. 5 kap 1 § i förslaget till nya förskrifter för betaltjänstleverantörer, där hänvisning görs till 5 b kap 1 § lagen (2010:571) om betaltjänster; någon sådan bestämmelse finns inte i gällande betaltjänstlagen utan det är den kommande ännu inte beslutade nya betaltjänstlagen).

 

2 kap 1 § andra stycket

Förbundet tillstyrker förslaget om att en betaltjänstleverantör kan lämna svar på ett klagomål i pappersform till betaltjänstanvändaren, om inte leverantören och användaren kommer överens om något annat.

Finansinspektionen har tidigare meddelat att befintliga allmänna råd om klagomålshantering avseende finansiella tjänster till konsumenter, FFFS 2002:23, ska ersättas av föreskrifter som ska omfatta flertalet finansiella tjänster. Förbundet välkomnar att sådana generella föreskrifter tas fram, samt att det sker i dialog med branschen, varvid centrala frågor såsom definitionen av klagomål tydliggörs.

 

3 kap 2 §

I artikel 106.5 i betaltjänstdirektivet fastställs beträffande den elektroniska broschyren om konsumenters rättigheter att denna ska göras åtkomlig i ett tillgängligt format för personer med funktionsnedsättning. Några motsvarande bestämmelser finns inte för den information som ska finnas tillgänglig enligt betalkontodirektivet.

Förbundets medlemmar arbetar aktivt med att finna olika typer av lösningar för att personer med funktionsnedsättning ska kunna tillgodogöra sig information och nyttja olika banktjänster. Det handlar t.ex. om läshjälpmedel, särskilda tekniska hjälpmedel och talfunktion. Beträffande den information som avses i 4 a kap. 5 § andra stycket BTL, dvs. förteckning över de vanligast förekommande tjänsterna med prisinformation samt ordlistan, ifrågasätter dock Förbundet att varje enskild betaltjänstleverantör ska utveckla uppläsningsmöjlighet och punktskrift. Några sådana krav finns inte i EU-regelverket. Då det rör sig om standardiserad information som syftar till att skapa enhetlighet och jämförbarhet bör det rimligen vara Finansinspektionen som utvecklar informationen. Därefter kan betaltjänst-leverantörerna komplettera med sina individuella prisuppgifter. Det ter sig orimligt att informationen ifråga skulle tas fram separat av varje betaltjänstleverantör.

 

4 kap – rutiner för byte av betalkonto

Förbundet ser med tillfredställelse ändringen i 4 kap. 9 §, i förslaget till föreskrift, med innebörd att mottagande betaltjänstleverantör inte längre är skyldig att efter en konsuments instruktion informera betalare som gör betalningar till kontot. Det främsta skälet att ordningen var ytterst olämplig är de säkerhetsaspekter som framhålls i remisspromemorian 2.11.1. Därtill kan konstateras att i de fall det rör sig om löneinbetalningar och inbetalningar från myndigheter hade dylik information från betaltjänstleverantören i flerparten fall varit meningslös då i många fall särskilda rutiner upprättats av dessa inbetalare för kontoanmälan och de inte kan hantera information direkt från betaltjänstleverantören.

Förbundet noterar den ändring som gjorts i 4 kap. 9 §, men ställer sig frågande till om inte regeln i 4 kap 9 § borde kunna flyttas som ett nytt stycke i 4 kap 4 §.  Detta skulle underlätta förståelsen av vilka skyldigheter den mottagande betaltjänstleverantören har samt konsumentens möjligheter att lämna instruktioner beträffande betalkontot.

 

5 kap – System för operativa risker och säkerhetsrisker

Enligt denna bestämmelse ska en betaltjänstleverantör ha ett system som ska vara anpassat för leverantörens verksamhet och bestå av ett ramverk av säkerhetsåtgärder som hanterar eller minskar risken för att operativa incidenter eller säkerhetsincidenter inträffar. Enligt Finansinspektionen ska ett sådant system uppfylla minst tolv olika syften/områden.

Förbundet finner att det avviker från den regel som fastställs i EBA: s motsvarande riktlinje (EBA Guideline 2017/17), som endast består av åtta punkter. Enligt remisspromemorian har detta gjorts för att göra föreskriftstexten mer lättillgänglig. Förbundet anser att detta upplägg kan leda till gränsdragnings- och tolkningsproblem. Det kan därför ifrågasättas om inte genom detta upplägg införs mera långtgående regler än de som motsvaras av EBA: s riktlinjer och de gällande föreskrifterna från Finansinspektionen (FFFS 2014:1, 4, och 5).

Förbundet delar inte denna uppfattning utan befarar att detta ändå kan leda till osäkerheter och gränsdragningsproblem, detta särskilt som det är mycket angeläget att det inom EU inte finns olika tolkningar av regelverket. För att skapa tydlighet i regelgivning och transparens i tillsyn så är det viktigt att inga ytterligare krav tillkommer. Direktivet är ett fullharmoniseringsdirektiv och det är därför viktigt att tillämpningen sker på ett likartat sätt och att inget tolkningsutrymme skapas hur reglerna ska tillämpas.

När det gäller 5 kap 1 § p. 3 att ”göra en riskbedömning av betaltjänsterna och ta fram en beskrivning av de säkerhetsåtgärder som ska skydda betaltjänstanvändarna mot de risker som identifierats, bland annat mot bedrägerier och olaglig användning av känsliga uppgifter och personuppgifter” så är processerna för detta redan på plats för Förbundets medlemmar, men på olika sätt. Det är angeläget för medlemmarna att veta huruvida denna regler kräver en ny specifik rapport till Finansinspektionen eller inte.

Vidare när det gäller p 12 i den aktuella paragrafen invänder Förbundet mot förslaget eftersom EBA inte skriver någonting om detta. 

 

6 kap – uppgifter till Finansinspektionen

6 kap 3 §

Förbundet ifrågasätter skrivningen i 3 § punkten 3 som särskilt nämner svikliga förfaranden som genomförts genom att betalaren ”manipulerats”. Denna skrivning är enligt Förbundet alltför oklar och kommer leda till tolkningsproblem. Det är många sinsemellan mycket olika situationer som skulle kunna tolkas som om kunderna har manipulerats.

 

6 kap 5 §

Förbundets medlemmar informerar sina kunder via hemsidor och andra kanaler om vikten av god informationssäkerhet och andra betaltjänstdirektivet kommer att förändra det sätt som informationssäkerhetsriskerna i framtiden uppstår när betalningskedjans aktörer (leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster) blir allt fler.

Förbundet har allvarliga invändningar mot denna bestämmelse, eftersom den inte går att tillämpa eller genomföra i praktiken. Alldeles oavsett den mycket stora ökningen av den administrativa bördan som en sådan bestämmelse skulle medföra så bortser den helt från vilken kanal som betaltjänstleverantören helst vill använda för kommunikation med sina kunder. De system som skulle kunna hålla reda på miljontals olika kunders önskemål om kommunikationskanal ställer krav på stor systemutveckling i bankerna. Det är enligt Förbundet ytterst tveksamt om en sådan kostnad faktiskt resulterar i ett stärkt konsumentskydd och ökad nytta för konsumenterna, vår bedömning är att det snarare är tvärtom. Det finns inget större mervärde i att kunden själv ska välja kommunikationskanal. Det säkraste sättet är därför att banken väljer kommunikationskanal.

Det är angeläget att Finansinspektionen förstår att svenska konsumenter idag är utsatta för en bombmatta av bedrägeriförsök – alltifrån identitetsstöld, social engineering (Face Book-, Microsoft-, Blocket-bedrägerier), phishing av kort- och inloggningsuppgifter till spridning av skadlig kod (ransomware, trojaner) via bland annat e-post, SMS och hemsidor. Ett aktuellt modus är bedragare som påstår sig ringa från banken och ber kunden använda sitt BankID, vilket resulterar i identitetsstöld. Det är viktigt att tillsynsmyndigheten har förståelse för att det är i denna verklighet som svenska bankkunder befinner sig i och att de bedrägeripreventionsmässiga motåtgärder som banker vidtar kan försvåras, eller rent av att stjälpas, av krav i Finansinspektionens föreskrifter vilket inte kan vara inspektionens avsikt eller vilja.

Att kunden ska kunna välja sms, telefonsamtal och e-postmeddelande är olämpligt av flera skäl. Huvudskälet är att det inte är förenligt med god informationssäkerhet eftersom de inte är säkra kommunikationskanaler. Förbundet känner inte igen detta överhuvudtaget. Sparbankerna har arbetat målmedvetet i flera år med att utbilda sina kunder om vikten av god informationssäkerhet. Det säkraste sättet är därför att banken väljer kommunikationskanal.

Förbundet uppmanar därför Finansinspektionen att överväga en annan reglering och andra lämpliga kanaler.

 

6 kap 8 §

Enligt 6 kap. 8 § ska en betaltjänstleverantör lämna uppgifter till Finansinspektionen om de avgifter som tas ut för vissa tjänster samma bankdag som avgiften börjar tillämpas. Som påpekats tidigare av Förbundet är detta en opraktisk ordning som leder till en stor administrativ börda för bankerna. Avgiftsändringar som exempelvis träder ikraft den 1 januari skulle därmed kräva att resurser avsätts för inrapportering på en helgdag och det får antas att Finansinspektionen på motsvarande sätt måste planera för att kunna ta emot och publicera informationen på en icke bankdag. Bestämmelsen bör ändras så att det är möjligt att lämna uppgifterna förslagsvis några dagar innan de börjar gälla alternativt senast en bankdag efter att nya avgifter tillämpas.

 

Förslag till allmänna råd om rapportering av händelser av väsentlig betydelse

Enligt förslaget till allmänna råd gäller de inte för betaltjänstleverantörer i deras betaltjänstverksamhet enligt lagen om betaltjänster. Däremot gäller de för övriga delar av betaltjänstleverantörens verksamheter som inte inbegriper betaltjänstverksamhet.

Enligt förslaget till allmänna råd sägs att ett företag ska lämna en rapport till Finansinspektionen när händelser av väsentlig betydelse kan medföra att ”ett större antal kunder” kan orsakas betydande ekonomisk skada. Förbundet vill poängtera att användningen av kriteriet ”ett större antal kunder” är något svårtolkat. Vad gäller t.ex. för en liten aktör med ett mindre antal kunder i förhållande till en större svensk banks kundbas men där kanske 80 % av kunderna drabbas? Är det då fråga om ”ett större antal kunder”? Eller en av de fyra större svenska bankerna där kanske endast någon procent drabbas men som sett till antalet kunder överstiger exemplet ovan med 80 %? Ett förtydligande är önskvärt!

Förbundet har i övrigt inga invändningar mot förslaget till allmänna råd.

 

Förslag till ändring i Finansinspektionens föreskrifter och allmänna råd om institut för elektroniska pengar och registrerade utgivare

Förbundet har inga invändningar mot förslagen till föreskrifter och allmänna råd.

 

Förslag till ändring i Finansinspektionens föreskrifter och allmänna råd om betalningsinstitut och registrerade betaltjänstleverantörer

Enligt 5 a kap 1 § förslaget till ny Betaltjänstlag ska en kontoförvaltande betaltjänstleverantör, om det genomförts en obehörig transaktion från en kontohavares konto, återställa kontot till den ställning det skulle ha haft om transaktionen inte hade genomförts. Denna skyldighet gäller även om den obehöriga transaktionen har initierats av en leverantör av betalningsinitieringstjänster. Om en leverantör av betalningsinitieringstjänster har orsakat att en betalningstransaktion inte har genomförts eller genomförts bristfälligt eller att en obehörig transaktion genomförts, ska leverantören ersätta den kontoförvaltande betaltjänstleverantören för de förluster inbegripet belopp som betalats till betaltjänstanvändaren (5 kap 56 § BTL).

Förbundet anser att det är en stor brist att såväl direktivet och som den kommande lagen inte ställer upp krav på avtal mellan sparbanken som kontoförvaltare och tredjepartsleverantörer. Detta gäller särskilt för det fall att banken har gottgjort kunden och felet ligger hos leverantören av betalningsinitieringstjänsten enligt bankens uppfattning. För att underlätta en sådan hantering anser förbundet att det vore av stort värde om en bestämmelse införs i föreskriften av innebörd att en leverantör av betalningsinitieringstjänster ska ha en funktion för en hantera en sådan uppkommen situation. I andra hand bör en sådan regel utformas som ett allmänt råd.

 

Förbundet har i övrigt inga invändningar mot förslagen till föreskrifter och allmänna råd.

 

Stockholm den 26 februari 2018

 

SPARBANKERNAS RIKSFÖRBUND

Ewa Andersen                                          Jan Hedqvist

Verkställande Direktör                                                                    

Senast uppdaterad: 
2018-02-27