Promemoria 1 (5) Kommunikationsverkets och Finansinspektionens promemoria: förhållandet mellan betaltjänstlagen och autentiseringslagen vid öppnande av gränssnitt och identifiering för TPP på det sätt som krävs i PSD2 1 Bakgrund till ställningstagandet/promemorian 1.1 Betaltjänstdirektivet (PSD2) Betaltjänstlagen (290/2010) ändras till att motsvara det så kallade andra betaltjänstdirektivet 1 (nedan PSD2). PSD2 måste införas på nationell nivå senast den 13 januari 2018. Vid ändringen utvidgas tillämpningsområdet för betaltjänstlagen så att så kallade tredje tjänsteleverantörer (nedan TPP) kommer att omfattas av reglering och tillsyn. Nya leverantörer av betaltjänster är följande: leverantörer av betalningsinitieringstjänster (Payment Initiation Service Providers, PIS) leverantörer av kontoinformationstjänster (Account Information Service Providers, AIS). De kontoförande bankerna ska ge dessa tredje tjänsteleverantörer åtkomst till kundernas konton utifrån ett uttryckligt samtycke av kunden. I praktiken innebär detta öppnande av gränssnitten i de kontoförande bankernas betal- och kontotjänster för TPP. Framöver har TPP rätt att, för att använda betal- och kontotjänster, utnyttja de förfaranden för stark autentisering som den bank som innehar betalkontot har tillhandahållit sin kund. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen I Finland är bankernas elektroniska identifieringsmetoder i regel också identifieringsverktyg för stark autentisering, som allmänt tillhandahålls för elektronisk identifiering. Dessa regleras genom lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, autentiseringslag) 2. Inom branschen, särskilt i bankerna, har det väckts en fråga om hur betaltjänstlagen, som har ändrats i enlighet med PSD2, ska tillämpas tillsammans med autentiseringslagen. Frågorna har rört på vilket sätt den i autentiseringslagen fastställda modellen för ett avtalsbaserat förtroendenät för tillhandahållande av tjänster för stark autentisering 1 Europaparlamentets och rådets direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG. 2 Lag om stark autentisering och betrodda elektroniska tjänster (617/2009).
Promemoria 2 (5) (trädde i kraft den 1 maj 2017) ska kunna genomföras vid sådant öppnande av gränssnitt för TPP som avses i PSD2. Vissa frågor rör också om det finns sådana skillnader i kraven på tekniska standarder för stark autentisering (nedan RTS) enligt autentiseringslagen (och Kommunikationsverkets föreskrift 72/2016 M, som har utfärdats med stöd av autentiseringslagen), betaltjänstlagen och PSD2, som kan utgöra hinder för att använda samma metod i båda regelverken. 1.3 Myndigheternas diskussion om förhållandet mellan lagarna Experter från Kommunikationsverket, Finansinspektionen, justitieministeriet, kommunikationsministeriet, finansministeriet och Konkurrens- och konsumentverket har diskuterat de rättsliga frågorna gällande förhållandet mellan lagarna. Kommunikationsverket och Finansinspektionen har sammanställt denna promemoria utifrån slutsatserna av diskussionen. 2 Tolkningsbedömningar 2.1 PSD2 har företräde framför avtals- och prisreglerna för förtroendenätet i autentiseringslagen Vid öppnande av gränssnitt för TPP och vid därtill hörande stark autentisering enligt PSD2 tillämpas i första hand betaltjänstlagen, som är förenlig med PSD2, och bestämmelserna på lägre nivå i PSD2, som de tekniska standarderna som utarbetas för tillfället (Regulatory technical standards, RTS). PDS2 är ett EU-regelverk som syftar till totalharmonisering. I detta ärende anses den ha företräde framför de nationella bestämmelserna för förtroendenätet i autentiseringslagen. Bestämmelserna för förtroendenätet gäller skyldighet för leverantörer av identifieringsverktyg att tillhandahålla sina identifieringstjänster för att förmedlas av de tjänster för identifieringsförmedling som hör till förtroendenätet. Bestämmelserna i 12 a och i statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016, förordning om förtroendenätet) 3 innehåller avtals- och samarbetsskyldigheter samt prisregler. En bank, vars kunder kan identifiera sig i banktjänsterna med någon annan elektronisk identifieringsmetod än bankens, är både kund hos tjänsterna för identifieringsförmedling och en tjänst för ärendehantering. Om en kund identifierar sig i bankens tjänster med bankens identifieringsmetod, tillämpas inte autentiseringslagen i enlighet med tillämpningsundantaget i 1. 3 Statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016).
Promemoria 3 (5) PDS2 förutsätter att ett gränssnitt och en identifieringsfunktion ska öppnas för TPP så att denna kan tillhandahålla betalningsinitierings- och kontoinformationstjänster utan avtal och avgift. Om det inte är möjligt att öppna gränssnitt i enlighet med PSD2 och att genomföra en därtill hörande stark autentisering enligt RTS i enlighet med bestämmelserna om förtroendenätet i autentiseringslagen, tillämpas kraven i PSD2. Kraven i PSD2 tillämpas även om en banks kunder också kan använda andra elektroniska identifieringsverktyg för stark autentisering än bankens i bankens tjänster. Det ska beaktas att den ovan presenterade tolkningen och kraven i betaltjänstlagen, som är förenlig med PSD2, endast gäller att öppna och använda TPP-gränssnitt, inte övrig användning av stark autentisering i banktjänster. Autentiseringslagen och de bestämmelser på lägre nivå som kompletterar autentiseringslagen tillämpas vid annat öppnande av gränssnitt för TPP än det som förutsätts i PSD2, och vid därtill hörande stark autentisering. Det innebär att det kan vara möjligt att andra krav, beroende på användningssituation, är tillämpliga på användning av stark autentisering i en banks ärendehanteringstjänster. Detta kan i sin tur kräva tekniska arrangemang som skiljer sig från varandra. Om en bank, för att öppna ett TPP-gränssnitt enligt PSD2, skaffar en identifieringstjänst av en förmedlingstjänst som hör till förtroendenätet, svarar banken för att TPP också kan använda identifieringstjänsten via programmeringsgränssnittet på samma sätt som bankens eventuella egen identifieringstjänst.
Promemoria 4 (5) Figur 1: Ett exempel på anslutning av bankens egen identifieringstjänst och en identifieringstjänst, tillhandahållen av en sådan leverantör av förmedlingstjänster som hör till förtroendenätet enligt autentiseringslagen, till ett programmeringsgränssnitt som tillhandahålls till TPP. 2.2 Tekniska krav på stark autentisering i autentiseringslagen och EU:s eidas-förordning Bestämmelser om krav på stark autentisering finns i autentiseringslagen och Kommunikationsverkets föreskrift 72/2016 M 4 som har utfärdats med stöd av autentiseringslagen. Kraven i lagen och föreskriften är förenliga med EU:s eidasförordning (EU) 910/2014 5 och kommissionens genomförandeförordning (EU) 2015/1502 som har utfärdats med stöd av eidas 6. Kraven gäller egenskaper, tillförlitlighet och hela livscykeln för identifieringssystem och identifieringsmetoder. Kraven på informationssäkerhet gäller bland annat säkerhet i datakommunikationsprotokoll och algoritmer för kryptering av data i datakommunikationen ända till gränssnittet för ärendehanteringstjänster. De tekniska kraven enligt PSD2 på stark autentisering i betaltjänster och kontoinformationstjänster är ännu under beredning. De tekniska kraven kommer att definieras i separata europeiska tekniska standarder (RTS), som blir förpliktande genom kommissionens genomförandeakt på samma sätt som förordningen om tillitsnivåer i anslutning till eidas. En preliminär bedömning är att RTS, vad gäller de allmänna tekniska kraven, inte verkar strida mot kraven i eidas och autentiseringslagen. Finansinspektionen följer beredningen av RTS, och Kommunikationsverket och Finansinspektionen utvärderar vid behov mer detaljerat kraven för att upptäcka eventuella motstridigheter. RTS, som kompletterar PSD2, ska i första hand iakttas vid genomförande av betalningsorder och kontoinformationsförfrågningar som TPP har inlett, om det tekniskt sett inte är möjligt att iaktta kraven i autentiseringslagen. 2.3 Förhållandet mellan ansvarsbestämmelserna i betaltjänstlagen och autentiseringslagen Bestämmelserna i 7 kap. i betaltjänstlagen (290/2010) om ansvar för obehöriga betalningstransaktioner är tillämpliga på avtalsförhållanden mellan kunder och tjänsteleverantörer, när tjänsteleverantören har ingått ett avtal om 4 Kommunikationsverkets föreskrift 72/2016 M om elektroniska identifieringstjänster och betrodda elektroniska tjänster. 5 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 6 EU-kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.
Promemoria 5 (5) betalningsinstrument med kunden (62 ) eller när kundens medel har använts för att genomföra betalningstransaktionen (63 ). Betalningstransaktioner kan bekräftas även med andra identifieringsverktyg än tjänsteleverantörens. Tjänsteleverantören kan godkänna till exempel en annan banks TUPAS-koder vid bekräftelse av betalningstransaktioner. Det ansvar för obehöriga betalningstransaktioner som avses i betaltjänstlagen gäller dock den tjänsteleverantör vars kunds medel har använts för att genomföra betalningstransaktionen. Utifrån 62 63 i betaltjänstlagen är det klart att en annan avtalspartner till en kund, till exempel en annan leverantör av identifieringsverktyg, inte har det ansvar som avses i betaltjänstlagen när det är fråga om ett avtalsförhållande mellan en kund och en bank.