1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Relevanta dokument
Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

Föreskrift om elektroniska identifieringstjänster och betrodda elektroniska tjänster

Motivering till och tillämpning av föreskrift 72. Elektroniska identifieringstjänster och betrodda elektroniska tjänster

Lag. om ändring av lagen om stark autentisering och elektroniska signaturer

Kommittédirektiv. Betaltjänster, förmedlingsavgifter och grundläggande betalkonton. Dir. 2015:39. Beslut vid regeringssammanträde den 1 april 2015

U 25/2018 rd. Helsingfors den 17 maj Finansminister Petteri Orpo. Finansråd Risto Koponen

U 73/2016 rd. elektroniska publikationer)

RP 74/2016 rd. Lagarna avses träda i kraft den 1 juli 2016.

RIKTLINJER FÖR ANSVARSFÖRSÄKRING ENLIGT PSD 2 EBA/GL/2017/08 12/09/2017. Riktlinjer

Svensk författningssamling

eidas införande i Sverige Björn Scharin, PTS

1. ALLMÄNNA VILLKOR FÖR KONTO ÄNDRINGAR

PROPOSITIONENS HUVUDSAKLIGA INNEHÅL

OP Tjänsten för förmedling av identifiering

Informationssäkerhet för samhällsviktiga och digitala tjänster

Riktlinjer EBA/GL/2018/07. 4 december 2018

Anvisning om bedömning av elektroniska identifieringstjänster. Transport- och kommunikationsverkets anvisning 211/2019 O UTKAST

RP 83/2017 rd. Lagen avses träda i kraft så snart som möjligt. Paragrafen som gäller maximipriset ska gälla i fem år från dess ikraftträdande.

U 105/2018 rd. Finansminister Petteri Orpo

RP 50/ / /2016 rd

om krav för rapportering av statistiska uppgifter om svikliga förfaranden enligt artikel 96.6 i det andra betaltjänstdirektivet

Regeringskansliet Faktapromemoria 2015/16:FPM22. Förordning om naturgas- och elprisstatistik. Dokumentbeteckning. Sammanfattning.

FÖRSLAG TILL YTTRANDE

Finansinspektionens författningssamling

Tekniska och affärsmässiga krav för betalningar och autogireringar i euro

FÖRSLAG TILL YTTRANDE

RP 143/2017 rd. I propositionen ingår också några smärre tekniska ändringar på grund av lagar som redan har trätt i kraft.

Åtgärder mot att användare vilseleds att logga in någon annan med sin e-legitimation

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

RP 264/2018 rd. Lagen avses träda i kraft så snart som möjligt.

Riktlinjer om MAR Personer som mottar marknadssonderingar

Föreskrifter och anvisningar 14/2013

Infrastruktur med möjligheter

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

DATASKYDDSBESKRIVNING

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

FINLANDS FÖRFATTNINGSSAMLING

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Föreskrifter och anvisningar 8/2015

KOMMISSIONENS YTTRANDE. av den

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den XXX

RP 132/2017 rd. Dessutom föreslås det vissa ändringar i konsumentskyddslagen och informationssamhällsbalken.

Detta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet

FINLANDS FÖRFATTNINGSSAMLINGS FÖRDRAGSSERIE Utgiven i Helsingfors den 13 maj 2014

Riktlinjer för hantering av klagomål inom värdepapperssektorn och banksektorn

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

EUROPEISKA CENTRALBANKEN

Datum Vägledning. För betrodda tjänster i Sverige enligt eidas Utgåva 1

Svensk författningssamling

MEDDELANDE TILL LEDAMÖTERNA

Introduktion till eidas. Dnr: /

Läkemedelsverkets föreskrifter (LVFS 2012:14) om säkerhetsövervakning av humanläkemedel;

RP 79/2008 rd. ansvariga för betalning av farledsavgiften.

Europeiska unionens råd Bryssel den 24 november 2016 (OR. en)

RP 242/2009 rd. Regeringens proposition till Riksdagen med förslag till lag om ändring av 9 i lagen om skatteuppbörd

Föreskrifter och anvisningar 4/2014


RIKTLINJER OM NATIONELLA PROVISORISKA FÖRTECKNINGAR ÖVER DE MEST REPRESENTATIVA TJÄNSTERNA EBA/GL/2015/

Kommittédirektiv. Konsumentskydd vid finansiell rådgivning. Dir. 2012:98. Beslut vid regeringssammanträde den 27 september 2012.

Finansiella företags uppgifter till Riksgäldskontoret och vissa betaltjänstfrågor

2

Förslag till RÅDETS BESLUT

KaPA-lagen* och Suomi.fi-tjänsterna

RP XX/2019 rd PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

STATSRÅDETS PRINCIPBESLUT OM ELEKTRONISK IDENTIFIERING

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING. om tilldelning av tullkvoter för export av trä från Ryska federationen till Europeiska unionen

Förslag till RÅDETS BESLUT

EUROPEISKA DATATILLSYNSMANNEN

AVTAL/FULLMAKT INTERNETBANKEN - FÖRETAG

Riktlinjer om de minimikriterier som en omstruktureringsplan för verksamheten ska uppfylla

2 RIKTLINJER FÖR REGLERING AV HUVUDAVSNITT UPPFÖRANDEREGLER

Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Förordning (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Riktlinjer för försäkringsföretags hantering av klagomål

Föreskrifter och anvisningar 2/2015

PM om ändringsföreskrift KIFS 2019:1 samt information om anstånd för vissa biocidprodukter

FINLANDS FÖRFATTNINGSSAMLINGS FÖRDRAGSSERIE Utgiven i Helsingfors den 15 augusti 2016

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

Föreskrifter och anvisningar 6/2016

Finansinspektionens författningssamling

Svensk författningssamling

Innehåll Dnr: (5)

Förslag till RÅDETS BESLUT

Riktlinjer Samarbete mellan myndigheter enligt artiklarna 17 och 23 i förordning (EU) nr 909/2014

Svensk författningssamling

Utdrag ur protokoll vid sammanträde

***I FÖRSLAG TILL BETÄNKANDE

Svensk författningssamling

Svensk författningssamling

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Utdrag ur protokoll vid sammanträde

EUROPEISKA UNIONENS RÅD. Bryssel den 2 september 2013 (3.9) (OR. en) 13245/13 DENLEG 100 DELACT 44

Yttrande över promemoria Kompletterande bestämmelser till EU:s förordning om referensvärden

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Lag om bedömning av miljökonsekvenserna av myndigheters planer och program

Svensk författningssamling

Transkript:

Promemoria 1 (5) Kommunikationsverkets och Finansinspektionens promemoria: förhållandet mellan betaltjänstlagen och autentiseringslagen vid öppnande av gränssnitt och identifiering för TPP på det sätt som krävs i PSD2 1 Bakgrund till ställningstagandet/promemorian 1.1 Betaltjänstdirektivet (PSD2) Betaltjänstlagen (290/2010) ändras till att motsvara det så kallade andra betaltjänstdirektivet 1 (nedan PSD2). PSD2 måste införas på nationell nivå senast den 13 januari 2018. Vid ändringen utvidgas tillämpningsområdet för betaltjänstlagen så att så kallade tredje tjänsteleverantörer (nedan TPP) kommer att omfattas av reglering och tillsyn. Nya leverantörer av betaltjänster är följande: leverantörer av betalningsinitieringstjänster (Payment Initiation Service Providers, PIS) leverantörer av kontoinformationstjänster (Account Information Service Providers, AIS). De kontoförande bankerna ska ge dessa tredje tjänsteleverantörer åtkomst till kundernas konton utifrån ett uttryckligt samtycke av kunden. I praktiken innebär detta öppnande av gränssnitten i de kontoförande bankernas betal- och kontotjänster för TPP. Framöver har TPP rätt att, för att använda betal- och kontotjänster, utnyttja de förfaranden för stark autentisering som den bank som innehar betalkontot har tillhandahållit sin kund. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen I Finland är bankernas elektroniska identifieringsmetoder i regel också identifieringsverktyg för stark autentisering, som allmänt tillhandahålls för elektronisk identifiering. Dessa regleras genom lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, autentiseringslag) 2. Inom branschen, särskilt i bankerna, har det väckts en fråga om hur betaltjänstlagen, som har ändrats i enlighet med PSD2, ska tillämpas tillsammans med autentiseringslagen. Frågorna har rört på vilket sätt den i autentiseringslagen fastställda modellen för ett avtalsbaserat förtroendenät för tillhandahållande av tjänster för stark autentisering 1 Europaparlamentets och rådets direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG. 2 Lag om stark autentisering och betrodda elektroniska tjänster (617/2009).

Promemoria 2 (5) (trädde i kraft den 1 maj 2017) ska kunna genomföras vid sådant öppnande av gränssnitt för TPP som avses i PSD2. Vissa frågor rör också om det finns sådana skillnader i kraven på tekniska standarder för stark autentisering (nedan RTS) enligt autentiseringslagen (och Kommunikationsverkets föreskrift 72/2016 M, som har utfärdats med stöd av autentiseringslagen), betaltjänstlagen och PSD2, som kan utgöra hinder för att använda samma metod i båda regelverken. 1.3 Myndigheternas diskussion om förhållandet mellan lagarna Experter från Kommunikationsverket, Finansinspektionen, justitieministeriet, kommunikationsministeriet, finansministeriet och Konkurrens- och konsumentverket har diskuterat de rättsliga frågorna gällande förhållandet mellan lagarna. Kommunikationsverket och Finansinspektionen har sammanställt denna promemoria utifrån slutsatserna av diskussionen. 2 Tolkningsbedömningar 2.1 PSD2 har företräde framför avtals- och prisreglerna för förtroendenätet i autentiseringslagen Vid öppnande av gränssnitt för TPP och vid därtill hörande stark autentisering enligt PSD2 tillämpas i första hand betaltjänstlagen, som är förenlig med PSD2, och bestämmelserna på lägre nivå i PSD2, som de tekniska standarderna som utarbetas för tillfället (Regulatory technical standards, RTS). PDS2 är ett EU-regelverk som syftar till totalharmonisering. I detta ärende anses den ha företräde framför de nationella bestämmelserna för förtroendenätet i autentiseringslagen. Bestämmelserna för förtroendenätet gäller skyldighet för leverantörer av identifieringsverktyg att tillhandahålla sina identifieringstjänster för att förmedlas av de tjänster för identifieringsförmedling som hör till förtroendenätet. Bestämmelserna i 12 a och i statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016, förordning om förtroendenätet) 3 innehåller avtals- och samarbetsskyldigheter samt prisregler. En bank, vars kunder kan identifiera sig i banktjänsterna med någon annan elektronisk identifieringsmetod än bankens, är både kund hos tjänsterna för identifieringsförmedling och en tjänst för ärendehantering. Om en kund identifierar sig i bankens tjänster med bankens identifieringsmetod, tillämpas inte autentiseringslagen i enlighet med tillämpningsundantaget i 1. 3 Statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016).

Promemoria 3 (5) PDS2 förutsätter att ett gränssnitt och en identifieringsfunktion ska öppnas för TPP så att denna kan tillhandahålla betalningsinitierings- och kontoinformationstjänster utan avtal och avgift. Om det inte är möjligt att öppna gränssnitt i enlighet med PSD2 och att genomföra en därtill hörande stark autentisering enligt RTS i enlighet med bestämmelserna om förtroendenätet i autentiseringslagen, tillämpas kraven i PSD2. Kraven i PSD2 tillämpas även om en banks kunder också kan använda andra elektroniska identifieringsverktyg för stark autentisering än bankens i bankens tjänster. Det ska beaktas att den ovan presenterade tolkningen och kraven i betaltjänstlagen, som är förenlig med PSD2, endast gäller att öppna och använda TPP-gränssnitt, inte övrig användning av stark autentisering i banktjänster. Autentiseringslagen och de bestämmelser på lägre nivå som kompletterar autentiseringslagen tillämpas vid annat öppnande av gränssnitt för TPP än det som förutsätts i PSD2, och vid därtill hörande stark autentisering. Det innebär att det kan vara möjligt att andra krav, beroende på användningssituation, är tillämpliga på användning av stark autentisering i en banks ärendehanteringstjänster. Detta kan i sin tur kräva tekniska arrangemang som skiljer sig från varandra. Om en bank, för att öppna ett TPP-gränssnitt enligt PSD2, skaffar en identifieringstjänst av en förmedlingstjänst som hör till förtroendenätet, svarar banken för att TPP också kan använda identifieringstjänsten via programmeringsgränssnittet på samma sätt som bankens eventuella egen identifieringstjänst.

Promemoria 4 (5) Figur 1: Ett exempel på anslutning av bankens egen identifieringstjänst och en identifieringstjänst, tillhandahållen av en sådan leverantör av förmedlingstjänster som hör till förtroendenätet enligt autentiseringslagen, till ett programmeringsgränssnitt som tillhandahålls till TPP. 2.2 Tekniska krav på stark autentisering i autentiseringslagen och EU:s eidas-förordning Bestämmelser om krav på stark autentisering finns i autentiseringslagen och Kommunikationsverkets föreskrift 72/2016 M 4 som har utfärdats med stöd av autentiseringslagen. Kraven i lagen och föreskriften är förenliga med EU:s eidasförordning (EU) 910/2014 5 och kommissionens genomförandeförordning (EU) 2015/1502 som har utfärdats med stöd av eidas 6. Kraven gäller egenskaper, tillförlitlighet och hela livscykeln för identifieringssystem och identifieringsmetoder. Kraven på informationssäkerhet gäller bland annat säkerhet i datakommunikationsprotokoll och algoritmer för kryptering av data i datakommunikationen ända till gränssnittet för ärendehanteringstjänster. De tekniska kraven enligt PSD2 på stark autentisering i betaltjänster och kontoinformationstjänster är ännu under beredning. De tekniska kraven kommer att definieras i separata europeiska tekniska standarder (RTS), som blir förpliktande genom kommissionens genomförandeakt på samma sätt som förordningen om tillitsnivåer i anslutning till eidas. En preliminär bedömning är att RTS, vad gäller de allmänna tekniska kraven, inte verkar strida mot kraven i eidas och autentiseringslagen. Finansinspektionen följer beredningen av RTS, och Kommunikationsverket och Finansinspektionen utvärderar vid behov mer detaljerat kraven för att upptäcka eventuella motstridigheter. RTS, som kompletterar PSD2, ska i första hand iakttas vid genomförande av betalningsorder och kontoinformationsförfrågningar som TPP har inlett, om det tekniskt sett inte är möjligt att iaktta kraven i autentiseringslagen. 2.3 Förhållandet mellan ansvarsbestämmelserna i betaltjänstlagen och autentiseringslagen Bestämmelserna i 7 kap. i betaltjänstlagen (290/2010) om ansvar för obehöriga betalningstransaktioner är tillämpliga på avtalsförhållanden mellan kunder och tjänsteleverantörer, när tjänsteleverantören har ingått ett avtal om 4 Kommunikationsverkets föreskrift 72/2016 M om elektroniska identifieringstjänster och betrodda elektroniska tjänster. 5 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 6 EU-kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

Promemoria 5 (5) betalningsinstrument med kunden (62 ) eller när kundens medel har använts för att genomföra betalningstransaktionen (63 ). Betalningstransaktioner kan bekräftas även med andra identifieringsverktyg än tjänsteleverantörens. Tjänsteleverantören kan godkänna till exempel en annan banks TUPAS-koder vid bekräftelse av betalningstransaktioner. Det ansvar för obehöriga betalningstransaktioner som avses i betaltjänstlagen gäller dock den tjänsteleverantör vars kunds medel har använts för att genomföra betalningstransaktionen. Utifrån 62 63 i betaltjänstlagen är det klart att en annan avtalspartner till en kund, till exempel en annan leverantör av identifieringsverktyg, inte har det ansvar som avses i betaltjänstlagen när det är fråga om ett avtalsförhållande mellan en kund och en bank.