2019.04.25

Ett år med PSD2


Allt fler betaltjänster utvecklas på marknaden där så kallade tredjepartsleverantörer fungerar som mellanhand mellan bankerna och betaltjänstanvändarna (t.ex. konsumenter). Tredjepartsleverantörerna har haft svårt att själva leverera betaltjänstlösningarna då bankerna haft monopol på kundernas kontoinformation. För att öppna marknaden för tredjepartsleverantörer genomförde EU förra året det andra betaltjänstdirektivet (PSD2).

Definitionen av betaltjänster har utvidgats i PSD2 till att även omfatta betalningsinitieringstjänster (en tjänst som initierar en betalningsorder på användarens begäran) och kontoinformationstjänster (exv. en tjänst som sammanställer kontoinformation från flera banker), vilket innebär att marknaden för tredjepartsleverantörer numera är reglerad. I och med de ändrade reglerna i PSD2 är det nu möjligt för tredjepartsleverantörerna att använda sig av bankernas information och infrastruktur för att själva leverera betaltjänstlösningar, vilket kommer ske genom att bankerna tvingas öppna sina API:er, så kallad ”Open Banking”.

För bankerna har direktivet inneburit en utmaning både i form av ökade IT-kostnader och ökad konkurrens men också en stor förändring för lönsamheten inom Fintech. Ett exempel är bolaget Tink som tidigare endast var en applikation för privatekonomi. Bolaget har nu expanderat till att sälja olika finansiella lösningar till banker och har bara sedan årsskiftet fått in nya investeringar på över en halv miljard kronor. Trots detta har den förutspådda ”boomen” av betaltjänster ännu inte riktigt tagit fart.  Konsumenterna är ännu obekanta med direktivet och har generellt sätt ganska lågt förtroende för tjänster som inte erbjuds direkt via bankerna själva. Många menar dock att det kommer att ta fart och att en stor förändring på betaltjänstmarknaden bör ske inom de närmsta åren.

Expansionen av finansiella tjänster och bankernas förlorade monopol på kundernas kontoinformation ställer givetvis stora krav på säkerheten såsom stark autentisering och säker personuppgiftshantering. Här har förhållandet mellan PSD2 och GDPR väckt frågor. Regelverken innehåller flera likartade bestämmelser såsom krav på samtycke, informationsskyldighet och incidentrapportering. Men trots att implementeringen av direktivet skedde ungefär samtidigt som GDPR finns det ingen hänvisning dem emellan och det är oklart om reglerna i PSD2 är kompletterande eller konkurrerande till GDPR.  Detta skulle exempelvis kunna innebära en risk att aktörer blir skyldiga att rapportera incidenter både till Finansinspektionen (enligt PSD2) och Datainspektionen (enligt GDPR).

Vill du veta mer om PSD2 och vilken betydelse direktivet kan ha för din affär, kontakta en IT-advokat.