PSD3 – Uusi maksupalveludirektiivi

Toinen maksupalveludirektiivi (Payment Services Directive, PSD2), julkaistiin 23.12.2015. Tämän niin sanotun toisen maksupalveludirektiivin kansallisen täytäntöönpanon takaraja oli 13.1.2018.

Tämän direktiivin tavoitteena on saattaa erilaiset maksupalvelut entistä laajemmin sääntelyn piiriin sekä samalla saattaa maksupalvelujen sääntely vastaamaan markkinoilla tapahtunutta kehitystä.

Suomessa PSD2 direktiivi saatettiin kansallisesti voimaan kahdessa osassa. Maksupalvelulakia muutettiin lailla 898/2017 ja maksulaitoslakia muutettiin lailla 890/2017. Lakimuutokset astuivat pääosin voimaan 13.1.2018.

PDS2:lla maksupalvelulain soveltamisalaa laajennettiin tuomalla ns. kolmannet palveluntarjoajat (Third Party Payment Service Provider, TPP) sääntelyn ja valvonnan piiriin.

Uusia maksupalveluiden tarjoajia olivat:

• maksutoimeksiantopalvelun tarjoajat (Payment Initiation Service Providers, PISP)

• tilitietopalvelun tarjoajat (Account Information Service Providers, AISP)

Tilinpitäjäpankkien on mahdollistettava näille kolmansille palveluntarjoajille pääsy asiakkaiden tileille asiakkaan nimenomaisen suostumuksen perusteella. Maksutoimeksiantopalvelun tarjoajalla ja tilitietopalvelun tarjoajalla on oikeus hyödyntää maksutiliä pitävän pankin asiakkaalle tarjoamia vahvan tunnistamisen menettelyjä.

PSD2:n myötä sääntelyn piiriin tuli myös korttipohjaisten maksuvälineiden liikkeeseenlasku toisen osapuolen tarjoamaan tiliin liitettynä (Card-based Payment Instrument Issuer, CBPII).

Uutta oli myös vaatimus asiakkaan vahvasta tunnistamisesta sähköisissä maksutapahtumissa kuten internetmaksamisessa ja maksutilin online-käytössä.

Lainsäädännön uudistaminen on noussut uudelleen esille toimintaympäristön nopean muutoksen myötä. EU:n sähköisten maksujen markkinat ja sähköisten maksujen määrät ovat PSD2:n voimaantulon jälkeen kasvaneet merkittävästi. Muutostarpeen taustalla on mm. nopeutunut finanssialan digitalisoituminen, tietosuojasäännösten laajeneminen ja tarkentuminen ja erilaisten kryptovaluuttojen lisääntyminen.

Euroopan komissio julkaisi toukokuussa 2022 neljän kuukauden kuulemisjakson direktiivin muutostarpeiden arvioimiseksi. Tämän jakson aikana tavoitteena oli arvioida, onko nykyinen lainsäädäntö edelleen kaikilta osin tarkoituksenmukaista ja millaisia muutostarpeita toimintaympäristön muuttuminen on tuonut mukanaan.

Euroopan komissio esitti 28.6.2023 ehdotukset kolmannesta maksupalveludirektiivistä (PSD3) ja uudeksi maksupalveluasetukseksi (PSR), joiden keskeisenä tavoitteena on vahvistaa aiempien maksupalveludirektiivien luomaa perustaa. Suurin osa PSD2:sta sisältyy jatkossa maksupalveluasetukseen, mikä edesauttaa asetuksen suoran sovellettavuuden vuoksi sääntelyn yhdenmukaisuutta eri jäsenmaissa.

PSD2 toi mukanaan vahvan asiakastunnistuksen ja pankeille edellytyksen suorittaa lisätarkastuksia kuluttajien maksutapahtumien varmennukseksi. Tästä huolimatta maksupalvelujen käyttäjät ovat edelleen alttiita petosriskeille, vaikka PSD2:n myötä Finanssiala ry:n mukaan vuonna 2023 suomalaiset pankit onnistuivat estämään kymmenien miljoonien eurojen suuruiset varainsiirrot huijareille. Kuitenkin verkkorikosten aiheuttamat menetykset ovat edelleen korkeat.

PSD3:n ja PSR:n avulla Euroopan komissio pyrkii mm. vahvistamaan turvallisuutta uusien uhkien edessä, parantamaan kuluttajansuojaa sekä tehostamaan kilpailua sähköisten maksujen alalla.

Kolmas maksupalveludirektiivi (PSD3) tulisi sisältämään edellisen direktiivin tavoin säännökset vahvasta tunnistautumisesta ja avoimista pankkistandardeista. Uusi sääntely tähtää maksujen nopeuttamiseen ja parempaan turvallisuuteen.

Lainsäädännön uudistuksessa olennaisessa roolissa ovat olleet Open Banking -toiminnot (avoin pankkitoiminta), jotka tulivat mahdolliseksi PSD2:n myötä. Näillä tarkoitetaan käytäntöjä, jossa pankit jakavat asiakkaiden suostumuksensa perusteella antamia taloudellisia tietoja ja pankkipalveluiden käyttöoikeuksia kolmansien osapuolien kanssa avoimen rajapintojen avulla, ja asiakkaat valtuuttavat pankkitileiltään tapahtuvat maksut.

Kuluttajien näkökulmasta muutokset tarkoittavat mm. maksunsaajan tilin vahvistamista jokaisessa Euroopan talousalueella tehdyssä SEPA-maksussa, vahvempaa kuluttajan oikeuksien ja henkilötietojen suojaa, ja asiakkaan mahdollisuutta nähdä kaikki avoimessa pankkitoiminnassa antamansa suostumukset. Edelleen uudistukset myös lisäävät kilpailua finanssialalla mahdollistaen uusien ja parempien tuotteiden tarjoamisen.

Pankkien näkökulmasta uudistukset tarkoittavat mm. avoimen pankkitoiminnan vahvistamista ja uusien pankkipalveluiden tarjoamisen mahdollistamista. PSD3 myös asettaa pankeille tiukempia velvollisuuksia liittyen esimerkiksi teknisten ratkaisujen kehittämiseen ja sanktioihin. Uudistukset edelleen yhtenäistävät kansallisia erovaisuuksia Euroopan Unionin sisällä.

Uusi sääntely myös mahdollisesti johtaa PSD2:n poikkeusten muuttamiseen, poistamiseen tai uusien poikkeuksien lisäämiseen. Edelleen maksulaitosten ja sähköisen rahan liikkeellelaskijoiden vakavaraisuusvaatimuksia täsmennetään yhtenäistämällä AISP:ien ja PISP:ien pääomanvaatimuksia ja tuomalla lisäpääomavaatimuksia luottoa myöntäville maksulaitoksille.

PSD3 tuo myös laajennuksia uusille sääntelemättömille alueille. Näiden laajennusten kohteena on mm. maksutapahtumat, joissa käytetään kryptovaluuttoja, ”osta nyt maksa myöhemmin”-palvelut sekä digitaaliset lompakkopalvelut.

Kokonaisuudessaan PSD3 on käytännössä PSD2:n päivitetty versio, joka tarjoaa uusia sääntöjä verkkomaksujen ja rahoituspalveluiden tehokkuuden ja turvallisuuden lisäämiseksi EU:ssa samalla edistäen kilpailua ja uusia innovaatiota. PSD3 tiukentaa tunnistamisvelvollisuuksia sekä pääsyä maksujärjestelmiin ja tilitietoihin. Muutosten yhtenä keskeisenä tavoitteena on suojella kuluttajien oikeuksia ja henkilötietoja.

PSD3:n ja PSR:n odotetaan tulevan voimaan vuoden 2026 aikana.