W połowie 2023 r. opublikowano pierwsze projekty aktów wchodzących w skład nowego pakietu regulacyjnego dla rynku płatniczego (PSD3, PSR3 oraz FiDAR). Poniżej prezentujemy listę najczęściej pojawiających się pytań wraz z odpowiedziami odnośnie do projektowanych zmian prawnych w tym obszarze. Przygotowane odpowiedzi bazują na aktualnych wersjach opracowywanych aktów i będą na bieżąco aktualizowane zgodnie z postępami w trwających procesach legislacyjnych.

1. Co wchodzi w skład nowego pakietu regulacyjnego dla rynku płatniczego?

W ramach prac nad nowym pakietem regulacyjnym dla rynku płatniczego projektowane są trzy różne akty prawne, to jest Payment Service Directive (PSD3), Payment Service Regulation (PSR) oraz Financial Data Access Regulation (FiDAR). Celem całego pakietu jest dalsze ujednolicenie zasad świadczenia usług płatniczych na rynku wewnętrznym oraz zunifikowanie zasad dostępu do danych w ramach sektora finansowego.

2. Dlaczego przepisy płatnicze rozdzielono na dyrektywę (PSD3) i rozporządzenie (PSR) oraz jakie będą różnice pomiędzy tymi aktami?

Regulacja zasad świadczenia usług płatniczych została rozdzielona na dwie niezależne od siebie części. Celem tego zabiegu jest uporządkowanie przepisów dotyczących wymogów, które muszą spełniać dostawcy w związku ze świadczeniem usług płatniczych, a przepisów odnoszących się do relacji z użytkownikami, w tym konsumentami. W efekcie PSD3 ma skupiać się na takich kwestiach, jak udzielanie zezwoleń na świadczenie usług płatniczych przez nie-bankowych dostawców, obowiązki notyfikacyjni, wymogi kapitałowe oraz sankcje administracyjne. Natomiast przepisy PSR dotyczyć będą takich kwestii, jak choćby relacje kontraktowe z użytkownikami, zasady autoryzacji transakcji, warunki dostępu do rachunków płatniczych w ramach świadczenia usług AIS i PIS oraz zasady odpowiedzialności dostawców usług płatniczych.

3. Czy PSD3 lub PSR przewidują wprowadzenie nowych kategorii dostawców usług płatniczych?

PSD3 oraz PSR nie przewidują ustanowienia nowych kategorii dostawców usług płatniczych. Niemniej projektowane przepisy zakładają wprowadzenie obowiązku rejestracji przez dostawców bankomatów umożliwiających wypłaty gotówkowe (ATM).

4. Czy dostawcy usług płatniczych działający na rynku będą zobowiązani do uzyskiwania dodatkowych zezwoleń?

Projektowane przepisy nie przewidują wymogu uzyskiwania nowych zezwoleń. Podobnie jednak jak miało to miejsce przy okazji PSD2, prawodawca zakłada natomiast konieczność tzw. reautoryzacji przez dostawców nie-bankowych. Zabieg ten umożliwić ma zbadanie, czy uczestnicy rynku spełniają zaktualizowane wymagania odnoszące się do działalności poszczególnych kategorii dostawców.

5. Od kiedy nowe przepisy znajdą swoje zastosowanie?

Obecnie nie jest jeszcze znana dokładna data wejścia projektowanych przepisów w życie. Wszystko zależy od momentu uchwalenia aktów oraz ich publikacji w Dzienniku Urzędowym UE. Zakłada się jednak, że przepisy:

  • PSD3 powinny zostać implementowane do porządków krajowych w terminie 18 miesięcy od wejścia dyrektywy w życie;
  • PSR będą stosowane po upływie 18 miesięcy od daty wejścia rozporządzenia w życie;
  • FiDAR będą stosowane po upływie 24 miesięcy od daty wejścia rozporządzenia w życie.

6. Czy nowe przepisy zakładają zmiany w zakresie zasad ochrony środków pieniężnych użytkowników instytucji płatniczych?

Najnowszy projekt PSD3 nakłada obowiązek, aby w stosownych przypadkach instytucje płatnicze unikały ryzyka koncentracji w zakresie stosowanych metod ochrony środków użytkowników. Instytucje płatnicze będą wówczas zobowiązane do różnicowania stosowanych metod ochrony środków. W szczególności nie będą one mogły przechowywać wszystkich środków konsumentów na rachunku prowadzonym przez jedną instytucję kredytową. Zasady ochrony środków przez instytucje płatnicze mają zostać doprecyzowane przez EBA w ramach regulacyjnych standardów technicznych.

7. Jak zmienią się wymogi dotyczące dokumentacji wewnętrznej wnioskodawcy o zezwolenie KIP dla obszaru cyberbezpieczeństwa?

Projekt PSD3 wymaga od wnioskodawców przekazania do organów nadzoru szeregu regulacji wewnętrznych adresujących wymogi DORA. Dotyczy to takich obszarów jak outsourcing, zarządzanie ryzykiem, bezpieczeństwo, kontrola wewnętrzna, zarządzanie incydentami oraz zachowanie ciągłości działania.

8. Czy dostawcy prowadzący rachunki (ASPSPs) będą musieli posiadać alternatywne interfejsy (API)?

W świetle projektowanych przepisów przewiduje się odstąpienie od wymogu posiadania rezerwowego API. W założeniu ASPSPs będą związani obowiązkiem udostępnienia wyłącznie dedykowanego API. Niezależnie konieczne stanie się zagwarantowanie stosownych mechanizmów awaryjnych na wypadek niedostępności specjalnego interfejsu.

9. Na czym polegać będzie mechanizm weryfikacji odbiorcy przelewu?

PSR przewiduje wprowadzenie regulacji dla usługi umożliwiającej weryfikację poprawności danych odbiorców przelewów. Dostawcy usług płatniczych odbiorców mają bezpłatnie weryfikować, czy unikatowy identyfikator (np. numer rachunku) oraz imię i nazwisko lub nazwa odbiorcy podane przez płatnika są zgodne z danymi posiadanymi przez tego dostawcę. Dostawcy płatników będą z kolei informować zlecających przelewy o ewentualnych rozbieżnościach w zakresie wskazanych odbiorców.

10. Czy KIPy, MIPy i BUPy będą objęte obowiązkami wynikającymi z FiDAR?

Zgodnie z projektowanymi przepisami, zarówno KIPy, jak również MIPy i BUPy będą objęte stosowaniem przepisów FiDAR, a zatem staną się uczestnikami systemu Open Finance. KIPy, MIPy i BUPy na wniosek swoich klientów będą zobowiązane do udostępniania danych tych klientów innym podmiotom rynku finansowego.

11. Czy zmianie ulegnie minimalny okres wypowiedzenia przez dostawcę umowy ramowej zawartej na czas nieoznaczony?

Projekt PSR zakłada, że dostawca – jeżeli zostanie to uzgodnione z użytkownikiem – będzie mógł wypowiedzieć umowę ramową zawartą na czas nieoznaczony z co najmniej 3-miesięcznym wypowiedzeniem. Dotychczasowe regulacje (PSD2, UUP) przewidują natomiast 2-miesięczny okres wypowiedzenia w takich przypadkach.

12. Czym będzie panel do zarządzania zgodami na świadczenie usług PIS i AIS?

Panel ma być rozwiązaniem udostępnianym przez dostawców prowadzących rachunki płatnicze (ASPSPs). Zostanie on zintegrowany z interfejsami użytkowników, za pośrednictwem których ASPSPs zapewniają dostęp do rachunków (np. bankowością internetową).

Przeznaczeniem panelu będzie zapewnienie użytkownikom:

  • podglądu do udzielonych zgód (zezwoleń) na świadczenie usług PIS i AIS; oraz
  • zarządzania udzielonymi zgodami, w tym zagwarantowanie możliwości ich odwołania.

13. Czy zmianie ulegną terminy na rozpatrzenie wniosków o zezwolenie KIP?

Projekt PSD3 skraca czas na podjęcie przez organy decyzji w sprawie udzielenia zezwolenia na świadczenie usług płatniczych w charakterze instytucji płatniczej. Zakłada się, że będą to maksymalnie 2 miesiące od złożenia wniosku lub jego uzupełnienia (obecnie przepisy zakładają 3 miesiące).

 

14. Czy instytucje płatnicze będą mogły stosować nowe metody ochrony środków pieniężnych?

Projekt PSD3 wprowadza nową metodę ochrony środków pieniężnych użytkowników pod postacią deponowania ich na rachunkach założonych w banku centralnym. Projektowane przepisy zakładają jednak, że banki centralne mogą odmówić prowadzenia rachunków dla instytucji płatniczych ze względu na przepisy krajowe.

15. Czy KIPy będą musiały uzyskać dodatkowe zezwolenie, aby świadczyć usługi z zakresu informacji finansowej w rozumieniu FiDAR?

Tak, podmioty zainteresowane świadczeniem usług z zakresu informacji finansowej, w tym KIPy, będą zobligowane.

16. Czy zmianie ulegną wymogi co do kapitału założycielskiego agentów rozliczeniowych?

Projekt PSD3 przewiduje podwyższenie wymogów kapitałowych dla świadczenia większości usług płatniczych. Agenci rozliczeniowi, tj. podmioty świadczące usługę acquiringu, będą zobligowani posiadać kapitał założycielski o równowartości co najmniej 150 000 euro.

17. Czym będzie dodatkowy wykaz AISP i PISP udostępniany przez EBA?

Projekt PSD3 przewiduje utworzenie i prowadzenie przez EBA odrębnego wykazu dostawców usług AIS i PIS, przystosowanego do odczytu maszynowego. Wykaz docelowo ułatwić ma badanie autoryzacji danego AISP lub PISP przez ASPSP oraz wydawanie certyfikatów eIDAS, które wykorzystywane są na potrzeby weryfikacji względem ASPSP podczas żądania dostępu do rachunku.

18. Czy w panelu do zarządzania zgodami będą wyświetlane wszystkie zgody na świadczenie AIS lub PIS?

Nie, w świetle projektu PSR panel ma na celu zarządzanie zgodami tylko dla tych usług AIS lub PIS, które zakładają wielokrotny dostęp do rachunku płatniczego. W założeniu panel nie będzie zatem zapewniał podglądu zgód udzielonych na potrzeby wykonania jednorazowej usługi AIS lub PIS.

19. Czym będą „tymczasowe interwencje produktowe EBA” na rynku usług płatniczych?

Projekt PSR przewiduje nadanie EBA kompetencji  do czasowego zakazania lub ograniczenia świadczenia w UE określonego rodzaju usługi płatniczej lub usługi związanej z pieniądzem elektronicznym. Możliwość skorzystania z takiego uprawnienia zależy od spełnienia określonych przesłanek, które mają związek z zagrożeniami rynkowymi. Projektowane przepisy przewidują przy tym wydanie RTSów  uszczegóławiających zasady przeprowadzania interwencji produktowych.

20. Czym będzie usługa z zakresu dostępu do informacji finansowej?

W świetle projektu FiDAR będzie to usługa polegająca na uzyskiwaniu dostępu do szerokiego zakresu informacji o kliencie, związanych z korzystaniem przez niego z usług instytucji finansowych. Przykładowo będą to informacje dotyczące udzielanych klientowi kredytów, środków inwestowanych na rynku kapitałowym, bądź nabywania niektórych polis ubezpieczeniowych takich jak ubezpieczenia pojazdów, kredytów, od szkód rzeczowych lub OC. Dostęp do informacji nie będzie mógł jednak obejmować danych związanych z ubezpieczeniami na życie, zdrowotnych lub chorobowych .

21. Czy zmianie ulegną okresy retencji dokumentacji przez instytucje płatnicze?

Projekt PSD3 utrzymuje ogólną zasadę, aby instytucje płatnicze przechowywały swoją dokumentację przez co najmniej 5 lat, bez uszczerbku dla innych przepisów unijnych, w tym z obszaru AML/CFT.

Jeśli dokumentacja zawiera dane osobowe to okres jej przechowywania nie powinien być jednak dłuższy niż jest to konieczne dla celów określonych w tytule II dyrektywy (tj. na potrzeby wykazania spełniania wymogów niezbędnych do uzyskania zezwolenia i prowadzenia działalności).

22. Czy rozwiązania przewidujące tokenizacje instrumentów płatniczych (tzw. pass-through wallets) będą kwalifikowane jako instrumenty płatnicze?

Zarówno motywy projektu PSD3, jak i PSR wprost potwierdzają, że funkcjonalności wykorzystujących tokenizacje (takich jak Apple Pay lub Google Pay) nie powinno kwalifikować się jako odrębnych instrumentów płatniczych.

23. Czy zmianie ulegną terminy rejestracji agentów instytucji płatniczych?

Projekt PSD3 zakłada skrócenie terminu rozpatrywania wniosków o rejestrację agentów instytucji płatniczych do 1 miesiąca (obecnie KNF związany jest terminem 2-miesięcy od dnia wpływu wniosku).

24. Jakie będą przesłanki odmowy otworzenia przez bank rachunku płatniczego dla instytucji płatniczej?

Do projektu PSR wprowadzono otwarty katalog przesłanek, zgodnie z którym bank będzie mieć prawo odmówienia instytucji płatniczej otwarcia i prowadzenia dla niej rachunku płatniczego. Przede wszystkim dotyczyć ma to sytuacji, w których:

  • bank posiada uzasadnione podejrzenia co do niezgodnej z prawem działalności instytucji płatniczej, w tym w związku z naruszeniami przepisów AML/CFT;
  • instytucja płatnicza lub jej model biznesowy prezentują istotne ryzyko.

25. Czym będzie „system udostępniania danych finansowych” (FDSS)?

Projekt FiDAR przewiduje wprowadzenie na rynek finansowy swoistego rodzaju wielostronnych porozumień pomiędzy najbardziej znaczącymi posiadaczami danych, użytkownikami danych klienta oraz organizacjami konsumentów i klientów.

Wewnętrzne regulacje FDSS mają określać regulamin uczestnictwa, rodzaje wykorzystywanych interfejsów, wysokość opłat za udostępnianie danych, odpowiedzialność odszkodowawczą, a także inne szczegółowe zasady współpracy pomiędzy uczestnikami systemu.

26. Czy projekt PSD3 wpływa na usługi typu BNPL („Kup teraz zapłać później”)?

Motywy projektu PSD3 potwierdzają, że usługi świadczone w modelu BNPL – z uwagi na ich pożyczkowy charakter – zasadniczo nie powinny być traktowane jako usługi płatnicze. Nie oznacza to jednak, że działalność dostawców BNPL w żadnym wypadku nie może polegać na świadczeniu usług płatniczych. Wszystko zależeć będzie od konkretnego modelu biznesowego oraz funkcjonalności udostępnianych użytkownikowi.

27. Czym będzie prowadzona przez KE dedykowana strona internetowa z informacjami nt. wymogów rejestracyjnych dla instytucji płatniczych?

Projekt PSD3 nakłada na KE obowiązek utworzenia specjalnej strony internetowej celem ułatwienia instytucjom płatniczym świadczenia usług transgranicznie. Strona ta zawierać ma informacje nt. wymogów związanych z rejestracją instytucji płatniczej w każdym z państw członkowskich UE.

28. Czy zmianie ulegnie termin wygaśnięcia roszczenia użytkownika o zwrot kwoty nieautoryzowanej transakcji płatniczej?

Projekt PSR przewiduje wydłużenie, z 13 do 18 miesięcy, terminu dot. wygaśnięcia roszczenia użytkownika względem dostawcy o zwrot kwoty będącej przedmiotem nieautoryzowanej transakcji płatniczej.

29. Jaki będzie skutek naruszenia przez dostawcę obowiązków związanych z weryfikacją odbiorcy przelewu?

W świetle projektu PSR, dostawca nieinformujący płatnika o zidentyfikowanych rozbieżnościach w zakresie weryfikacji odbiorcy przelewu będzie odpowiedzialny za zwrot pełnej kwoty będącej przedmiotem takiej transakcji. Obejmie to także przypadki, w których płatnik dokonał właściwej autoryzacji przelewu.

30. Czy dostawca usług z zakresu informacji finansowych (FISP) będzie uprawniony do przekazywania danych o kliencie podmiotom trzecim?

Najnowszy projekt FiDAR umożliwia FISPs przekazywanie danych o kliencie podmiotom trzecim, w tym insourcerom, wyłącznie za wyraźną zgodą klienta. Dotyczy to różnych kategorii danych, do których FISP uzyskuje dostęp w związku ze świadczeniem usługi z zakresu informacji finansowych (FIS), a więc nie tylko danych osobowych w rozumieniu RODO.

31. Czy w świetle projektu PSD3 wnioskodawcy o zezwolenie KIP będą zobligowani przedłożyć nowe procedury wewnętrzne?

Projekt PSD3 przewiduje nowy obowiązek w zakresie przedłożenia organowi nadzoru wewnętrznej regulacji określającej plan likwidacji na wypadek upadłości.

32. Czy projektowane przepisy wprowadzą nowe przesłanki dla cofnięcia zezwolenia KIP?

Projekt PSD3 doprecyzowuje przesłanki umożliwiające wycofanie przez organ nadzoru licencji KIP w związku z:

a) zrzeczeniem się zezwolenia (odpowiednik art. 70 ustawy o usługach płatniczych);

b) naruszeniem obowiązków z obszaru AML/CFT.

Z praktycznego punktu widzenia druga ze wspomnianych przesłanek obecnie może być oceniana przez pryzmat art. 69 ust. 1 pkt 2 ustawy o usługach płatniczych.

33. Czy zmianie ulegną limity określające zakres tzw. wyłączenia dla przedsiębiorców telekomunikacyjnych?

Zgodnie z projektem PSR, nowe przepisy zakładają podniesienie limitów dla pojedynczej oraz łącznej (miesięcznej) wartości transakcji płatniczych przeprowadzanych przez przedsiębiorców telekomunikacyjnych w ramach dedykowanego wyłączenia. Dotychczasowe kwoty ustalone na poziomie odpowiednio 50 i 300 euro mają zostać zastąpione stawkami w kwotach 60 i 360 euro.

34. Czy zakłada się zmianę kwoty umożliwiającej wyłączenie części przedkontraktowych obowiązków informacyjnych w przypadku tzw. niskokwotowych instrumentów płatniczych?

Projekt PSR przewiduje zwiększenie minimalnej wartości kwoty transakcji płatniczej, od której po stronie wydawcy instrumentu aktualizują się pełne wymogi informacyjne – odpowiednio do kwoty:

a) 50 euro dla instrumentów dotyczących wyłącznie indywidualnych transakcji płatniczych lub zakładających limit wydatków w wysokości 250 euro; albo

b) 250 euro, jeśli instrument płatniczy służyć będzie do przechowywania środków pieniężnych.

35. Czy w świetle FiDAR posiadacze danych (np. banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze) będą zobowiązani dostarczyć swoim klientom narzędzia umożliwiające zarządzanie zgodami na dostęp do ich danych?

Projekt FiDAR przewiduje obowiązek dostarczenia przez każdego posiadacza danych specjalnego panelu, wbudowanego w ogólny interfejs służący do kontaktu z klientem, umożliwiającego zarządzanie zgodami na dostęp do danych, których klient udzielił użytkownikom danych.