PSD3, PSR3 oraz FiDAR – najczęstsze pytania (Q&A)
W połowie 2023 r. opublikowano pierwsze projekty aktów wchodzących w skład nowego pakietu regulacyjnego dla rynku płatniczego (PSD3, PSR3 oraz FiDAR). Poniżej prezentujemy listę najczęściej pojawiających się pytań wraz z odpowiedziami odnośnie do projektowanych zmian prawnych w tym obszarze. Przygotowane odpowiedzi bazują na aktualnych wersjach opracowywanych aktów i będą na bieżąco aktualizowane zgodnie z postępami w trwających procesach legislacyjnych.
W ramach prac nad nowym pakietem regulacyjnym dla rynku płatniczego projektowane są trzy różne akty prawne, to jest Payment Service Directive (PSD3), Payment Service Regulation (PSR) oraz Financial Data Access Regulation (FiDAR). Celem całego pakietu jest dalsze ujednolicenie zasad świadczenia usług płatniczych na rynku wewnętrznym oraz zunifikowanie zasad dostępu do danych w ramach sektora finansowego.
Regulacja zasad świadczenia usług płatniczych została rozdzielona na dwie niezależne od siebie części. Celem tego zabiegu jest uporządkowanie przepisów dotyczących wymogów, które muszą spełniać dostawcy w związku ze świadczeniem usług płatniczych, a przepisów odnoszących się do relacji z użytkownikami, w tym konsumentami. W efekcie PSD3 ma skupiać się na takich kwestiach, jak udzielanie zezwoleń na świadczenie usług płatniczych przez nie-bankowych dostawców, obowiązki notyfikacyjni, wymogi kapitałowe oraz sankcje administracyjne. Natomiast przepisy PSR dotyczyć będą takich kwestii, jak choćby relacje kontraktowe z użytkownikami, zasady autoryzacji transakcji, warunki dostępu do rachunków płatniczych w ramach świadczenia usług AIS i PIS oraz zasady odpowiedzialności dostawców usług płatniczych.
PSD3 oraz PSR nie przewidują ustanowienia nowych kategorii dostawców usług płatniczych. Niemniej projektowane przepisy zakładają wprowadzenie obowiązku rejestracji przez dostawców bankomatów umożliwiających wypłaty gotówkowe (ATM).
Projektowane przepisy nie przewidują wymogu uzyskiwania nowych zezwoleń. Podobnie jednak jak miało to miejsce przy okazji PSD2, prawodawca zakłada natomiast konieczność tzw. reautoryzacji przez dostawców nie-bankowych. Zabieg ten umożliwić ma zbadanie, czy uczestnicy rynku spełniają zaktualizowane wymagania odnoszące się do działalności poszczególnych kategorii dostawców.
Obecnie nie jest jeszcze znana dokładna data wejścia projektowanych przepisów w życie. Wszystko zależy od momentu uchwalenia aktów oraz ich publikacji w Dzienniku Urzędowym UE. Zakłada się jednak, że przepisy:
- PSD3 powinny zostać implementowane do porządków krajowych w terminie 18 miesięcy od wejścia dyrektywy w życie;
- PSR będą stosowane po upływie 18 miesięcy od daty wejścia rozporządzenia w życie;
- FiDAR będą stosowane po upływie 24 miesięcy od daty wejścia rozporządzenia w życie.
Najnowszy projekt PSD3 nakłada obowiązek, aby w stosownych przypadkach instytucje płatnicze unikały ryzyka koncentracji w zakresie stosowanych metod ochrony środków użytkowników. Instytucje płatnicze będą wówczas zobowiązane do różnicowania stosowanych metod ochrony środków. W szczególności nie będą one mogły przechowywać wszystkich środków konsumentów na rachunku prowadzonym przez jedną instytucję kredytową. Zasady ochrony środków przez instytucje płatnicze mają zostać doprecyzowane przez EBA w ramach regulacyjnych standardów technicznych.
Projekt PSD3 wymaga od wnioskodawców przekazania do organów nadzoru szeregu regulacji wewnętrznych adresujących wymogi DORA. Dotyczy to takich obszarów jak outsourcing, zarządzanie ryzykiem, bezpieczeństwo, kontrola wewnętrzna, zarządzanie incydentami oraz zachowanie ciągłości działania.
W świetle projektowanych przepisów przewiduje się odstąpienie od wymogu posiadania rezerwowego API. W założeniu ASPSPs będą związani obowiązkiem udostępnienia wyłącznie dedykowanego API. Niezależnie konieczne stanie się zagwarantowanie stosownych mechanizmów awaryjnych na wypadek niedostępności specjalnego interfejsu.
PSR przewiduje wprowadzenie regulacji dla usługi umożliwiającej weryfikację poprawności danych odbiorców przelewów. Dostawcy usług płatniczych odbiorców mają bezpłatnie weryfikować, czy unikatowy identyfikator (np. numer rachunku) oraz imię i nazwisko lub nazwa odbiorcy podane przez płatnika są zgodne z danymi posiadanymi przez tego dostawcę. Dostawcy płatników będą z kolei informować zlecających przelewy o ewentualnych rozbieżnościach w zakresie wskazanych odbiorców.
Zgodnie z projektowanymi przepisami, zarówno KIPy, jak również MIPy i BUPy będą objęte stosowaniem przepisów FiDAR, a zatem staną się uczestnikami systemu Open Finance. KIPy, MIPy i BUPy na wniosek swoich klientów będą zobowiązane do udostępniania danych tych klientów innym podmiotom rynku finansowego.
Projekt PSR zakłada, że dostawca – jeżeli zostanie to uzgodnione z użytkownikiem – będzie mógł wypowiedzieć umowę ramową zawartą na czas nieoznaczony z co najmniej 3-miesięcznym wypowiedzeniem. Dotychczasowe regulacje (PSD2, UUP) przewidują natomiast 2-miesięczny okres wypowiedzenia w takich przypadkach.
Panel ma być rozwiązaniem udostępnianym przez dostawców prowadzących rachunki płatnicze (ASPSPs). Zostanie on zintegrowany z interfejsami użytkowników, za pośrednictwem których ASPSPs zapewniają dostęp do rachunków (np. bankowością internetową).
Przeznaczeniem panelu będzie zapewnienie użytkownikom:
- podglądu do udzielonych zgód (zezwoleń) na świadczenie usług PIS i AIS; oraz
- zarządzania udzielonymi zgodami, w tym zagwarantowanie możliwości ich odwołania.
Projekt PSD3 skraca czas na podjęcie przez organy decyzji w sprawie udzielenia zezwolenia na świadczenie usług płatniczych w charakterze instytucji płatniczej. Zakłada się, że będą to maksymalnie 2 miesiące od złożenia wniosku lub jego uzupełnienia (obecnie przepisy zakładają 3 miesiące).
Projekt PSD3 wprowadza nową metodę ochrony środków pieniężnych użytkowników pod postacią deponowania ich na rachunkach założonych w banku centralnym. Projektowane przepisy zakładają jednak, że banki centralne mogą odmówić prowadzenia rachunków dla instytucji płatniczych ze względu na przepisy krajowe.
Tak, podmioty zainteresowane świadczeniem usług z zakresu informacji finansowej, w tym KIPy, będą zobligowane.
Projekt PSD3 przewiduje podwyższenie wymogów kapitałowych dla świadczenia większości usług płatniczych. Agenci rozliczeniowi, tj. podmioty świadczące usługę acquiringu, będą zobligowani posiadać kapitał założycielski o równowartości co najmniej 150 000 euro.
Projekt PSD3 przewiduje utworzenie i prowadzenie przez EBA odrębnego wykazu dostawców usług AIS i PIS, przystosowanego do odczytu maszynowego. Wykaz docelowo ułatwić ma badanie autoryzacji danego AISP lub PISP przez ASPSP oraz wydawanie certyfikatów eIDAS, które wykorzystywane są na potrzeby weryfikacji względem ASPSP podczas żądania dostępu do rachunku.
Nie, w świetle projektu PSR panel ma na celu zarządzanie zgodami tylko dla tych usług AIS lub PIS, które zakładają wielokrotny dostęp do rachunku płatniczego. W założeniu panel nie będzie zatem zapewniał podglądu zgód udzielonych na potrzeby wykonania jednorazowej usługi AIS lub PIS.
Projekt PSR przewiduje nadanie EBA kompetencji do czasowego zakazania lub ograniczenia świadczenia w UE określonego rodzaju usługi płatniczej lub usługi związanej z pieniądzem elektronicznym. Możliwość skorzystania z takiego uprawnienia zależy od spełnienia określonych przesłanek, które mają związek z zagrożeniami rynkowymi. Projektowane przepisy przewidują przy tym wydanie RTSów uszczegóławiających zasady przeprowadzania interwencji produktowych.
W świetle projektu FiDAR będzie to usługa polegająca na uzyskiwaniu dostępu do szerokiego zakresu informacji o kliencie, związanych z korzystaniem przez niego z usług instytucji finansowych. Przykładowo będą to informacje dotyczące udzielanych klientowi kredytów, środków inwestowanych na rynku kapitałowym, bądź nabywania niektórych polis ubezpieczeniowych takich jak ubezpieczenia pojazdów, kredytów, od szkód rzeczowych lub OC. Dostęp do informacji nie będzie mógł jednak obejmować danych związanych z ubezpieczeniami na życie, zdrowotnych lub chorobowych .
Projekt PSD3 utrzymuje ogólną zasadę, aby instytucje płatnicze przechowywały swoją dokumentację przez co najmniej 5 lat, bez uszczerbku dla innych przepisów unijnych, w tym z obszaru AML/CFT.
Jeśli dokumentacja zawiera dane osobowe to okres jej przechowywania nie powinien być jednak dłuższy niż jest to konieczne dla celów określonych w tytule II dyrektywy (tj. na potrzeby wykazania spełniania wymogów niezbędnych do uzyskania zezwolenia i prowadzenia działalności).
Zarówno motywy projektu PSD3, jak i PSR wprost potwierdzają, że funkcjonalności wykorzystujących tokenizacje (takich jak Apple Pay lub Google Pay) nie powinno kwalifikować się jako odrębnych instrumentów płatniczych.
Projekt PSD3 zakłada skrócenie terminu rozpatrywania wniosków o rejestrację agentów instytucji płatniczych do 1 miesiąca (obecnie KNF związany jest terminem 2-miesięcy od dnia wpływu wniosku).
Do projektu PSR wprowadzono otwarty katalog przesłanek, zgodnie z którym bank będzie mieć prawo odmówienia instytucji płatniczej otwarcia i prowadzenia dla niej rachunku płatniczego. Przede wszystkim dotyczyć ma to sytuacji, w których:
- bank posiada uzasadnione podejrzenia co do niezgodnej z prawem działalności instytucji płatniczej, w tym w związku z naruszeniami przepisów AML/CFT;
- instytucja płatnicza lub jej model biznesowy prezentują istotne ryzyko.
Projekt FiDAR przewiduje wprowadzenie na rynek finansowy swoistego rodzaju wielostronnych porozumień pomiędzy najbardziej znaczącymi posiadaczami danych, użytkownikami danych klienta oraz organizacjami konsumentów i klientów.
Wewnętrzne regulacje FDSS mają określać regulamin uczestnictwa, rodzaje wykorzystywanych interfejsów, wysokość opłat za udostępnianie danych, odpowiedzialność odszkodowawczą, a także inne szczegółowe zasady współpracy pomiędzy uczestnikami systemu.
Motywy projektu PSD3 potwierdzają, że usługi świadczone w modelu BNPL – z uwagi na ich pożyczkowy charakter – zasadniczo nie powinny być traktowane jako usługi płatnicze. Nie oznacza to jednak, że działalność dostawców BNPL w żadnym wypadku nie może polegać na świadczeniu usług płatniczych. Wszystko zależeć będzie od konkretnego modelu biznesowego oraz funkcjonalności udostępnianych użytkownikowi.
Projekt PSD3 nakłada na KE obowiązek utworzenia specjalnej strony internetowej celem ułatwienia instytucjom płatniczym świadczenia usług transgranicznie. Strona ta zawierać ma informacje nt. wymogów związanych z rejestracją instytucji płatniczej w każdym z państw członkowskich UE.
Projekt PSR przewiduje wydłużenie, z 13 do 18 miesięcy, terminu dot. wygaśnięcia roszczenia użytkownika względem dostawcy o zwrot kwoty będącej przedmiotem nieautoryzowanej transakcji płatniczej.
W świetle projektu PSR, dostawca nieinformujący płatnika o zidentyfikowanych rozbieżnościach w zakresie weryfikacji odbiorcy przelewu będzie odpowiedzialny za zwrot pełnej kwoty będącej przedmiotem takiej transakcji. Obejmie to także przypadki, w których płatnik dokonał właściwej autoryzacji przelewu.
Najnowszy projekt FiDAR umożliwia FISPs przekazywanie danych o kliencie podmiotom trzecim, w tym insourcerom, wyłącznie za wyraźną zgodą klienta. Dotyczy to różnych kategorii danych, do których FISP uzyskuje dostęp w związku ze świadczeniem usługi z zakresu informacji finansowych (FIS), a więc nie tylko danych osobowych w rozumieniu RODO.
Projekt PSD3 przewiduje nowy obowiązek w zakresie przedłożenia organowi nadzoru wewnętrznej regulacji określającej plan likwidacji na wypadek upadłości.
Projekt PSD3 doprecyzowuje przesłanki umożliwiające wycofanie przez organ nadzoru licencji KIP w związku z:
a) zrzeczeniem się zezwolenia (odpowiednik art. 70 ustawy o usługach płatniczych);
b) naruszeniem obowiązków z obszaru AML/CFT.
Z praktycznego punktu widzenia druga ze wspomnianych przesłanek obecnie może być oceniana przez pryzmat art. 69 ust. 1 pkt 2 ustawy o usługach płatniczych.
Zgodnie z projektem PSR, nowe przepisy zakładają podniesienie limitów dla pojedynczej oraz łącznej (miesięcznej) wartości transakcji płatniczych przeprowadzanych przez przedsiębiorców telekomunikacyjnych w ramach dedykowanego wyłączenia. Dotychczasowe kwoty ustalone na poziomie odpowiednio 50 i 300 euro mają zostać zastąpione stawkami w kwotach 60 i 360 euro.
Projekt PSR przewiduje zwiększenie minimalnej wartości kwoty transakcji płatniczej, od której po stronie wydawcy instrumentu aktualizują się pełne wymogi informacyjne – odpowiednio do kwoty:
a) 50 euro dla instrumentów dotyczących wyłącznie indywidualnych transakcji płatniczych lub zakładających limit wydatków w wysokości 250 euro; albo
b) 250 euro, jeśli instrument płatniczy służyć będzie do przechowywania środków pieniężnych.
Projekt FiDAR przewiduje obowiązek dostarczenia przez każdego posiadacza danych specjalnego panelu, wbudowanego w ogólny interfejs służący do kontaktu z klientem, umożliwiającego zarządzanie zgodami na dostęp do danych, których klient udzielił użytkownikom danych.