Toinen maksupalveludirektiivi (PSD2) tuli voimaan 13.1.2016 ja se on pantava kansallisesti täytäntöön viimeistään 13.1.2018. Suomessa tämä tapahtuu maksupalvelulain uudistamisella, jota koskevassa muutosehdotuksessa mm teleyrityksiä koskevia soveltamisalapoikkeuksia kavennetaan. Vaikka PSD2 tuo myös hyviä uudistuksia, niin jo tällainen maksupalvelusääntelyn laajentaminen voi vähentää kuluttajien ja muiden maksupalvelun käyttäjien vaihtoehtoja.

PSD2:ssa annetaan myös paljon säädösvaltaa Euroopan pankkivalvojalle (European Banking Authority, EBA). Yksi keskeisimmistä on sitova tekninen sääntelystandardi, joka koskee mm asiakkaan vahvaa tunnistamista (ns. autentikointi-RTS). Standardia ja siihen liittyviä PSD2:n säännöksiä sovelletaan 18 kuukauden siirtymäajan jälkeen standardin voimaantulosta. Tämän hetkisen arvion mukaan soveltaminen alkaisi loppuvuodesta 2018.

Mitä maksutapahtumia uudistus koskee?

Lain soveltamisalaan kuuluisi maksunsaajan kanssa tehtyyn sopimukseen perustuva maksutapahtuman hyväksyminen tai käsitteleminen, joka johtaa varojen siirtämiseen maksunsaajalle. Lain soveltaminen tällaiseen palveluun ei riippuisi siitä, toteutetaanko maksutapahtuma maksuvälineellä vai muulla tavoin.

Myös matkapuhelimen avulla voidaan ostaa palveluita ja tavaroita, jotka laskutetaan matkapuhelinliittymän laskun yhteydessä.  Lähtökohtana olisi jatkossa, että nämä teleyritysten tarjoamat palvelut kuuluisivat lain soveltamisalaan, jos niissä on kyse jostain laissa tarkoitetusta maksupalvelusta. Näin olisi riippumatta siitä, toimiiko teleyritys maksupalvelua tarjotessaan ainoastaan maksutapahtuman välittäjänä vai tuottaako se lisäarvoa palvelukokonaisuudessa.

Mitkä maksutapahtumat jäävät ulkopuolelle?

Lakia ei ehdotuksen mukaan sovellettaisi sellaisiin tarkemmin määriteltyihin erityisiin maksuvälineisiin perustuvaan palveluun, joita voidaan käyttää vain rajoitetusti, kuten kauppojen omat kortit, polttoainekortit, jäsenkortit, julkisen liikenteen matkakortit, pysäköintiliput ja ateriasetelit.

Lain soveltamisalan ulkopuolelle jäisivät myös tilanteet, joissa kauppaedustaja tai muu vastaava edustaja toimii ainoastaan maksajan tai maksunsaajan puolesta esimerkiksi erilaisten viranomaisten edellyttämien lupien myynti siten, että luvan myy asiamies, joka tilittää varat viranomaiselle. Sen sijaan tilanteet, joissa maksun välittävä asiamies toimii sekä maksajan että maksunsaajan puolesta, tulisivat lain soveltamisalaan. Eli esimerkiksi sähköiset kauppapaikat, jotka saattavat yhteen ostajan ja myyjän sekä samalla välittävät maksun hyödykkeestä ostajalta myyjälle.

Lain soveltamisalan ulkopuolelle jäisivät myös enintään 50 euron suuruiset maksutapahtumat, jotka teleyritys perii viestintäpalvelun käyttöön perustuvan laskutuksensa yhteydessä käyttäjältä. Käytännössä siis maksut digitaalisen sisällön tai ääniperusteisten palvelujen ostamista varten tai maksutapahtumat, jotka toteutetaan sähköisestä laitteesta tai sen välityksellä siten, että suoritus tehdään hyväntekeväisyyteen tai maksuksi matka-, pysäköinti-, pääsy- tai muista sen kaltaisista lipuista. Tämän poikkeuksen piiriin eivät sen sijaan kuuluisi tilanteet, joissa kyse on fyysisten tavaroiden maksamisesta.

Näiden maksutapahtumien jääminen lain soveltamisalan ulkopuolelle edellyttäisi lisäksi, että niiden kaikkien yhteenlaskettu määrä kuukaudessa pysyisi laissa säädetyn kuukausikohtaisen enimmäismäärän puitteissa eli olisi enintään 300 euroa kuukaudessa käyttäjää kohden. Mainittua rajaa sovellettaisiin riippumatta siitä, laskutetaanko maksutapahtumat jälkikäteen vai maksetaanko ne teleyritykselle etukäteen.

Mitä muuttuu maksuprosessissa?

Pankkien rinnalle uudet toimijat ja uudet maksutavat

Keskeisenä muutoksena kolmansille maksupalveluntarjoajille eli toimiluvan saaneille maksutoimeksiannon käynnistyspalvelun tarjoajille (Payment Initiation Service Providers eli PIS kuten esimerkiksi Trustly) tai rekisteröidyille tilitietopalvelun tarjoajille (Account Information Service Providers eli AIS) on sallittava rajoitettu pääsy muiden maksupalveluntarjoajien (kuten pankit) ylläpitämille maksutileille.

Käytännössä tämä tarkoittaa sitä, että pankkien tulee tarjota asiakastiliensä rajapinnat ulkopuolisten palveluntarjoajien käyttöön, jolloin Apple, Paypal ja muut vastaavat toimijat voisivat luoda pankkipalveluja tai maksuvälineitä, jotka pääsevät veloittamaan suoraan pankkien tilejä ja pankeille jäisi ainoastaan järjestelmän ylläpitäjän osa. On esitetty, että maksupalveludirektiiviä hyödyntävät palveluntarjoajat voisivat koota asiakkaan eri pankeissa olevat pankkipalvelut yhteen, analysoida tilitietoja ja tuottaa tiedoista paketteja, joita myydä eteenpäin.

Finanssisektorilla useat toimijat niin Suomessa kuin muualla ovat vastanneet haasteeseen. Suomessa Nordea ja OP ovat tahoillaan aloittaneet ”Open Banking” -pilottihankkeet ja UK:ssa HSBC testaa omaa alustaansa, jossa asiakkaat näkevät kaikki tilinsä yhdessä näkymässä. HSBC testaa alustaansa ensin 10 000 asiakkaalla niin, että osallistujat voivat lisätä tilinsä 21 eri pankista.

Jokatapauksessa muutoksen myötä Suomenkin markkinoille tullee uusia maksutapoja. Jo nyt Apple on tiedottanut tuovansa Apple Pay palvelunsa Suomeen. Apple Pay toimii puhelimessa olevan lähimaksusirun kautta, maksu hyväksytään sormenjäljellä ja se välittyy kaupalle luottokorttiyhtiöiden maksunvälitysjärjestelmien kautta. Vastaavaa palvelua tarjoaa OP-ryhmän Pivo. Jatkossa maksunvälitysjärjestelmää ei tarvita, vaan maksusovellus voidaan liittää suoraan asiakkaan tiliin. Amazon taas kehitti kivijalkaan Amazon Go palvelun, jossa tunnistus tapahtuu puhelimella kauppaan astuttaessa. Tunnistamisen jälkeen voi kerätä ostokset suoraan omaan kassiin ja kävellä ulos kaupasta järjestelmän hoitaessa ostosten veloittamisen.

Vahvan tunnistamisen vaatimus raskauttamaan prosessia

Uutta on myös vaatimus asiakkaan vahvasta tunnistamisesta sähköisissä maksutapahtumissa kuten internetmaksamisessa ja tilin online-käytössä. Tämä tarkoittaa esimerkiksi luottokorttimaksun vahvistamista verkkopankkitunnuksilla. Tällähetkellä vahva tunnistaminen on ollut vain verkkomaksuja koskeva turvallisuussuositus.

Maksupalvelulain 10 lukuun lisättäisiin säännökset palveluntarjoajan velvollisuudesta käyttää vahvaa tunnistamista. Palveluntarjoajan on ehdotuksen mukaan käytettävä vahvaa tunnistamista, jos maksaja käyttää maksutiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai toteuttaa etäviestimellä toimen, johon voi liittyä väärinkäytöksen riski. Lisäksi vahvaan tunnistamiseen liittyisi direktiivin mukaisia lisävaatimuksia silloin, kun maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, esimerkiksi verkkopankissa.

Vahva tunnistaminen määriteltäisiin lain 8 §:ssä. Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kohdan mukaisista kolmesta toisistaan riippumattomasta vaihtoehdosta. Nämä vaihtoehdot ovat tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi salasanaa, jonka käyttäjä joutuu antamaan käyttäjätunnuksensa yhteydessä), hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi sirukortti, tietyllä SIM-kortilla varustettu matkapuhelin tai käyttäjän mobiililaitteelle asennettu tunnistussovellus) sekä maksupalvelun käyttäjän yksilöivä ominaisuus (joku käyttäjän biometrinen ominaisuus, kuten sormenjälki, kasvojen muoto tai silmän iiris).

Palveluntarjoajan velvollisuudesta käyttää vahvaa tunnistamista säädetään ehdotetussa 85 b §:ssä, jonka mukaan vahvan tunnistamisen on täytettävä direktiivin 98 artiklan nojalla annettavissa komission (EBA:n laatimissa) teknisissä sääntelystandardeissa asetetut tarkemmat vaatimukset. Koska lakiin ehdotettava direktiivin mukainen vahvan tunnistamisen määritelmä on suhteellisen yleisluontoinen, tarkoittaa sanottu käytännössä, että laissa edellytetyn vahvan tunnistamisen tarkempi sisältö määräytyy olennaisesti mainittujen tulevaisuudessa annettavien komission teknisten sääntelystandardien perusteella. Komission teknisten sääntelystandardien perusteella määräytyvät myös ne tilanteet, joissa velvollisuudesta vahvaan tunnistamiseen voidaan maksupalvelulain mukaan poiketa.

Mitä vahvaan tunnistamiseen edellytetään?

Suomessa pankit ovat tarjonneet verkkopankkitunnuksiaan laajasti käytettäväksi tunnistusvälineenä. Nyt on mahdollista, että sääntelystandardeissa sallitaan maksupalveluntarjoajan käyttää oman asiakkaansa tunnistamisessa menetelmää, joka ei täytä tunnistuspalveluiden sääntelyn mukaisia vahvan sähköisen tunnistamisen vaatimuksia. Tämä johtuu siitä, että maksupalvelulain ja maksupalveludirektiivin ”vahvan tunnistamisen” määritelmä on itsenäinen suhteessa vahvan sähköisen tunnistamisen ja sähköisistä luottamuspalveluista annetun lain sekä eIDAS –asetuksen ”vahvan sähköisen tunnistamisen” määritelmään. Tarkoitus on, että eIDAS-asetuksen korotetun ja korkean varmuustason mukainen vahva sähköinen tunnistaminen täyttää aina myös maksupalvelulain mukaisen vahvan tunnistamisen vaatimukset, mutta maksupalvelulain mukainen vahva tunnistaminen voi olla muutakin, joka täyttää tulevaisuudessa annettavien komission teknisten sääntelystandardien vaatimukset.

PSD2:n kansallisessa täytäntöönpanossa on lähdetty siitä, että vahvan tunnistusvälineen vaatimukset täyttäisivät ainakin luottamusverkostossa (eli tunnistusvälineiden tarjoajien kuten pankkien tai operaattoreiden ja välityspalvelijoiden kokonaisuus) käytettävät tunnistusvälineet. Lähtökohtana on, että kolmannet maksupalveluntarjoajat voivat hyödyntää palveluissaan samoja vahvoja tunnisteita, joita asiakas käyttää esimerkiksi verkkopankissa.

Nyt asetutetut vaatimukset voivat vaikeuttaa maksamista tai olla ylimitoitettuja erilaisissa maksutilanteissa, kuten lähimaksamisessa ja pienmaksamisessa, minkä vuoksi ne voivat hankaloittaa uusien käyttökelpoisten maksutapojen kehittämistä. Vaatimukset saattavat myös edellyttää käyttäjiltä entistä monipuolisempaa tietoteknistä osaamista ja laitteistoja, joiden käyttäminen voi muodostua korkeaksi kynnykseksi joillekin asiakasryhmille. Vahva tunnistaminen luo siis toki turvallisuutta maksamiseen, mutta se voi myös turhaan hankaloittaa ostosprosessia ja johtaa näin ostoskorin hylkäämiseen.

Koska vahvaa tunnistamista koskevien vaatimusten täsmällinen sisältö ja niistä myönnettävät poikkeukset määräytyvät tarkemmin Euroopan pankkiviranomaisen valmistelemien ja komission hyväksymien teknisten sääntelystandardien perusteella, niillä tulee olemaan olennainen merkitys.

Milloin vahvaa tunnistamista ei tarvita?

Niin EBA kuin komissio ehdottavat, että vain alle 30 euron ostokset olisivat vahvan tunnistamisen ulkopuolella. Näin kuluttajan tulisi pienissäkin ostoksissa naputella prosessia huomattavasti hidastavia lisätietoja ja numerosarjoja. Koska keskimääräinen ostoskorin koko EU:ssa on noin 100 euroa, lähes kaikki verkko-ostokset päätyisivat raskaan vahvan tunnistamisen piiriin. Lisäksi EBAn ehdotuksen mukaan poikkeaminen vahvasta tunnistamisesta tulisi kyseeseen vain mikäli sekä myyjän että kuluttajan pankit suostuisivat poikkeamiseen. Tällainen käytäntö luo vain epävarmuutta. Jääkin nähtäväksi tarjoaako standardi riittävää joustavuutta luoda asiakasystävällisiä palveluita.

Kuluttajan vastuuta rajoitetaan

Myös kuluttajan vastuuta maksuvälineen väärinkäytöstilanteissa rajoitetaan edelleen ja maksupalveluntarjoajien palautusvastuu virhe- ja väärinkäytöstilanteissa tiukentuu. Maksupalvelun käyttäjän vastuun enimmäismäärää maksuvälineen oikeudettomasta käytöstä alennetaan 150 eurosta 50 euroon.

Muilta osin PSD2 ei muuta olennaisesti nykylainsäädäntöä.