Banken en andere financiële dienstverleners hebben nog anderhalf jaar de tijd om zich voor te bereiden op de herziene Europese betaalrichtlijn Payment Service Directive 2 (PSD2). Deze EU-richtlijn moet dan ook geimplementeerd zijn in de nationale wetgeving van alle Europese lidstaten. Als dit zover is dan kunnen zowel consumenten als bedrijven gegevens van hun betaalrekening(en) inzichtelijk maken voor derde partijen en ook toestemming geven om elektronische betalingen te initiëren.
Het wordt door PSD2 voor iedere dienstverlener met een specifieke PSD2-vergunning mogelijk om betaaldiensten en/of op rekeninginformatie gebaseerde diensten aan te aanbieden. Deze diensten waren tot dusver vooral toebedeeld aan banken. PSD2 zal dus voor een ongekende revolutie gaan zorgen in het betaallandschap.
Van PSD1 naar PSD2: doel van de herziening
Voorafgaande aan PSD2 was er een eerste Europese betaalrichtlijn, genaamd - hoe kan het ook anders - PSD1. Deze werd in 2009 geïmplementeerd in nationale wetgeving en zorgt voor de regulering van elektronische betalingsdiensten in de Europese Unie. PSD1 heeft vooral bijgedragen aan het bevorderen van concurrentie in het betaallandschap en drempelverlaging voor nieuwe toetreders, zijnde ‘niet-banken’. Het ontstaan van betaalinstellingen zoals Adyen, CCV en Mollie was een feit.
Sinds PSD1 zien we een grote toename in e-commerce en mobiele betalingen. Ook is er de sterke opkomst van nieuwe betaaldienstverleners die op hun beurt weer allerlei nieuwe diensten in de markt zetten. Met name op het gebied van ‘betaalinitiatiediensten’ (zoals Sofort en Trustly) alsook ‘rekeninginformatiediensten’ (zoals AFAS Personal en MoneyDashboard). De ontwikkeling van deze diensten heeft geleid tot een onsamenhangend EU-vergunningsregime. Hierin hebben we te maken met juridische uitdagingen omtrent verantwoordelijkheden en aansprakelijkheden van dienstverleners, veiligheid van oplossingen en - in sommige situaties - gebrek aan consumentenbescherming. Voldoende reden om deze Europese richtlijn te herzien.
Met de implementatie van PSD2 staat het betaallandschap een grote(re) aanpassing te wachten. De richtlijn werd in juli 2013 gepubliceerd door de Europese Commissie met als primaire doel het creëren van een gelijk(er) speelveld voor betaaldienstverleners (zowel banken als niet-banken). Uiteindelijk moet dit resulteren in meer innovatie en een bevordering van de concurrentie in financiële dienstverlening. In januari 2018 moet PSD2 geïmplementeerd zijn in nationale wetgeving van alle EU-lidstaten.
Belangrijkste wijzigingen PSD2: wat moet je weten?
PSD2 brengt een aantal belangrijke veranderingen met zich mee die het gevolg zijn van scope uitbreiding en aanscherping en strengere eisen ten aanzien van de beveiliging van elektronische betalingen. Echter, de belangrijkste wijziging die met PSD2 wordt geïntroduceerd heeft betrekking op ‘toegang tot de betaalrekening’ (ook wel access to account of XS2A). Deze wijziging kan verregaande strategische implicaties hebben voor verschillende dienstverleners die actief zijn in de betaalketen.
PSD2 moet resulteren in meer innovatie en bevordering van concurrentie in financiële dienstverlening.
PSD2 voegt twee nieuwe type gereguleerde dienstverleners toe, namelijk betaalinitiatiedienstverlenersen rekeninginformatiedienstverleners. Samen worden deze dienstverleners veelal Third Party Providers (TPPs) genoemd. Dit zijn derde partijen die niet de betaler of begunstigde zijn, niet in het bezit komen van geldstromen en ook niet de betaalrekening van de rekeninghouder beheren.
Met betrekking tot toegang tot de betaalrekening reguleert PSD2 twee specifieke diensten. Deze zijn alleen mogelijk met expliciete toestemming van de rekeninghouder. Deze twee diensten zijn in onderstaande figuren schematisch weergegeven. Europese banken worden verplicht deze functionaliteit te ondersteunen, waardoor de ‘exclusiviteit’ en het ‘monopolie’ dat banken hebben wordt doorbroken. Toegang tot de betaalrekening geldt voor zowel consumenten als zakelijke betaalrekeningen die online toegankelijk zijn. Er is geen contract nodig tussen derde partijen die deze diensten leveren en de bank van de rekeninghouder. Ook mag de bank geen kosten in rekening brengen aan derde partijen die toegang tot de betaalrekening hebben verkregen met toestemming van de rekeninghouder. Met andere woorden een ware revolutie van het betaallandschap.
Hoewel de precieze security vereisten voor toegang tot de betaalrekening nog gedefinieerd moeten worden (deze worden in januari 2017 verwacht), is het duidelijk dat PSD2 meer is dan enkel een ‘compliance vraagstuk’. Dit geldt niet alleen voor banken, maar ook voor andere bestaande dienstverleners.