Analizy

PSD 2.5 – czyli przyszłość regulacji usług płatniczych wg EBA

Europejski Urząd Nadzoru Bankowego („EBA”) opublikował 23 czerwca 2022 roku swoje propozycje zmian w dyrektywie PSD2 . W obszernym dokumencie przedstawiono ponad 200 propozycji tego, jak zdaniem EBA powinny wyglądać unijne zasady świadczenia usług płatniczych po przeglądzie PSD2 prowadzonym obecnie przez Komisję Europejską. Poniżej przedstawiamy te, które naszym zdaniem mogą mieć największy wymiar praktyczny dla dostawców usług płatniczych.

Blog Prawo Nowych Technologii | lipiec 2022 r.

Zmiany w PSD2 proponowane przez EBA można luźno podzielić na dwa obszary. Pierwszy z nich ma charakter organizacyjny i dotyczy zmian w sprawowaniu nadzoru nad rynkiem usług płatniczych oraz organizacji tego rynku. Drugi z kolei dotyczy zmian w praktyce działalności płatniczej. Co ciekawe, wiele z wypowiedzi EBA zawartych w dokumencie zawiera stanowiska interpretacyjne organu, mogące mieć znaczenie już teraz na gruncie obecnie obowiązujących przepisów.

Zmiany w zakresie zastosowania dyrektywy

Wśród propozycji dotyczących zmian zakresu stosowania PSD2 na pierwszy plan wybija się połączenie tej dyrektywy z dyrektywą EMD² regulującą zasady działania instytucji pieniądza elektronicznego. Zdaniem EBA nieuzasadnione jest utrzymywanie dwóch zestawów zasad dla instytucji płatniczych oraz instytucji pieniądza elektronicznego i oba typy podmiotów (w tym świadczone przez nie usługi) powinny być objęte tym samym reżimem prawnym.
EBA zdaje się dążyć do uszczegółowienia PSD2, proponując m.in. wprowadzenie konkretniejszych definicji niektórych pojęć stosowanych w dyrektywie, doprecyzowania zasad korzystania z wyłączeń od jej stosowania (w szczególności wyłączenia dla agenta handlowego), czy zmian w definicjach poszczególnych kategorii usług płatniczych. W tym zakresie warto zwrócić uwagę na doprecyzowanie pojęć takich jak „rażące niedbalstwo”, czy „oszustwo”, o którym mowa w art. 73 PSD2. Proponowane brzmienie tego przepisu ma wskazywać wprost, że chodzi wyłącznie o oszustwo popełnione przez płatnika. Takie zmiany, choć pozornie jedynie techniczne, mogą znacząco wpłynąć na zasady odpowiedzialności pomiędzy dostawcami usług płatniczych a użytkownikami i praktykę dostawców w zakresie procedur dotyczących zwrotu kwoty transakcji w określonych sytuacjach. Co dodatkowo ciekawe, analizując działalność dostawców zyskujących na popularności usług BNPL (buy now, pay later) EBA doszedł do wniosku, że nie ma potrzeby tworzenia dla nich szczególnych regulacji w ramach PSD2, ponieważ świadczone w ramach BNPL usługi można typowo przypisać do istniejącego obecnie katalogu usług płatniczych.

Nowe zasady nadzoru dla największych

W reakcji na ciągły wzrost liczby instytucji płatniczych i instytucji pieniądza elektronicznego oraz z uwagi na to, że działalność niektórych z nich osiąga systemowo istotne rozmiary, EBA proponuje wprowadzenie w PSD2 szczegółowych zasad dla podmiotów, których działalność ma „znaczący” charakter dla całego rynku finansowego również w ujęciu transgranicznym. Takie instytucje miałyby zostać objęte systemem działań naprawczych i uporządkowanej likwidacji – aczkolwiek w wersji uproszczonej. Dodatkowo EBA poddał Komisji pod rozwagę objęcie znaczących instytucji nadzorem skonsolidowanym znanym np. z bankowych grup kapitałowych.

Warte odnotowania propozycje zostały zawarte również w odniesieniu do kwestii wymogów kapitałowych i funduszy własnych. Zdaniem EBA, PSD2 powinno przewidywać zasadniczo tylko jedną metodę obliczania funduszy własnych (Metodę B). Instytucje udzielające kredytu płatniczego powinny jednak dodatkowo utrzymywać fundusze własne na poziomie określonym zgodnie ze standardową metodą szacowania ryzyka kredytowego określoną w CRR³.

EBA zauważył również, że pozyskanie polisy ubezpieczeniowej spełniającej wymogi PSD2 stanowi istotną przeszkodę na drodze do rozpoczęcia świadczenia usług inicjowania transakcji płatniczej („PIS”) oraz usług dostępu do informacji o rachunku („AIS”) przez uprawnione podmioty trzecie („TPP”). W związku z tym organ zaproponował, by posiadanie kapitału założycielskiego na poziomie 50 000 EUR przez dostawców usług PIS jak obecnie, ale również usług AIS (wobec których obecnie brak jakichkolwiek wymogów kapitałowych) zwalniało z obowiązku posiadania przez wnioskodawcę stosownego ubezpieczenia na etapie postępowania licencyjnego. Po rozpoczęciu działalności TPP będzie w dalszym ciągu zobowiązany do pozyskania ubezpieczenia, którego warunki zdaniem EBA powinny być bardziej szczegółowo uregulowane w PSD2. Pozostając w temacie TPP warto również nadmienić, że EBA nie zidentyfikował potrzeby wprowadzenia wobec dostawców usług AIS i PIS wymogów licencyjnych lub nadzorczych lżejszych niż obowiązujące obecnie.

Zdaniem EBA szereg obszarów będących obecnie przedmiotem wytycznych wydawanych przez ten organ należy w przyszłości przenieść na poziom rozporządzeń delegowanych (tzw. RTSów), których przepisy mają charakter bezpośrednio obowiązujący. Znacząco inny charakter prawny RTS oraz brak możliwości deklarowania odrębności stosowania przez poszczególne organy nadzoru (tak jak ma to miejsce w kontekście wytycznych wydawanych przez EBA), wpłynie istotnie na dalszą harmonizację zasad świadczenia usług płatniczych w całej UE. Według EBA na poziomie RTS powinny znaleźć się w szczególności wymogi dot. uzyskania zezwolenia na świadczenie usług płatniczych, ubezpieczenia z tytułu prowadzenia działalności zawodowej, zgłaszania nadużyć finansowych oraz korzystania z wyłączenia dla instrumentów ograniczonej sieci.

Zmiany w modelach świadczenia usług PIS i AIS

Przechodząc do sugerowanych zmian w praktyce działalności płatniczej uwagę zwraca proponowane przez EBA podejście do modeli świadczenia usługi PIS. Na rynku dość powszechnie przyjmuje się, że usługa ta może być świadczona zarówno na rzecz płatnika, jak i odbiorcy, bądź wyłącznie na rzecz jednego z tych podmiotów. EBA proponuje, aby odzwierciedlić to bezpośrednio w PSD2, gdyż obecne brzmienie art. 66 dyrektywy odnoszące się wyłącznie do „płatnika”, może rodzić w praktyce wątpliwości co do zakresu zastosowania tej usługi.

Przy okazji warto zwrócić uwagę, że w opinii EBA wprost wskazano, że o ile organ nie widzi przeciwskazań w świadczeniu PIS na rzecz odbiorcy (w praktyce najczęściej merchanta), to stoi on na stanowisku, że nawet w takiej sytuacji konieczna jest relacja kontraktowa z płatnikiem. Jest to uwaga, która do tej pory nie pojawiła się w żadnym innym oficjalnym komunikacie organu nadzoru i nie wynika wprost z przepisów.

Z kolei w kontekście usługi AIS, EBA po raz kolejny wskazuje na dopuszczalność takiego ukształtowania modelu jej świadczenia, w którym odbiorcą danych pozyskanych z rachunku płatniczego będzie podmiot inny niż użytkownik, któremu usługa AIS jest świadczona (co było potwierdzone już wcześniej m.in. w Q&A 4098). Co przy tym istotne, w sytuacji, w której użytkownik usług płatniczych wyraża zgodę na przekazanie danych podmiotowi trzeciemu, skonsolidowane dane z rachunku płatniczego są przekazywane bezpośrednio do tego podmiotu. Nie ma zatem konieczności przekazywania tak pozyskanych danych również do użytkownika AIS. Z uwagi na liczne wątpliwości co do tego modelu obecne zarówno na rynku, jak i w praktyce organów nadzoru, kwestia ta ma zostać uregulowana bezpośrednio w PSD2.

Dalsze regulacje zasad stosowania SCA

Na rynku funkcjonuje obecnie wiele modeli stosowania silnego uwierzytelnienia użytkownika („SCA”), w tym w oparciu o rozwiązania oferowane przez podmioty trzecie. O ile EBA zasadniczo stoi na stanowisku, że taka sytuacja wymaga relacji umownej w reżimie outsourcingu pomiędzy dostawcą usług płatniczych a podmiotem trzecim oferującym rozwiązanie technologiczne, to w opinii wskazano wprost, że na rynku występują modele, które takiej umowy nie zakładają. Chodzi o bardzo popularną metodę SCA bazującą na rozwiązaniach oferowanych przez producentów smartfonów, w szczególności opartych na biometrii użytkownika. EBA zauważa, że w takich przypadkach, efektywne wypełnianie obowiązków nałożonych w RTS SCA⁴ przez dostawców usług płatniczych może być znacząco utrudnione, o ile nie niemożliwe. Z tego względu EBA proponuje uregulowanie tej kwestii wprost w przepisach i przesądzenie o konieczności (bądź jej braku) zawarcia umowy outsourcingowej z dostawcami metod weryfikacji biometrycznej w smartfonach. Należy jednak zwrócić uwagę, że reżim outsourcingu może być trudny do wdrożenia w tej konkretnej relacji i choć ściślejsze uregulowanie tej materii wydaje się zasadne, to należy w tym zakresie zachować odpowiednią proporcjonalność obciążeń regulacyjnych i przede wszystkim zaadresować kwestie związane z możliwością przeprowadzania odpowiednich kontroli przez dostawców usług płatniczych zgodnie z RTS SCA.

W zakresie SCA warto również zwrócić uwagę na propozycję bezpośredniego uregulowania w RTS wyłączenia od obowiązku stosowania SCA dotyczącego transakcji inicjowanych przez odbiorcę (merchant initiated transactions – „MIT”). Do tej pory wyłączenie to pojawiło się jedynie w wytycznych EBA w sprawie wymogów zgłaszania nadużyć finansowych i zostało potwierdzone przez organ nadzoru w ramach Q&A dostępnych na stronie EBA. Jednak z uwagi na pewne wątpliwości, które to wyłączenie może rodzić w praktyce, a także jego popularność, uznano, że zasady uprawniające do skorzystania z tego wyłączenia powinny zostać uregulowane bezpośrednio w RTS.

Podsumowanie

Wszystko wskazuje na to, że zmiany w PSD2 będą miały za zadanie odświeżyć dyrektywę i dostosować ją do coraz dojrzalszego rynku usług płatniczych bez przeprowadzania rewolucji. Przegląd PSD2 ma przede wszystkim zaadresować problemy zidentyfikowane przez organy nadzoru na rynku usług płatniczych, w szczególności związane ze zbyt dużym poziomem ogólności części przepisów, która przekłada się na niespójne podejście i rozbieżności w ich zastosowaniu w poszczególnych państwach członkowskich. Zmiany choć nie gruntowe, bez wątpienia wpłyną na wszystkich dostawców usług płatniczych, a szczególnie na tych o największej skali działania.

¹ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE
² Dyrektywa Parlamentu Europejskiego i Rady 2009/110/WE z dnia 16 września 2009 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością, zmieniająca dyrektywy 2005/60/WE i 2006/48/WE oraz uchylająca dyrektywę 2000/46/WE
³ Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniające rozporządzenie (UE) nr 648/2012
⁴ Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji

Subskrybuj "Blog: Prawo Nowych Technologii"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego newslettera.

Zobacz pozostałe materiały na ten temat

Autor

Mateusz Ordyk

Radca prawny, Local Partner, Doradztwo Regulacyjne dla Sektora Finansowego i FinTech

mordyk@deloittece.com

+48 601 258 301

Mateusz jest radcą prawnym i Partnerem w zespole doradztwa regulacyjnego dla sektora finansowego i FinTech. Jest także certyfikowanym compliance oficerem. Specjalizuje się w prawie rynków finansowych ... Więcej

Bartosz Gauza

Adwokat, Senior Associate, Doradztwo Regulacyjne dla Sektora Finansowego i FinTech

bgauza@deloittece.com

538 621 572

Bartosz jest adwokatem i członkiem izby adwokackiej w Warszawie. Ukończył studia prawnicze na Uniwersytecie Jagiellońskim oraz na Uniwersytecie Ruprechta i Karola w Heidelbergu w ramach programu LLM. ... Więcej

Marta Merta

Aplikant radcowski, Senior Associate, Doradztwo Regulacyjne dla Sektora Finansowego i FinTech

mmerta@deloittece.com

+48 664 199 110

Marta jest aplikantką radcowską i Senior Associate w zespole Doradztwa regulacyjnego dla sektora finansowego i FinTech w kancelarii Deloitte Legal. Jest także absolwentką prawa na Uniwersytecie Ekonom... Więcej

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

AML i Compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowo-kadrowy

Generatywna Sztuczna Inteligencja

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk