Nie tylko dla dostawców usług płatniczych. Nowelizacja dyrektywy PSD3, cyfrowego euro i otwartych finansów,

Artykuł

Nie tylko dla dostawców usług płatniczych. Nowelizacja dyrektywy PSD3, cyfrowego euro i otwartych finansów.

Komisja ogłasza projekt nowelizacji dyrektywy PSD3, cyfrowego euro i otwartych finansów

Biuletyn prawny dla branży finansowej | 3/2023

W dniu 28 czerwca 2023 roku Komisja Europejska opublikowała pakiety regulacyjne w sprawie usług płatniczych, pieniądza elektronicznego i otwartych finansów (open finance1) oraz odrębny pakiet w sprawie cyfrowego euro2. Celem nowych przepisów jest m.in. poprawa bezpieczeństwa usług płatniczych, rozwinięcie dotychczasowych ram prawnych otwartej bankowości, wprowadzenie CBDC (waluty cyfrowej banku centralnego) pod egidą Europejskiego Banku Centralnego (EBC) i likwidacja odrębnych regulacji i licencji dla dostawców świadczących wyłącznie usługi płatnicze i tych emitujących pieniądz elektroniczny.

Opublikowane regulacje dotyczą zasadniczo trzech obszarów:

1) usługi płatnicze i pieniądz elektroniczny – zgodnie z zaprezentowaną inicjatywą legislacyjną, dwie dyrektywy regulujące odpowiednio obydwa obszary (PSD23  i EMD24) zostaną zastąpione rozporządzeniem PSR oraz dyrektywą PSD3 (przepisy te obejmą również dotychczasową regulację otwartej bankowości w zakresie dostępu do informacji o rachunkach płatniczych),

2) otwarte finanse – pakiet zakłada przyjęcie nowego rozporządzenia Financial Data Access Act (FIDA), które będzie stosowane w odniesieniu do szerokiego zakresu danych,

3) cyfrowe euro – Komisja Europejska zaproponowała przyjęcie dwóch rozporządzeń, których celem jest wprowadzenie w ramach Unii Europejskiej nowej postaci pieniądza, tzw. cyfrowej waluty banku centralnego (CBDC).

Przed publikacją projektów nowych regulacji prawnych m.in. przeprowadzono konsultacje publiczne, w których wzięło udział prawie 200 podmiotów (w tym kluczowy głos przedstawił Europejski Urząd Nadzoru Bankowego), a zespół ekspertów na zlecenie Komisji Europejskiej przygotował raport typu impact assessment dotyczący stosowania przepisów dyrektywy PSD2. Przygotowania do dużej nowelizacji przepisów o usługach płatniczych i open finance omawialiśmy przy okazji poprzednich edycji naszego biuletynu (zob. PSD 2.5 – czyli przyszłość regulacji usług płatniczych wg EBA oraz Nadchodzą otwarte finanse – czy PSD3 zmieni cały rynek finansowy?).

 

Usługi płatnicze i pieniądz elektroniczny

Kluczową regulacją w pakiecie płatniczym – wbrew pozorom – nie będzie dyrektywa PSD3, a rozporządzenie PSR, do którego przeniesiona zostanie większość zagadnień objętych dotychczas PSD2. Taki krok ze strony Komisji Europejskiej jest konsekwencją dostrzeganego od wielu lat trendu, gdzie kolejne pakiety regulacji finansowych są publikowane w modelu „dyrektywa + rozporządzenie”.

PSD3 oraz PSR pozostawią dotychczasowy katalog usług płatniczych właściwie bez większych zmian względem PSD2, z wyłączeniem likwidacji wyróżnienia wykonywania transakcji płatniczych w ciężar kredytu (choć nadal kredyt płatniczy będzie wymagał utrzymywania wyższego poziomu funduszy własnych przez instytucje płatnicze).

Nowa dyrektywa przewiduje jednak zmiany w zakresie usług wyłączonych – największą niespodzianką jest obowiązek rejestracji dla niezależnych operatorów bankomatów (mimo dużego zróżnicowania podejścia nadzorczego w poszczególnych państwach). Komisja proponuje także, aby – ponownie – zawęzić wyłączenie dla agentów handlowych. Dla skorzystania z niego niezbędne będzie zapewnienie, aby upoważnienie dawało realną możliwość negocjacji warunków umownych z dostawcą (co w zamierzeniu Komisji Europejskiej ma ograniczyć możliwość powoływania się na to wyłączenie przez platformy handlowe).

Dodatkowo, obok wyłączenia dla usług typu cashback (rozumianych jako wypłata środków pieniężnych w placówce handlowej przy okazji nabycia towarów lub usług), poza zakresem regulacji PSD3 znajdzie się wypłata środków w detalicznej placówce handlowej (retail store) dokonywana niezależnie od zakupów.

Jedną z najważniejszych zmian wprowadzanych przez PSD3 (choć zapowiadaną w kuluarach już od pewnego czasu) jest połączenie dotychczasowych reżimów licencyjnych określonych w ramach EMD2 (tj. dyrektywy o pieniądzu elektronicznym) i PSD2. W konsekwencji PSD3 likwiduje nieco sztuczne rozróżnienie na instytucje płatnicze i instytucje pieniądza elektronicznego, utrzymując wyłącznie jedną licencję dla instytucji płatniczych.

Dostawcy usług płatniczych będą musieli przygotować się m.in. na zmiany w wysokości wymaganego kapitału założycielskiego, który częściowo ulegnie podwyższeniu i będzie wynosić:

  • EUR 25 000 – dla instytucji świadczących wyłącznie usługę przekazu pieniężnego (dotychczas EUR 20 000)
  • EUR 50 000 – dla instytucji świadczących wyłącznie usługę inicjowania transakcji płatniczej (bez zmian względem PSD2)
  • EUR 150 000 – dla pozostałych instytucji płatniczych niewydających pieniądza elektronicznego (dotychczas EUR 125 000)
  • EUR 400 000 – dla instytucji płatniczych świadczących usługi pieniądza elektronicznego (dotychczasowy wymóg dla instytucji pieniądza elektronicznego to EUR 350 000).

PSD3 wprowadzi również pewne uproszczenia dla dostawców PIS (usługi inicjowania płatności) i AIS (usługi dostępu do informacji o rachunku), w szczególności podmioty te będą mogły na potrzeby postępowania o wydanie zezwolenia zastąpić dotychczasowy wymóg posiadania zawartej umowy ubezpieczenia lub innej odpowiedniej gwarancji, posiadaniem kapitału założycielskiego w wysokości 50 000 EUR (czyli wysokość, która dla PISP i tak jest wymagana). Jeżeli chodzi zasady obliczania wysokości zabezpieczenia, to zostaną one dookreślone w regulacyjnych standardach technicznych.

Nowe przepisy mają też wprowadzić dodatkową przesłankę do utraty zezwolenia na prowadzenie działalności w charakterze instytucji płatniczej w wyniku popełnienia poważnych naruszeń reguł przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

W samej dyrektywie nie ma zbyt wielu zmian dotyczących zasad udzielania zezwoleń lub wpisów do rejestru. Mimo to w treści PSD3 pojawia się upoważnienie do wydania RTS-ów w zakresie dokumentów i informacji, które należy przedstawić do właściwego organu nadzoru w trakcie postępowania (najprawdopodobniej w dużej mierze będą one powielać obowiązujące obecnie wytyczne Europejskiego Urzędu Bankowego w tym zakresie).

Istotne zmiany są przewidziane w zakresie wymogów odnoszących się do silnego uwierzytelniania klienta (SCA). W ramach przeglądu dyrektywy PSD2 zdecydowano się na uregulowanie bezpośrednio w definicji silnego uwierzytelniania, że do przeprowadzenia SCA można wykorzystać dwa elementy należące do tej samej kategorii. Takie podejście jest zatem odmienne od prezentowanego dotychczas w szczególności przez Europejski Urząd Nadzoru Bankowego, który zarówno w opinii dotyczącej wdrożenia RTS SCA , jak i w ramach sesji Q&A, wskazywał, że z uwagi na bezpieczeństwo procesu, konieczne jest korzystanie z dwóch elementów należących do różnych kategorii. Kolejną istotną propozycją w zakresie SCA jest doprecyzowanie odpowiedzialności za brak SCA, a konkretnie za skorzystanie z wyłączenia od obowiązku zastosowania SCA (o tej pory na podstawie dedykowanych regulacyjnych standardów technicznych).

W nowych regulacjach nie mogło także zabraknąć odwołania do kwestii związanych z nieautoryzowanymi transakcjami płatniczymi. Nowe rozporządzenie wymagać będzie od dostawców usług płatniczych wykazania zgody płatnika, a nie tylko uwierzytelnienia (czyli co do zasady będzie zbieżne z funkcjonującym do tej pory w Polsce podejściem wynikającym z błędnej implementacji). Jeśli chodzi o zwrot kwoty transakcji, nowe przepisy doprecyzują tryb postępowania dostawców w przypadku, w którym podejrzewają oszustwo płatnika poprzez m.in. przyznanie 10 dni na zwrot lub jego odmowę (ale tylko w przypadku uzasadnionych podstaw co do oszustwa), przy czym konieczne będzie powiadomienie klienta wraz ze wskazaniem powodów odmowy i organów odwoławczych.

PSR podejmuje również próbę ograniczenia problemu związanego z odmowami zawarcia umowy rachunku dla niebankowych dostawców usług płatniczych lub rozwiązywaniem umów już istniejących. Przede wszystkim PSR wprowadza bardziej konkretne zasady w tym przedmiocie, w przepisach znajdziemy m.in. otwarty katalog czynników pozwalających na podjęcie takiej decyzji przez instytucję kredytową (w tym analiza ryzyka modelu biznesowego dostawcy usług płatniczych czy istotne naruszenia umowy). Po jej podjęciu konieczne będzie poinformowanie bezpośrednio zainteresowanego podmiotu wraz z przedstawieniem wyczerpujących informacji obejmujących przede wszystkim czynniki ryzyka związane z modelem dostawcy, które w ocenie banku uniemożliwiają zawarcie, czy też kontynuację umowy. Oczywiście stosowna notyfikacja będzie musiała zostać złożona także do właściwego organu nadzoru. W tym zakresie EBA sugeruje, że najlepszym rozwiązaniem będzie ustandaryzowanie podejścia co do treści takich zgłoszeń i określenie szczegółowych zasad ich składania w odrębnych RTS-ach. Co dodatkowo istotne, nowy przepis będzie dotyczył zarówno istniejących dostawców usług płatniczych, jak i tych, którzy dopiero ubiegają się o udzielenie zezwolenia/wpis do rejestru (co zresztą ma bezpośrednie przełożenie na wynik postępowania, gdyż duża część organów nadzoru wymaga przedstawienia przez wnioskodawców informacji dotyczących właśnie takich rachunków). PSR wprowadza również możliwość odwołania się od decyzji odmownej lub rozwiązującej umowę do właściwego organu.

Komisja Europejska proponuje także nadać niebankowym dostawcom usług płatniczych analogiczny dostęp do systemów płatności, z jakiego obecnie korzystają banki. Taki pomysł od lat jest szeroko dyskutowany, a w niektórych krajach jest powszechną praktyką. Należy jednak zauważyć, że samo uczestnictwo w systemie płatności nie jest wystarczające dla dostawcy do obsłużenia transakcji płatniczej na identycznych zasadach, jak robią to banki. Konieczny jest również dostęp do niezbędnej infrastruktury, co – pomimo przyjęcia nowych przepisów – może pozostać dużym utrudnieniem dla części dostawców.

 

Otwarte finanse

Dyrektywa PSD2 wprowadziła ramy prawne dla otwartej bankowości w UE. Regulacje prawne w tym zakresie są jednak ograniczone do rachunków płatniczych dostępnych online, co znacząco ogranicza potencjał wykorzystania danych finansowych i rozwoju np. usług opartych na embedded finance czy hiperpersonalizacji oferty instytucji finansowych. Podczas webinaru przeprowadzonego przez pracowników Komisji Europejskiej w dniu 5 września 2023 r. dotyczącego zmian w obszarze open finance potwierdzono, że celem zmian było co do zasady utrzymanie funkcjonujących rozwiązań wprowadzonych dyrektywą PSD2, przy jednoczesnym uregulowaniu wymiany danych w ramach otwartych finansów. Z tego względu proponowane zmiany mogą być niezbyt przejrzyste dla uczestników rynku finansowego.

Rozporządzenie PSR utrzymuje dotychczasowy obowiązek udostępniania interfejsów dostępowych przez dostawców prowadzących rachunki, który ma umożliwić posiadaczowi rachunku korzystanie z usług inicjowania transakcji płatniczej oraz dostępu do informacji o rachunku. Równolegle do tych rozwiązań zaproponowano jednak odrębne rozporządzenie FIDA, które ma służyć wprowadzeniu odrębnych zasad „otwierania” i wymiany danych dotyczących usług finansowych innych niż rachunki płatnicze.

Najważniejszą konsekwencją takiego podejścia jest fakt, że projektowane regulacje obejmą nie tylko dostawców usług płatniczych, ale znacznie szerszy zakres instytucji finansowych. Poza podmiotami, do których mają już zastosowanie obowiązki wynikające z otwartej bankowości zgodnie z dyrektywą PSD2 (banki, instytucje płatnicze, instytucje pieniądza elektronicznego, SKOK-i), objęte rozporządzeniem mają zostać również:

  • zakłady ubezpieczeń i reasekuracji
  • towarzystwa funduszy inwestycyjnych (TFI) i alternatywne spółki inwestycyjne (ASI)
  • pośredników ubezpieczeniowych
  • agencje ratingowe
  • niektóre podmioty rynku kryptoaktywów (CASP, wydawcy ART)
  • niektóre podmioty rynku emerytalnego (IORP, PEPP)

Nowe przepisy będą dotyczyć również podmiotów zajmujących się przetwarzaniem danych finansowych – dotyczy to zarówno zarejestrowanych dostawców świadczących usługę dostępu do informacji (AISP), jak również podmiotów (dotychczas) nieregulowanych, które dopiero zamierzają wykorzystać możliwości dostępu do danych o produktach bankowych, ubezpieczeniowych czy inwestycyjnych uczestników rynku finansowego. Podmioty takie będą obowiązane do uzyskania wpisu do rejestru, a samo rozporządzenie FIDA wprowadzi nową kategorię dostawców usług, tj. FISP – dostawców usług dostępu do informacji finansowych (financial information service providers). Podmioty te będą podlegać nadzorowi, znajdzie do nich również zastosowanie rozporządzenie DORA o cyfrowej odporności operacyjnej podmiotów finansowych.

Zasady udostępniania danych na podstawie FIDA będą różnić się względem dyrektywy PSD2. W szczególności nowe przepisy wprowadzą obowiązek uczestnictwa w tzw. financial data sharing schemes, czyli inicjatywach rynkowych służących standaryzacji zasad wymiany danych. Obowiązek taki wzorowany jest na inicjatywach standaryzacyjnych API na podstawie PSD2 (m.in. PolishAPI, NextGenAPI czy STET), choć mandat udzielony schematom wymiany danych będzie niewątpliwie znacznie szerszy. Obok standaryzacji technicznej, uzyskają one możliwość określania m.in. maksymalnej rekompensaty dla podmiotu udostępniającego dane, zasad przejrzystości czy odpowiedzialności za jakość danych.

Dodatkowo, projekt rozporządzenia FIDA przewiduje obowiązek udostępnienia użytkownikom panelu zgód (permission dashboard), w ramach którego będą mieli oni zapewniony przegląd i możliwość wycofania zgód udzielonych na rzecz poszczególnych FISP. Panel ten ma uprościć proces wycofania zgód, który na gruncie obowiązujących regulacji PSD2 – w ocenie Komisji Europejskiej – jest często zbyt trudny i nieprzejrzysty dla użytkowników.

 

Cyfrowe euro

Odrębnym obszarem regulacji zaproponowanych przez Komisję Europejską jest wprowadzenie digital euro, czyli europejskiej odpowiedzi na koncepcję waluty cyfrowej banku centralnego (tzw. CBDC – central bank digital currency). Służyć temu ma odrębny pakiet dwóch rozporządzeń, opublikowany razem z pakietem w sprawie usług płatniczych, pieniądza elektronicznego i otwartych finansów.

Cyfrowe euro w tym zakresie odpowiada głównemu założeniu CBDC, czyli ma stanowić odrębną postać pieniądza pozostającego w obrocie, z pewnymi szczególnymi ograniczeniami mającymi gwarantować przede wszystkim jego funkcję płatniczą. CBDC nie będzie walutą wirtualną, a inną formą wyrażenia europejskiej waluty. Zasady dystrybucji cyfrowego euro przez dostawców będą jednak nieco inne w stosunku do osób i podmiotów z państw strefy euro oraz do osób i podmiotów spoza tego obszaru. W tym ostatnim przypadku wymagane będzie porozumienie między EBC a NBP.

Szczegółowo zasady emisji i obrotu dokonywanego z wykorzystaniem cyfrowego euro omówimy w kolejnych wydaniach naszego biuletynu prawnego dla branży finansowej.

 

Możliwy kalendarz zmian

Przyjęcie nowych regulacji spodziewane jest w perspektywie ok. 2-3 lat od opublikowania projektów (2025-26). Z uwagi na liczbę aktów prawnych, ich przyjęcie będzie najprawdopodobniej odbywać się etapami i zostanie rozłożone w czasie.

Opublikowane projekty to głównie rozporządzenia, co oznacza, że nie będą wymagać implementacji do prawa krajowego. Wyjątkiem jest dyrektywa PSD3, której zakres został jednak znacznie ograniczony – większość zagadnień została wydzielona do rozporządzenia PSR, a sama dyrektywa obejmuje głównie kwestie licencjonowania i nadzoru nad instytucjami płatniczymi i dostawcami niektórych usług wyłączonych.

Ewentualne opóźnienia w transpozycji nowych regulacji do prawa polskiego może zatem utrudniać stosowanie niektórych przepisów (np. związanych z licencjonowaniem dostawców), ale nie wpłynie na termin dostosowania się przez instytucje finansowe do nowych obowiązków.

 

Przypisy:

1https://finance.ec.europa.eu/publications/financial-data-access-and-payments-package_en.

2https://finance.ec.europa.eu/publications/digital-euro-package_en

3Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego.

4Dyrektywa Parlamentu Europejskiego i Rady 2009/110/WE z dnia 16 września 2009 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością, zmieniająca dyrektywy 2005/60/WE i 2006/48/WE oraz uchylająca dyrektywę 2000/46/WE.

5Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji

Subskrybuj "Biuletyn prawny dla branży finansowej"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.

Czy ta strona była pomocna?