Tjänster för betalningsinitiering regleras
I slutet av augusti kom förslaget till ny betaltjänstlag. För konsumenternas del är den sänkta självrisken vid obehöriga transaktioner kanske mest märkbar. Den stora förändringen för bankerna är att lagen utökas till att omfatta tjänster för betalningsinitiering och kontoinformationstjänster, som utförs av så kallade tredjepartsleverantörer.
- Det är bra att relationen mellan tredjepartsleverantörer och bankerna styrs upp, så att ansvarsfördelningen blir tydlig, och betalningarna kan vara säkra för kunden, säger Lars Rutberg, jurist på Bankföreningen och expert i utredningen som arbetat fram lagförslaget.
En tredjepartsleverantör går inemellan betalaren och banken. Vid betalningsinitiering handlar det om aktörer som en nätförsäljare har slutit avtal med för att sköta kundernas betalningar. I initieringsögonblicket godkänner kunden att tredjepartsleverantören får tillgång till hennes eller hans konto via internetbanken för att lägga upp betalningen. Det finns också tredjepartsleverantörer som bara samlar in och sammanställer information från bankkunders konton.
Ska kräva tillstånd
De nya reglerna föreslås kräva att tredjepartsleverantörerna ansöker om tillstånd av Finansinspektionen att som så kallat betalningsinstitut utföra sina tjänster. De ska också bli tvungna att identifiera sig mot kontoförvaltande bank.
- Det gör de inte idag, så bankerna kan inte se skillnad på om en transaktion har gjorts av kunden eller av en tredjepartsleverantörer, säger Lars Rutberg. Att en tredje part får access till kunders bankkonto, om än för en transaktion åt gången, har varit kontroversiellt.
Enligt direktivet ska den kontoförvaltande banken tillämpa ”stark kundautentisering” när en betalare loggar in på sitt betalkonto online eller initierar en elektronisk betalningstransaktion hos en e-handlare. Det innebär att två eller flera komponenter, kategoriserade som Kunskap (något som bara användaren vet), Innehav (något som bara användaren har) och Unik egenskap (något som användaren är), måste användas vid inloggning. Exempel är pinkod, mobil och fingeravtryck.
Förutsättningar specificeras
Europeiska bankmyndigheten EBA har fått i uppdrag att specificera förutsättningarna för hur sådan stark kundautentisering ska gå till och vilka undantag som kan gälla. Bankföreningen lämnade den 12 oktober synpunkter på EBA:s förslag till tekniska standarder. Reglerna börjar gälla tidigast i oktober 2018.
För bankerna kan reglerna i den nya betaltjänstlagen och EBA:s tekniska standarder innebära att de blir tvungna att bygga om sina internetbanker. Tredjepartsleverantören ska till exempel inte kunna se internetbanken på samma sätt som kunden, utan endast det som behövs för att göra en betalning. Bankerna måste också erbjuda tredjepartsleverantörerna en egen kommunikationsmöjlighet in i bankernas gränssnitt, och det har skapat en stor osäkerhet om hur det ska lösas i praktiken.
Två lagar blir en
En förenkling jämfört med hur det är idag är att Lagen om obehöriga transaktioner med betalningsinstrument föreslås gå upp i Betaltjänstlagen – två lagar blir alltså en efter 2018.
- Det är bra. Första betaltjänstdirektivet genomfördes i Sverige i två olika lagar, och det har inte varit optimalt. Exempelvis skilde sig definitionerna något åt i de två lagarna, säger Lars Rutberg.
Självrisken som en kund får stå för om ett kontokort kommit bort och någon tagit ut pengar på kontot, sänks från 1 200 till 400 kronor. Har kunden varit grovt oaktsam, får kunden stå ansvar för upp till 12 000 kronor, sedan träder banken in och ersätter kunden. Det är samma belopp som i nuvarande svensk lagstiftning. I de flesta länder utanför Norden får kunden själv stå för allt som tagits ut om han eller hon varit grovt oaktsam.
Publicerad den 25 oktober 2016