Uusi maksupalveludirektiivi tuo uusia mahdollisuuksia palvelutarjoajille
PSD2 (Payment Services Directive 2) eli uusi maksupalveludirektiivi tuli kansallisesti voimaan tammikuussa 2018 vastaamaan nopeaan tekniseen kehitykseen maksupalvelujen alalla. Alkuvuonna voimaan tulleen direktiivin lisäksi sääntelyyn vaikuttaa tekninen standardi asiakkaan vahvasta tunnistamisesta ja turvallisesta kommunikaatiosta, jonka soveltaminen tulee voimaan vasta siirtymäajan jälkeen syyskuussa 2019.
Suurimmat muutokset, joita direktiivi toi tullessaan, olivat vaatimus asiakkaan vahvasta tunnistamisesta sekä uusien toimijoiden saattaminen sääntelyn alaiseksi. Lisäksi direktiivillä rajoitettiin asiakkaan vastuuta väärinkäytöstilanteissa ja siten toisaalta maksupalveluntarjoajien sekä pankkien vastuuta asiakasta kohtaan tiukennettiin.
Asiakkaan vahva tunnistaminen on ollut Suomessa yleisesti käytössä jo vuosia, mutta uusi sääntely toi vahvan tunnistamisen pakolliseksi kaikille toimijoille asiakkaan käyttäessä maksutiliä tietoverkon kautta ja sähköisten maksutapahtumien yhteydessä. Kiinnostavampaa yritysten kannalta on kuitenkin uusien toimijoiden sääntelyn avaamat mahdollisuudet ja markkinoiden avaaminen niin fintech-yrityksille kuin muille teknologiayrityksille.
Uudet palveluntarjoajat
Direktiivi toi sääntelyn alle uusia palveluntarjoajia: maksutapahtumien käynnistäjät, tilitietopalvelut sekä korttipohjaisten maksuvälineiden tarjoajat. Muutoksen myötä maksutapahtumien käynnistäjiltä vaaditaan toimilupa Finanssivalvonnalta, kun taas tilitietopalveluiden tarjoajien tulee rekisteröityä Finanssivalvonnalle.
Maksutapahtuman käynnistäessään asiakas antaa palveluntarjoajalle toimeksiannon toteuttaa tilisiirron maksajan tililtä esimerkiksi asiakkaan tehdessä ostoksia verkkokaupasta. Tässä maksutavassa myyjällä ja maksupalvelun käynnistäjällä on sopimus, eikä pankki pääse tähän sopimukseen osalliseksi kuten tavallisessa verkkopankin avulla tehtävässä maksussa. Luottokorttiin verrattuna kulut ovat pienemmät ja myyjä saa välittömästi varmistuksen maksutapahtumasta. Yritysten ei siis tarvitse enää tehdä sopimusta pankin kanssa maksunappien käytöstä verkkokaupassa, vaan yritykset voivat itse käynnistää maksun asiakkaan tililtä asiakkaan suostumuksella.
Tilitietopalvelut tarjoavat asiakkailleen reaaliaikaisen näkymän kaikista tileistä ja tilitapahtumista. Tilitietopalvelulla on erityisesti arvoa asiakkaalle, jolla on tilejä monissa eri pankeissa ja varallisuutta tai maksuliikennettä voi näin ollen olla muutoin hankala seurata. Palveluntarjoaja pääsee vain niihin tileihin ja tapahtumiin, jotka asiakas on nimennyt. Tilitietopalvelut voivat helpottaa asiakkaiden talouden hallintaa merkittävästi analysoimalla kulutuskäyttäytymistä ja antamalla ehdotuksia kulutuskäyttäytymiseen perustuen.
Korttipohjaisten maksuvälineiden tarjoajat mahdollistavat korttimaksamisen myös muilla kuin jo markkinoilla olevilla korteilla tuomalla markkinoille omia korttejaan. Tällöin maksukortin liikkeellelaskija pyytää pankilta tietoa asiakkaan tilin katteesta reaaliajassa pankin kuitenkaan tekemättä katevarausta tilille. Katevarauksen puute tekee uuden maksupalvelun tarjoamisen mahdollisesti vähemmän mielenkiintoiseksi yrityksille.
Sääntelemätön toiminta on ollut ongelmallista niin tietoturvan, kuluttajansuojan kuin talousrikollisuudenkin kannalta.
Tekninen kehitys ja kilpailu vetureina
Paitsi edellisen maksupalveludirektiivin väistämätön vanhentuminen uusien, teknologisesti kehittyneempien palveluiden ilmestyessä markkinoille, uuden direktiivin yhtenä päätarkoituksena on kilpailun lisääminen. Kilpailu lisääntyy, kun uudet palveluntarjoajat voivat hyödyntää määräävässä markkina-asemassa olevien perinteisten pankkien tunnistamisratkaisuja ja tarjota asiakkailleen paremman asiakaskokemuksen sekä uusia innovatiivisia tapoja maksaa.
Ennen uutta direktiiviä kyseiset palveluntarjoajat ovat käyttäneet asiakkaan tilejä heidän mandaatillaan ilman rekisteröintiä tai toimilupaa käyttäen niin sanottua screen scraping -tekniikkaa. Tällainen sääntelemätön toiminta on kuitenkin ollut ongelmallista niin tietoturvan, kuluttajansuojan kuin talousrikollisuudenkin kannalta.
Direktiivin yhtenä päätarkoituksena on kilpailun lisääminen.
Asiakastiedoista asiakkaan tiedoiksi
Pankkien rajapintojen avaamisen kolmansille osapuolille uskotaan laskevan hintoja ja parantavan kuluttajakokemusta. PSD2 ikään kuin muuttaa pankin hallitsemat asiakkaan maksu- ja tilitiedot asiakkaan itse hallinnoimiksi tiedoiksi, jotka asiakas voi luovuttaa valitsemalleen palveluntarjoajalle. Pankilla on velvollisuus luovuttaa nämä asiakastiedot ilman erillistä sopimusta tai maksua luvan saaneille ja rekisteröityneille palveluntarjoajille pelkän asiakkaan ohjauksen perusteella. Pankkien tulee lisäksi mahdollistaa palveluntarjoajan vahva tunnistautuminen pankin suuntaan.
Uusien rajapintojen toteutusta ja uusien maksupalveluiden markkinoille tuloa hankaloittavat rajapintojen teknisten turvallisuusvaatimusten voimaantulo vasta syyskuussa 2019. Uusien palveluntarjoajien täytyy tällä direktiivin ja standardin voimaantulon välisellä siirtymäajalla toimia epävarmuusalueella, koska pankit eivät ole vielä avanneet standardin mukaisia rajapintojaan. Hälventääkseen epävarmuutta Finanssivalvonta antoi kannanoton, jonka mukaan ennen lain voimaantuloa yleisesti käytetty screen scraping -tekniikka on mahdollinen vain, jos palveluntarjoajan vahvan tunnistautumisen voi toteuttaa ja pääsyn voi rajata vain asiakkaan nimeämälle tilille.
Tulevaisuus näyttää todellisen kysynnän
Vaikka Finanssivalvonta onkin kehottanut toimijoita tarjoamaan PSD2:n mahdollistamia palveluita jo siirtymäajalla, vain kourallinen uusia palveluntarjoajia on ottanut haasteen vastaan ja lähtenyt toteuttamaan innovatiivisia maksu- ja tilitietoratkaisuja direktiivin alla. Uuden maksupalveludirektiivin lopulliset vaikutukset uusiin toimijoihin, kilpailuun ja markkinoihin ovatkin nähtävissä vasta tulevaisuudessa teknisen standardin voimaantulon jälkeen, kun pankkien rajapintaratkaisut valmistuvat ja uudet palveluntarjoajat pääsevät käytännössä testaamaan ratkaisuja asiakkaidensa kautta.
Nähtäväksi jääkin, miten innokkaasti yritykset haluavat hakea toimilupia ja rekisteröintiä, ja tuleeko markkinoille kuluttajia kiinnostavia sovelluksia.