2018.01.11.

Az Európai Bankfelügyelet véleménye a PSD2-re történő átmenet egyes kérdéseiről

Szerző: Gárdos I Mosonyi I Tomori Ügyvédi Iroda

Az Európai Bankfelügyelet tisztázta a PSD2 átmeneti időszakának kérdéseit, segítve a tagállamokat és a szolgáltatókat a 2018. januári alkalmazás felkészülésében.

A PSD2 irányelvet (EU 2015/2366 irányelv) átültető nemzeti szabályokat 2018. január 13-tól kell a tagállamokban alkalmazni. Bár az irányelvre való felkészülésre több mint két év állt a tagállamok és a szolgáltatók rendelkezésére, ez a határidő mégis komoly kihívás elé állított minden szereplőt. Ennek legfőbb oka, hogy az irányelv által meghatározott 12 szabályozástechnikai standard (RTS) és iránymutatás jelentős része nem, vagy csak az utolsó pillanatban készült el. Ezek késedelme a nemzeti jogszabályok elkészültének a késedelmét is okozta. Több tagállamról tudható, hogy az átültető jogszabály 2018. január 13-ig nem készül el.

A késedelemből számos értelmezési nehézség fakadt. Az Európai Bankhatóság (EBA) 2017 decemberében közreadott véleményében az átmeneti időszakra vonatkozó álláspontját fogalmazta meg. Bár a vélemény címzettjei a tagállami hatóságok, a véleményben foglaltak a szolgáltatók számára is fontosak.

PSD2 háttere

Az Európai Unió módosított pénzforgalmi irányelve, a PSD2 célja, hogy kedvező környezetet teremtsen a digitális pénzügyi szolgáltatások fejlődéséhez és támogassa új, nem csupán banki hátterű szolgáltatók belépését a pénzügyi szolgáltatások piacára. A cél és egyben a szabályozói elvárás az, hogy a digitális iparágak ügyfélélmény-fókuszú szolgáltatási kultúrája a pénzügyi szolgáltatásokban is elterjedjen.

A részletszabályok az EBA (Európai Bankhatóság) koordinációjában készülnek a piaci szereplők véleményének figyelembe vétele mellett. A regisztrációról és engedélyezésről szóló Iránymutatás leírja azt a követelményrendszert, amelynek teljesítését követően nyújthatnak digitális pénzügyi szolgáltatásokat az új közvetítők (AISP és PISP).

Helyzetjelentés

Az EBA által kidolgozandó tizenkét RTS-ből és iránymutatásból a PSD2 hatályba lépésének időpontjáig tíz tervezet készült el, amelyek közül az alábbiak alkalmazandók 2018. január 13-tól:

EBA-RTS-2016-08

Az európai „útlevéllel” kapcsolatos értesítéseket érintő, az illetékes hatóságok közötti együttműködés és információcsere kereteiről

EBA-GL-2017-09

A pénzforgalmi szolgáltatók és elektronikuspénz-kibocsátók engedélyezéséről és nyilvántartásba vételéről

EBA-GL-2017-08

A fizetéskezdeményezési szolgáltatók és a számlainformációkat összesítő szolgáltatók szakmai felelősségbiztosításának minimális mértékéről szóló iránymutatás

Az EBA várakozásai szerint 2018 első negyedévében várhatóan az alábbi iránymutatások lépnek hatályba:

EBA-GL-2017-10

A biztonsági események bejelentéséről

EBA-GL-2017-13

A pénzforgalmi szolgáltatók PSD2 rendelkezéseit állítólagosan sértő magatartása miatti panaszok kivizsgálására irányuló eljárásokról

EBA-GL-2017-17

A működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről

Az alábbi RTS-eket az EBA már benyújtotta a Bizottságnak:

EBA-RTS-2017-03

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról, amely az EBA szerint 2019 második felében válik alkalmazhatóvá

EBA-RTS-2017-10
és
EBA-ITS-2017-07

Az EBA által vezetett nyilvántartásról

EBA-RTS-2017-09

A központi kapcsolattartó pontokról

Várhatóan 2018 második negyedévében kerül a Bizottság elé az EBA-RTS-2017-16 a székhely szerinti és a fogadó tagállam hatóságai közötti együttműködésről.

Az EBA javaslatai az átmeneti időszakra

A kiindulópont világos: az RTS-ek és az iránymutatások hiányában a szolgáltatók kötelezettsége, hogy a tagállami jogalkotók által hozott szabályoknak megfeleljenek. Értelemszerűen azonban ezek a szabályok nem lesznek kellően részletesek, így számos kérdés megválaszolatlan marad. Az EBA azt javasolja felügyeleteknek és a szolgáltatóknak is, hogy ebben az átmeneti időszakban a készülő tervezetek legfrissebb változatát vegyék figyelembe.

Az EBA néhány példát is adott erre:

- A PSD2 alapján az EBA a pénzforgalmi szolgáltatókról nyilvántartást vezet. A nyilvántartásra vonatkozó szabályok – részben – még hiányoznak. Az EBA szerint ebben a helyzetben a felügyeleti hatóságok feladata az RTS jelenlegi szövegtervezete alapján az adatgyűjtés, ugyanakkor a gyűjtött adatok EBA-nak történő továbbítására csak a vonatkozó szabályok hatályba lépését követően kerül majd sor.
- Ugyancsak kérdésként merül fel, hogy az engedélyezés során a kérelmezők hogyan igazolják, hogy a működési és biztonsági kockázatok esetén milyen biztonsági intézkedéseket kívánnak alkalmazni. E körben az EBA rögzítette, hogy az engedélyezési eljárások során a hatóságoknak lehetővé kell tenni a kérelmezők számára, hogy a működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről szóló iránymutatás legutolsó elérhető verzióját alkalmazzák.
- Noha az erős ügyfél-hitelesítésre és a biztonságos kommunikációra vonatkozó RTS szövege sem végleges még, az EBA arra buzdítja a tagállami felügyeleti hatóságokat és a pénzforgalmi szolgáltatókat, hogy kezdjék meg a felkészülést a jelenlegi tervezet alkalmazásával.

Az EBA véleménye négy fő kérdéskörre koncentrálva ad iránymutatást a hatóságok és a piaci szereplők számára.

(3.) Az internetes fizetések biztonságára vonatkozó EBA iránymutatás alkalmazása

Az internetes fizetések biztonságára vonatkozó EBA iránymutatás továbbra is alkalmazandó, annak hatályon kívül helyezésére fokozatosan kerül majd sor az egyes rendelkezéseket felülíró PSD2 specifikus szabályok hatályba lépésével. A fokozatos átállás célja, hogy az átmeneti időszakban is minden kérdést lefedjenek az alkalmazandó biztonsági előírások.

Az alábbi táblázat összefoglalja, hogyan változnak az iránymutatás egyes pontjai.

EBA iránymutatás az internetes fizetés biztonságáról a PSD1 alapján

Helyébe lép

A korábbi iránymutatást felváltó rendelkezés alkalmazandósága

1 (Vállalatirányítás)

PSD2 5. cikk (1) (j) és EBA iránymutatás a működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről (a továbbiakban: EBA-GL-2017-17) 2. pont

Várhatóan 2018. I. negyedév

2 (Kockázatértékelés)

PSD2 5. cikk (1) (j) és EBA-GL-2017-17 3. iránymutatás

Várhatóan 2018. I. negyedév

3 és 3.1 (Események nyilvántartása és jelentése)

és EBA-GL-2017-17 5. pont

Várhatóan 2018. I. negyedév

3.2 (Felügyeleti hatóságok értesítése eljárása)

EBA iránymutatás a biztonsági események bejelentéséről

Várhatóan 2018. I. negyedév

3.3 (Együttműködési eljárás)

Nincs konkrét előírás a bűnüldöző szervekkel való együttműködés módjára

–

3.4 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

Várhatóan 2018. I. negyedév

4 (Mélységi védelem)

EBA-GL-2017-17 4.2 pont

Várhatóan 2018. I. negyedév

4.1 (A kötelezettségek elkülönítése)

EBA-GL-2017-17 4.5 pont

Várhatóan 2018. I. negyedév

4.2 (Megfelelő biztonsági megoldások)

EBA-GL-2017-17 4.1 pont

Várhatóan 2018. I. negyedév

4.3 (A hozzáférés monitoringolására és korlátozására alkalmas megoldások)

EBA-GL-2017-17 4.9-4.13 és 5.1 pontok

Várhatóan 2018. I. negyedév

4.4 (Adatminimalizálás)

EBA-GL-2017-17 4.6 pont

Várhatóan 2018. I. negyedév

4.5 (A biztonsági intézkedések tesztelése)

EBA-GL-2017-17 7. pont

Várhatóan 2018. I. negyedév

4.6 (Időszakos audit)

EBA-GL-2017-17 2.6 pont

Várhatóan 2018. I. negyedév

4.7 (Kiszervezés)

PSD2 19. és 20. cikk, EBA-GL-2017-17 2.7 és 2.8 pontok

2018. január 13.
Várhatóan 2018. I. negyedév

4.8 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

2018. január 13.

5 (Nyomonkövethetőség)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 26. cikke

Várhatóan 2019. II. félév

6.1 Azonosítás (ügyfél átvilágítási követelmények stb.)

Nincs helyettesítő szabály (pénzmosási szabályok körébe tartozik)

–

6.2 – 6.3 (Ügyfélinformáció)

PSD2 52. cikk és and EBA-GL-2017-17 9. pont

2018. január 13. és [Várhatóan 2018. I. negyedév]

7 – 7.9 (SCA)

PSD2 97. cikk és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 1., 2. és 4-9. cikkei

Várhatóan 2019. II. félév

7.7 (Wallet megoldások)

PSD2 97. cikk és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 1., 2. és 4-9. cikkei – olyan tárca megoldást kínáló szolgáltatók számára, amelyekre a PSD2 és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet közvetlenül alkalmazandó

Várhatóan 2019. II. félév

8 (Az ügyfélnek átadott azonosító eszközök és/vagy szoftverek igénylése és biztosítása)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. fejezete

Várhatóan 2019. II. félév

9 (Belépési kísérletek, session time-out, a hitelesítés érvényessége)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. cikke

Várhatóan 2019. II. félév

10 (Műveletek monitorozása)

Eltérő alapelv az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezetében (kivételek a 18. cikkben és a 2. cikk szerinti kockázat alapú keretrendszer)

Várhatóan 2019. II. félév

11 (Az érzékeny fizetési adatok védelme)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. fejezete és GDPR 32. cikk

Várhatóan 2019. II. félév
2018. május

11.3 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

2018. január 13.

12 – 12.1 (Ügyfélkommunikáció)

PSD2 52., 68., 69. és 70. cikkek, EBA-GL-2017-17 9. pont

2018. január 13.

12.4 (Ügyféloktatás és tudatosság programok)

Részben felülírják az EBA-GL-2017-17 9.1 és 9.2 pontjai

Várhatóan 2018. I. negyedév

13 (A szolgáltatók kötelezettsége korlátok meghatározására)

PSD2 68. cikk (1) bekezdés, valamint
EBA-GL-2017-17 9.4 pont

2018. január 13.
[Várhatóan 2018. I. negyedév]

14 (Az ügyfelek információhoz való hozzáférése)

PSD2 (ideértve az 58. cikket is)

2018. január 13.

A cikk szerzői Gárdos Péter és Dobos Éva a Gárdos Mosonyi Tomori Ügyvédi Irodától. Az Ügyvédi Iroda további cikkei a FinTechZone-on:

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

Az Európai Bankfelügyelet véleménye a PSD2-re történő átmenet egyes kérdéseiről

PSD2 háttere

Helyzetjelentés

Az EBA javaslatai az átmeneti időszakra

(3.) Az internetes fizetések biztonságára vonatkozó EBA iránymutatás alkalmazása

EBA iránymutatás az internetes fizetés biztonságáról a PSD1 alapján

Helyébe lép

A korábbi iránymutatást felváltó rendelkezés alkalmazandósága

Kiemelt eseményünk

TechShow X.

Téma Hub

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Ne maradj le semmiről!

Az Európai Bankfelügyelet véleménye a PSD2-re történő átmenet egyes kérdéseiről

PSD2 háttere

Helyzetjelentés

Az EBA javaslatai az átmeneti időszakra

(3.) Az internetes fizetések biztonságára vonatkozó EBA iránymutatás alkalmazása

EBA iránymutatás az internetes fizetés biztonságáról a PSD1 alapján

Helyébe lép

A korábbi iránymutatást felváltó rendelkezés alkalmazandósága

Kiemelt eseményünk

TechShow X.

Téma Hub

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

🔗 Kapcsolódó cikkek:

Erre is készülniük kell a bankoknak. Változás az erős ügyfél-hitelesítés terén 2023-ban

5 éves a nyílt bankolás Magyarországon. Alig van látható eredménye

A PwC Könyvvizsgáló Kft. is csatlakozott a nyílt bankoláshoz. Új számlainformációs szolgáltató Magyarországon

Ne maradj le semmiről!