A PSD2 irányelvet (EU 2015/2366 irányelv) átültető nemzeti szabályokat 2018. január 13-tól kell a tagállamokban alkalmazni. Bár az irányelvre való felkészülésre több mint két év állt a tagállamok és a szolgáltatók rendelkezésére, ez a határidő mégis komoly kihívás elé állított minden szereplőt. Ennek legfőbb oka, hogy az irányelv által meghatározott 12 szabályozástechnikai standard (RTS) és iránymutatás jelentős része nem, vagy csak az utolsó pillanatban készült el. Ezek késedelme a nemzeti jogszabályok elkészültének a késedelmét is okozta. Több tagállamról tudható, hogy az átültető jogszabály 2018. január 13-ig nem készül el.

A késedelemből számos értelmezési nehézség fakadt. Az Európai Bankhatóság (EBA) 2017 decemberében közreadott véleményében az átmeneti időszakra vonatkozó álláspontját fogalmazta meg. Bár a vélemény címzettjei a tagállami hatóságok, a véleményben foglaltak a szolgáltatók számára is fontosak.

PSD2 háttere

Az Európai Unió módosított pénzforgalmi irányelve, a PSD2 célja, hogy kedvező környezetet teremtsen a digitális pénzügyi szolgáltatások fejlődéséhez és támogassa új, nem csupán banki hátterű szolgáltatók belépését a pénzügyi szolgáltatások piacára. A cél és egyben a szabályozói elvárás az, hogy a digitális iparágak ügyfélélmény-fókuszú szolgáltatási kultúrája a pénzügyi szolgáltatásokban is elterjedjen.

A részletszabályok az EBA (Európai Bankhatóság) koordinációjában készülnek a piaci szereplők véleményének figyelembe vétele mellett. A regisztrációról és engedélyezésről szóló Iránymutatás leírja azt a követelményrendszert, amelynek teljesítését követően nyújthatnak digitális pénzügyi szolgáltatásokat az új közvetítők (AISP és PISP).

RTS és iránymutatás

A PSD2 rendelkezéseinek megfelelően az RTS-eket az EBA készíti elő, de azokat az Európai Bizottság fogadja el. Noha általában a Bizottság módosítás nélkül elfogadja az EBA javaslatát, az erős ügyfélazonosításra (SCA) vonatkozó RTS-re készített javaslatot a Bizottság nem fogadta el, abban lényeges módosításokat tett. Ilyen esetekben a Tanács és a Parlament három hónapon belül kifogást emelhet a szabályozástechnikai standarddal szemben. Az RTS közzétételére csak ezt követően kerülhet sor.

Az iránymutatások esetén az eljárás egyszerűbb: ebben az esetben az egyeztetést követően az EBA elkészíti az iránymutatás végleges szövegét, amelynek közzétételére azt követően kerül sor, hogy azt az EBA az EU valamennyi hivatalos nyelvére lefordította.

Helyzetjelentés

Az EBA által kidolgozandó tizenkét RTS-ből és iránymutatásból a PSD2 hatályba lépésének időpontjáig tíz tervezet készült el, amelyek közül az alábbiak alkalmazandók 2018. január 13-tól:

EBA-RTS-2016-08

Az európai „útlevéllel” kapcsolatos értesítéseket érintő, az illetékes hatóságok közötti együttműködés és információcsere kereteiről

EBA-GL-2017-09

A pénzforgalmi szolgáltatók és elektronikuspénz-kibocsátók engedélyezéséről és nyilvántartásba vételéről

EBA-GL-2017-08

A fizetéskezdeményezési szolgáltatók és a számlainformációkat összesítő szolgáltatók szakmai felelősségbiztosításának minimális mértékéről szóló iránymutatás

Az EBA várakozásai szerint 2018 első negyedévében várhatóan az alábbi iránymutatások lépnek hatályba:

EBA-GL-2017-10

A biztonsági események bejelentéséről

EBA-GL-2017-13

A pénzforgalmi szolgáltatók PSD2 rendelkezéseit állítólagosan sértő magatartása miatti panaszok kivizsgálására irányuló eljárásokról

EBA-GL-2017-17

A működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről

Az alábbi RTS-eket az EBA már benyújtotta a Bizottságnak:

EBA-RTS-2017-03

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról, amely az EBA szerint 2019 második felében válik alkalmazhatóvá

EBA-RTS-2017-10
és
EBA-ITS-2017-07

Az EBA által vezetett nyilvántartásról

EBA-RTS-2017-09

A központi kapcsolattartó pontokról

Várhatóan 2018 második negyedévében kerül a Bizottság elé az EBA-RTS-2017-16 a székhely szerinti és a fogadó tagállam hatóságai közötti együttműködésről.

Az EBA javaslatai az átmeneti időszakra

A kiindulópont világos: az RTS-ek és az iránymutatások hiányában a szolgáltatók kötelezettsége, hogy a tagállami jogalkotók által hozott szabályoknak megfeleljenek. Értelemszerűen azonban ezek a szabályok nem lesznek kellően részletesek, így számos kérdés megválaszolatlan marad. Az EBA azt javasolja felügyeleteknek és a szolgáltatóknak is, hogy ebben az átmeneti időszakban a készülő tervezetek legfrissebb változatát vegyék figyelembe.

Az EBA néhány példát is adott erre:

    • A PSD2 alapján az EBA a pénzforgalmi szolgáltatókról nyilvántartást vezet. A nyilvántartásra vonatkozó szabályok – részben – még hiányoznak. Az EBA szerint ebben a helyzetben a felügyeleti hatóságok feladata az RTS jelenlegi szövegtervezete alapján az adatgyűjtés, ugyanakkor a gyűjtött adatok EBA-nak történő továbbítására csak a vonatkozó szabályok hatályba lépését követően kerül majd sor.
    • Ugyancsak kérdésként merül fel, hogy az engedélyezés során a kérelmezők hogyan igazolják, hogy a működési és biztonsági kockázatok esetén milyen biztonsági intézkedéseket kívánnak alkalmazni. E körben az EBA rögzítette, hogy az engedélyezési eljárások során a hatóságoknak lehetővé kell tenni a kérelmezők számára, hogy a működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről szóló iránymutatás legutolsó elérhető verzióját alkalmazzák.
    • Noha az erős ügyfél-hitelesítésre és a biztonságos kommunikációra vonatkozó RTS szövege sem végleges még, az EBA arra buzdítja a tagállami felügyeleti hatóságokat és a pénzforgalmi szolgáltatókat, hogy kezdjék meg a felkészülést a jelenlegi tervezet alkalmazásával.

Az EBA véleménye négy fő kérdéskörre koncentrálva ad iránymutatást a hatóságok és a piaci szereplők számára.

(1.) Kivételek a PSD2 szerinti engedélyezési kötelezettség alól

A PSD2 alapján, főszabályként, a pénzforgalmi intézmények, elektronikuspénz-kibocsátók, számlainformációs szolgáltatók (AISP) és fizetéskezdeményezési szolgáltatók (PISP) nem kezdhetik meg, illetve nem folytathatják tevékenységüket a PSD2 előírásainak megfelelő engedély vagy nyilvántartásba vétel hiányában. Ezen szabály alól a PSD2 három kivételt enged.

    1. Azok a fizetéskezdeményezési- és számlainformációs szolgáltatók, amelyek 2016. január 12. előtt kezdték meg tevékenységüket, az átmeneti időszakban is tovább működhetnek a korábbi szabályozásnak megfelelő feltételekkel a PSD2-nek megfelelő engedély megszerzéséig, illetve regisztráció megtörténtéig. A PSD2 által meghatározott valamennyi jogosultság gyakorlására azonban csak a PSD2-nek megfelelő engedély megszerzését, illetve a regisztrációt követően lesz lehetőségük. Az engedély megszerzésétől, vagy a regisztráció időpontjától alkalmazható szabályok közé tartoznak a pénzforgalmi szolgáltatások feltételeinek átláthatóságára és a tájékoztatásra vonatkozó követelmények (PSD2 III. cím), a pénzforgalmi szolgáltatás nyújtásával és igénybevételével összefüggő jogok és kötelezettségek (PSD2 IV. cím), valamint az „európai útlevél” alapján más tagállamban történő PSD2 szerinti szolgáltatás nyújtásának lehetősége. Mindaddig tehát, amíg a PSD2 szerinti engedélyt nem szerzi meg a szolgáltató, illetve, amíg nem veszik nyilvántartásba, nem lesz jogosult a PSD2 alapján az ún. passporting szabályok alapján végezni a tevékenységét.
    2. Azok a pénzforgalmi intézmények és elektronikuspénz-kibocsátók, amelyek tevékenységüket 2018. január 13. előtt kezdték, 2018. július 13-ig a korábbi szabályozásnak megfelelően folytathatják működésüket. Az EBA azonban felhívta a figyelmet arra, hogy a hat hónapos átmeneti időszak alatt nincs mód a PSD2 szerinti új tevékenység végzésére. Így például, ha a PSD1 szerinti szolgáltató fizetéskezdeményezési- vagy számlainformációs szolgáltatás nyújtásával kívánja bővíteni tevékenységi körét, akkor ehhez engedély, illetve nyilvántartásba vétel szükséges.
    3. Azok a pénzforgalmi intézmények, amelyek arra tekintettel, hogy a teljesített fizetési műveletek összértékének a megelőző tizenkét hónapra vonatkozó átlaga nem haladta meg a havi 3 millió EUR-t, a PSD1 26. cikke alapján mentesültek a PSD1 egyes követelményei alól, 2019. január 13-ig a PSD1 szabályainak megfelelően folytathatják tevékenységüket az érintett tagállamban.

(2.) Hozzáférés a számlainformációkhoz az átmeneti időszakban

A PSD2 szerint az erős ügyfél-hitelesítésről, valamint a közös és biztonságos kommunikációról szóló RTS-ek közzétételétől számított 18 hónapon belül kell alkalmazni a 65., a 66., a 67. és a 97. cikkben meghatározott biztonsági intézkedéseket. A gyakorlatban komoly bizonytalanságot jelentett, hogy a rendelkezés a hivatkozott négy cikk mely rendelkezéseire vonatkozott. Az EBA véleménye törekszik e bizonytalanság eloszlatására. A Bizottsággal való egyezetést követően az EBA arra az álláspontra helyezkedett, hogy a fenti szabály az érintett cikkek következő rendelkezésére vonatkozik:

    • a PSD2 97. cikk [kivéve az (5) bekezdést],
    • a 65. cikk (2) bekezdés c) pont,
    • a 66. cikk (3) bekezdés d) pont,
    • a 66. cikk (4) bekezdés a) pont,
    • a 67. cikk (2) bekezdés c) pont, és
    • a 67. cikk (3) bekezdés a) pont.

Ez az értelmezés többek között azt eredményezi, hogy a fizetéskezdeményezési- és számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatóknak nem kell magukat azonosítaniuk a számlavezető pénzforgalmi szolgáltató felé, és nem kötelező a biztonságos adatátvitel útján történő kommunikáció sem.

A fentiek alapján tehát az átmeneti időszakban a fizetéskezdeményezési szolgáltatók és a számlainformációkat összesítő szolgáltatók azonosítási kötelezettség nélkül férhetnek hozzá a pénzforgalmi szolgáltatók által vezetett fizetési számlákhoz. A számlavezető pénzforgalmi szolgáltatók pedig nem kötelesek a fizetéskezdeményezési- és számlainformációs szolgáltatókkal biztonságos adatátvitel útján kommunikálni vagy megfelelő interfészt biztosítani a számlainformációk eléréséhez.

Az EBA álláspontja szerint az eddig alkalmazott módszerek, így mindenekelőtt a screen scraping továbbra is használhatók, amennyiben azt az adott tagállam nem tiltotta meg 2016. január 12-t megelőzően.

Az EBA mindezzel együtt azt javasolja a tagállami felügyeleti hatóságoknak, hogy ösztönözzék a szolgáltatókat az erős ügyfél-hitelesítésről, valamint a közös és biztonságos kommunikációról szóló RTS és a kapcsolódó PSD2 rendelkezések mielőbbi alkalmazására.

(3.) Az internetes fizetések biztonságára vonatkozó EBA iránymutatás alkalmazása

Az internetes fizetések biztonságára vonatkozó EBA iránymutatás továbbra is alkalmazandó, annak hatályon kívül helyezésére fokozatosan kerül majd sor az egyes rendelkezéseket felülíró PSD2 specifikus szabályok hatályba lépésével. A fokozatos átállás célja, hogy az átmeneti időszakban is minden kérdést lefedjenek az alkalmazandó biztonsági előírások.

Az alábbi táblázat összefoglalja, hogyan változnak az iránymutatás egyes pontjai.

EBA iránymutatás az internetes fizetés biztonságáról a PSD1 alapján
Helyébe lép
A korábbi iránymutatást felváltó rendelkezés alkalmazandósága

1 (Vállalatirányítás)

PSD2 5. cikk (1) (j) és EBA iránymutatás a működési és biztonsági kockázatok esetén alkalmazandó biztonsági intézkedésekről (a továbbiakban: EBA-GL-2017-17) 2. pont

Várhatóan 2018. I. negyedév

2 (Kockázatértékelés)

PSD2 5. cikk (1) (j) és EBA-GL-2017-17 3. iránymutatás

Várhatóan 2018. I. negyedév

3 és 3.1 (Események nyilvántartása és jelentése)

és EBA-GL-2017-17 5. pont

Várhatóan 2018. I. negyedév

3.2 (Felügyeleti hatóságok értesítése eljárása)

EBA iránymutatás a biztonsági események bejelentéséről

Várhatóan 2018. I. negyedév

3.3 (Együttműködési eljárás)

Nincs konkrét előírás a bűnüldöző szervekkel való együttműködés módjára

3.4 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

Várhatóan 2018. I. negyedév

4 (Mélységi védelem)

EBA-GL-2017-17 4.2 pont

Várhatóan 2018. I. negyedév

4.1 (A kötelezettségek elkülönítése)

EBA-GL-2017-17 4.5 pont

Várhatóan 2018. I. negyedév

4.2 (Megfelelő biztonsági megoldások)

EBA-GL-2017-17 4.1 pont

Várhatóan 2018. I. negyedév

4.3 (A hozzáférés monitoringolására és korlátozására alkalmas megoldások)

EBA-GL-2017-17 4.9-4.13 és 5.1 pontok

Várhatóan 2018. I. negyedév

4.4 (Adatminimalizálás)

EBA-GL-2017-17 4.6 pont

Várhatóan 2018. I. negyedév

4.5 (A biztonsági intézkedések tesztelése)

EBA-GL-2017-17 7. pont

Várhatóan 2018. I. negyedév

4.6 (Időszakos audit)

EBA-GL-2017-17 2.6 pont

Várhatóan 2018. I. negyedév

4.7 (Kiszervezés)

PSD2 19. és 20. cikk, EBA-GL-2017-17 2.7 és 2.8 pontok

2018. január 13.
Várhatóan 2018. I. negyedév

4.8 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

2018. január 13.

5 (Nyomonkövethetőség)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 26. cikke

Várhatóan 2019. II. félév

6.1 Azonosítás (ügyfél átvilágítási követelmények stb.)

Nincs helyettesítő szabály (pénzmosási szabályok körébe tartozik)

6.2 – 6.3 (Ügyfélinformáció)

PSD2 52. cikk és and EBA-GL-2017-17 9. pont

2018. január 13. és [Várhatóan 2018. I. negyedév]

7 – 7.9 (SCA)

PSD2 97. cikk és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 1., 2. és 4-9. cikkei

Várhatóan 2019. II. félév

7.7 (Wallet megoldások)

PSD2 97. cikk és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 1., 2. és 4-9. cikkei –  olyan tárca megoldást kínáló szolgáltatók számára, amelyekre a PSD2 és az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet közvetlenül alkalmazandó

Várhatóan 2019. II. félév

8 (Az ügyfélnek átadott azonosító eszközök és/vagy szoftverek igénylése és biztosítása)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. fejezete

Várhatóan 2019. II. félév

9 (Belépési kísérletek, session time-out, a hitelesítés érvényessége)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. cikke

Várhatóan 2019. II. félév

10 (Műveletek monitorozása)

Eltérő alapelv az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezetében (kivételek a 18. cikkben és a 2. cikk szerinti kockázat alapú keretrendszer)

Várhatóan 2019. II. félév

11 (Az érzékeny fizetési adatok védelme)

Az erős ügyfél-hitelesítésről valamint a közös és biztonságos kommunikációról szóló RTS tervezet 4. fejezete és GDPR 32. cikk

Várhatóan 2019. II. félév
2018. május

11.3 (A PSP-k kötelezettsége, hogy szerződéssel kötelezzék a kereskedőket a megfelelésre)

Nincs helyettesítő szabály, 2018. január 13-tól nem alkalmazandó

2018. január 13.

12 – 12.1 (Ügyfélkommunikáció)

PSD2 52., 68., 69. és 70. cikkek, EBA-GL-2017-17 9. pont

2018. január 13.

12.4 (Ügyféloktatás és tudatosság programok)

Részben felülírják az EBA-GL-2017-17 9.1 és 9.2 pontjai

Várhatóan 2018. I. negyedév

13 (A szolgáltatók kötelezettsége korlátok meghatározására)

PSD2 68. cikk (1) bekezdés, valamint
EBA-GL-2017-17 9.4 pont

2018. január 13.[Várhatóan 2018. I. negyedév]

14 (Az ügyfelek információhoz való hozzáférése)

PSD2 (ideértve az 58. cikket is)

2018. január 13.

(4.) Határon átnyúló szolgáltatások a PSD2 megkésett implementálása esetén

A határon átnyúló szolgáltatások esetén komoly bizonytalanságot okoz, ha egyes tagállamok késlekednek a PSD2 szabályainak nemzeti jogba való átültetésével. Az EBA ezzel kapcsolatban határozott álláspontot alakított ki. E szerint nem lehet akadálya az európai útlevéllel kapcsolatos bejelentési eljárásnak az a tény, hogy a fogadó tagállam nem implementálja határidőben a PSD2 előírásait. Ha tehát a szolgáltató országában az implementációra sor került, és a szolgáltató az adott szolgáltatás nyújtására jogosult, akkor a PSD2 szerinti tevékenységét attól függetlenül nyújthatja egy másik tagállamban, hogy az adott tagállamban hatályba léptek-e már a PSD2-t implementáló szabályok.

Az EBA értelmezése komoly nyomást gyakorolhat a tagállami jogalkotókra, hiszen így a késedelemmel a jogalkotók komoly versenyhátrányba hozhatják a saját szolgáltatóikat, ugyanakkor megmarad a határon átnyúló szolgáltatást nyújtóra nézve a jogi kockázat, hogy a fogadó tagállamban esetleg tiltott, akár büntetőjogilag fenyegetett jogosulatlan pénzügyi tevékenységet folytat majd.

Fontos továbbá, hogy az olyan PSD1 alapján engedélyezett és már érvényes „európai útlevél” bejelentéssel rendelkező pénzforgalmi szolgáltatók, amelyek székhely szerinti állama a PSD2-t 2018. január 13-ig nem ülteti át nemzeti jogába, továbbra is folytathatják tevékenységüket azon tagállam(ok)ban, amelyekre a korábbi bejelentés vonatkozik.

A cikk szerzői Gárdos Péter és Dobos Éva a Gárdos Mosonyi Tomori Ügyvédi Irodától. Az Ügyvédi Iroda további cikkei a FinTechZone-on:

Általában a fintech és azon belül is a crowdfunding szerepe és térnyerése megkérdőjelezhetetlen. Fontos azonban azzal is tisztában lenni, hogy a közösségi finanszírozás nem csak a vállalkozások és a befektetők, hanem – mind a magyar, mind az európai – szabályozó és felügyeleti hatóságok érdeklődését is felkeltette.

Belehúzott az Európai Bizottság, hogy nagyobb teret kaphassanak a FinTech megoldások Európában. Felállt a FinTech munkacsoport és keresik, miképpen lehetne a FinTech szolgáltatásokat jobban kihasználni.

A Magyar Nemzeti Bank pénzügyi felügyeletként 2017 elején Ajánlást tett közzé a közösségi és publikus felhőszolgáltatások igénybevételéről. Az Ajánlás a jegybanktörvény által szabályozott olyan jogi norma, amely nem kötelező a pénzügyi szervezetekre nézve, az MNB azonban az ellenőrzései és monitoring tevékenysége során vizsgálni szokta az annak való megfelelést.

Míg a 2018 májusától életbe lépő Általános Adatvédelmi Rendelet (GDPR) szigorítja az adatkezelést, addig a 2018. januártól alkalmazandó módosított pénzforgalmi irányelv (PSD2) kiszélesíti az ügyféladatokhoz való hozzáférést. Vitathatatlan, a PSD2 megnehezíti a GDPR-nak való megfelelést, ugyanakkor a GDPR megfelelő korlátok közé helyezi a PSD2 által biztosított piaci lehetőségeket. Ha helytelenül jár el a bank, annak súlyos anyagi következményei lehetnek.

Ha azon gondolkodnál, hogy kriptovaluta kibocsátásán keresztül finanszírozd a projektedet, akkor az alábbiakra mindenképpen érdemes lesz odafigyelned. “A kriptovaluta kibocsátást és értékesítést végző website tőzsdéhez hasonló kereskedési platformnak minősül.”

“A fintechen túl” konferencián a „Crowdfunding, P2P lending, ICO szabályozás itthon és Európában. Kinek, hol fáj?” című előadás utáni beszélgetéseken több izgalmas kérdés is felvetődött. Néhány visszatérő kérdés arra utal, hogy érdemes kiegészíteni elmondottakat.