Linköpings universitet | Institutionen för ekonomisk och industriell utveckling Masteruppsats 30 hp | Masterprogram i Affärsjuridik -‐ Affärsrätt HT2017/VT2018 | LIU-‐IEI-‐FIL-‐A-‐-‐18/02712-‐-‐SE
Det andra betaltjänstdirektivet
och dess påverkan på
tredjepartsleverantörer
– Särskilt om kundautentiseringsreglerna i förhållande
till dataskyddsförordningen
The Second Payment Service Directive and its Effect on
Third Party Providers
– Especially Regarding the Rules on Customer
Authentication in relation to the General Data Protection
Regulation
Caroline Elbra
Handledare: Elif Härkönen Examinator: Anders Holm
Linköpings universitet SE-‐581 83 Linköping, Sverige 013-‐28 10 00, www.liu.se
Sammanfattning
Marknaden för betaltjänster har ökat avsevärt de senaste åren i och med teknikens utveckling och konsumenters ändrade betalningsvanor. Betalningarna har gått från att domineras av kontanter till att idag bestå av kortbetalningar och moderna betaltjänstlösningar via t.ex. mobiltelefoner. I takt med att e-handeln har expanderat och nya leverantörer av betaltjänster har trätt in på marknaden har behovet av ett gemensamt regelverk på EU-nivå för betaltjänster ökat, detta för att samtliga betalningar som sker inom EU ska vara lika effektiva och säkra som nationella betalningar.
Den 13 januari 2018 trädde det andra betaltjänstdirektivet (PSD2) ikraft, vilket syftar till att harmonisera marknaden för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom EU. I och med införandet av PSD2 utvidgades definitionen av betaltjänster till att innefatta betalningsinitieringstjänster och kontoinformationstjänster, vilka är tredjepartsleverantörer och fungerar som ett mellanled mellan en bank och slutkunden på betaltjänstmarknaden. Marknaden för tredjepartsleverantörer har hittills varit oreglerad, men omfattas nu av PSD2:s tillämpningsområde, vilket gör att tredjepartsleverantörerna kan få tillgång till bankernas kundinformation och kunddata genom öppna applikationsprogrammeringsgränssnitt. Under våren 2018 kommer en ny dataskyddsförordning att träda i kraft, vilken ämnar till att ge ett ökat skydd för den personliga integriteten genom att införa striktare regler angående behandling av personuppgifter.
Uppsatsen fokuserar på tredjepartsleverantörer och hur de påverkas av de nya regelverken och om innovationsmöjligheterna för nya betaltjänster kommer att främjas genom införandet av PSD2. För att kunna se hur tredjepartsleverantörerna påverkas av regelverken kommer uppsatsen fokusera på behandlingen av person- och kontouppgifter för att avgöra om bestämmelserna i PSD2 är förenliga med dataskyddsförordningen. Av uppsatsens resultat går det att utläsa att innovationen av nya betaltjänster fortsättningsvis torde främjas av de nya reglerna i PSD2 och att utvecklingen torde ske i en snabbare takt än tidigare. Det går även att utläsa att reglerna i de båda regelverken till viss del stämmer överens, men även att det finns bestämmelser som är motstridiga.
Innehållsförteckning
Sammanfattning ... 1 Förkortningslista ... 4 1 Inledning ... 5 1.1 Bakgrund ... 5 1.2 Syfte ... 6 1.3 Problemformulering ... 7 1.4 Metod ... 7 1.5 Avgränsningar ... 8 1.6 Disposition ... 92 Betaltjänstmarknaden i Sverige och EU ... 10
2.1 Behovet av ett betaltjänstdirektiv ... 10
2.2 Aktörer på betaltjänstmarknaden ... 11
2.3 Betaltjänstmarknaden i förändring ... 12
2.4 Behovet av ett nytt betaltjänstdirektiv ... 14
2.5 En jämförelse av de båda betaltjänstdirektiven ... 15
2.6 Övriga regelverk ... 16
2.6.1 SEPA ... 16
2.6.2 eIDAS ... 17
2.6.3 Dataskyddsförordningen ... 18
2.7 Betaltjänstmarknadens funktion ... 18
3 Betaltjänster och tredjepartsleverantörer ... 20
3.1 Betaltjänster ... 20
3.2 Tredjepartsleverantörer ... 21
3.2.1 Allmän information om tredjepartsleverantörer ... 21
3.2.2 Betalningsinitieringstjänster ... 22
3.2.3 Kontoinformationstjänster ... 23
3.3 Säkra betalningar via tredjepartsleverantörers betaltjänster ... 25
3.3.1 Kundautentisering ... 25
3.3.2 Stark kundautentisering ... 26
3.3.3 Tekniska standarder från EBA ... 27
3.4 Open banking/API ... 28
4 Informationsutlämning och personuppgiftsbehandling ... 30
4.1 Skydd för den personliga integriteten ... 30
4.2 En ny dataskyddsförordning ... 30
4.3 Behandling av personuppgifter enligt betaltjänstdirektiven ... 31
4.3.1 Personuppgiftsbehandling enligt betaltjänstlagen ... 31
4.3.2 Personuppgiftsbehandling enligt det andra betaltjänstdirektivet ... 32
4.4 Behandling av personuppgifter enligt dataskyddsförordningen ... 33
4.4.1 Behandling enligt dataskyddsförordningen ... 33
4.4.2 Personuppgifter enligt dataskyddsförordningen ... 34
4.4.3 Betydelsen av samtycke vid personuppgiftsbehandling ... 35
4.4.4 Dataportabilitet ... 37
5 Analys ... 38
5.1 Inledning ... 38
5.2 En reglerad marknad för tredjepartsleverantörer ... 39
5.2.1 Främjar de nya reglerna på betaltjänstmarknaden innovationen av nya tjänster? ... 39
5.2.2 Internationalisering och tilliten till tredjepartsleverantörer ... 40
5.3 Striktare reglering angående kundautentisering på betaltjänstmarknaden ... 42
5.3.1 Utvecklingen av kundautentisering ... 42
5.3.2 Stark kundautentisering och betalningar i realtid ... 43
5.4 Känsliga uppgifter ... 44
5.5 Samtycke på betaltjänstmarknaden ... 46
5.5.1 Samtycke som gemensam nämnare i de båda regelverken ... 46
5.5.2 Samtycke vid olika förfaranden ... 47
5.5.3 Inhämtande av samtycke ... 49
5.6 Problematiken mellan känsliga uppgifter och samtycke i förhållande till kundautentisering ... 50
5.7 Avslutande kommentar ... 51
Källförteckning ... 53
Förkortningslista
AISP Kontoinformationstjänst
API Applikationsprogrammeringsgränssnitt
Betaltjänstlagen Lag (2010:751) om betaltjänster
BIR Betalningar i Realtid
EBA European Banking Authority
ECB Europeiska centralbanken
EES Europeiska ekonomiska samarbetsområdet
eIDAS EU:s förordning om elektronisk identifiering och betrodda tjänster
EU Europeiska unionen
FI Finansinspektionen
FinTech Finansiell teknologi
GDPR Dataskyddsförordningen
PbD Privacy by Design
PISP Betalningsinitieringstjänst
PSD1 Det första betaltjänstdirektivet
PSD2 Det andra betaltjänstdirektivet
PuL Personuppgiftslag (1998:204)
SEPA Single Euro Payments Area
TPP Tredjepartsleverantörer
1 Inledning
1.1 Bakgrund
I takt med att samhället och tekniken utvecklas tillkommer nya produkter och tjänster som underlättar vardagen. Teknikens betydelse och utveckling är särskilt märkbar inom den finansiella sektorn där företag använder finansiell teknologi (FinTech) för att utmana de mer traditionella aktörerna, exempelvis storbankerna, med innovativa betaltjänster. Utvecklingen på marknaden för betalningar syns tydligt genom valet av betalningssätt och hur de har förändrats de senaste åren. Idag är det inte längre kontanter i form av mynt och sedlar som dominerar betalmarknaden, utan vi väljer istället att använda oss av kortbetalningar, e-handel och nya betalningssätt och tjänster med mobiltelefoner.1 I dagsläget finns det en mängd olika FinTech-bolag, som PayPal2 och Tink3, som utmanar storbankerna när det kommer till innovativa lösningar för betalningar och överföring av pengar. Företag som PayPal och Tink är betaltjänstleverantörer och fungerar som ett led mellan banken och slutkunden på betaltjänstmarknaden och benämns som tredjepartsleverantörer (TPP).4
Marknaden för banker och TPP förändras i och med det andra betaltjänstdirektivet (PSD2)5. PSD2 skulle ha varit införlivat i respektive medlemsstat den 13 januari 2018, men har dock blivit försenat i Sverige och den nya lagstiftningen föreslås träda i kraft den 1 maj 2018.6 PSD2 syftar till att utveckla en harmoniserad marknad för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom Europeiska unionen (EU).7 I takt med att innovativa betaltjänster har lanserats på marknaden, har även säkerhetsriskerna vid elektroniska betalningar ökat, vilket beror på att de elektroniska betalningarna har blivit allt mer tekniskt komplicerade. En grundläggande förutsättning för en
1 SOU 2016:53, s. 136 och Sveriges riksbank, Finansiell stabilitet 2017:1, s. 43.
2 PayPal är en betaltjänst där användaren kan betala och ta betalt över internet. Med PayPal är det möjligt att
betala och föra över pengar utan att avslöja betalningsuppgifterna. PayPal, Om oss.
3 Tink är en applikation för privatekonomi där användaren kopplar betalkonton till applikationen för att få en
överblick över ekonomin, samt ha möjlighet till att betala räkningar och föra över pengar. Tink, Om Tink.
4 KOM (2013) 547 final: Förslag till Europaparlamentets och rådets direktiv om betaltjänster på den inre
marknaden och om ändring av direktiven 2002/65/EG, 2013/36/EG och 2009/110/EG samt upphävande av direktiv 2007/64/EG (hädanefter KOM (2013) 547), s. 12.
5 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre
marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (hädanefter Europaparlamentets och rådets direktiv (EU) 2015/2366).
6 Prop. 2017/18:77, s. 1. 7 SOU 2016:53 s. 14.
väl fungerade marknad är säkra betaltjänster, vilket leder till att betaltjänstanvändarna bör skyddas mot de ökade säkerhetsriskerna som är kopplade till de nya betaltjänsterna.8
Innan ikraftträdandet av PSD2 har bankerna haft oligopol på marknaden för kundernas kontoinformation, vilket har gjort det svårt för TPP att ta sig in på marknaden för betaltjänster.9 För att öppna upp marknaden för TPP har definitionen av betaltjänster utvidgats i PSD2 till att omfatta betalningsinitieringstjänster (PISP) och kontoinformationstjänster (AISP), vilket innebär att marknaden för TPP hädanefter kommer vara reglerad.10 I och med de ändrade reglerna i PSD2 blir det möjligt för TPP att använda sig av bankernas information och infrastruktur för att själva leverera betaltjänstlösningar, vilket kommer ske genom att bankerna öppnar upp sina applikationsprogrammeringsgränssnitt (API).11
Det är inte enbart PSD2 som ändrar reglerna för aktörerna på finansmarknaden under år 2018, även dataskyddsförordningen (GDPR)12 träder i kraft under året. Förordningen behandlar hanteringen av personuppgifter och syftar till att skydda den enskilde individens personuppgifter och den personliga integriteten i högre utsträckning än tidigare. GDPR syftar vidare till att ge fysiska personer en större kontroll över de egna personuppgifterna för att skapa den tillit som krävs för att skapa en digital ekonomi inom unionen.13 Rätten till skydd
av personuppgifter utgör även en av de grundläggande rättigheterna inom unionen.14
1.2 Syfte
Syftet med uppsatsen är att redogöra för reglerna om TPP och hur de påverkas av reglerna i PSD2. Vidare är syftet att undersöka om det finns en systemkonflikt mellan reglerna i PSD2 och GDPR angående hanteringen av person- och kontouppgifter. Den eventuella systemkonflikten grundar sig i PSD2:s regler om öppnandet av marknaden genom att bankerna blir tvungna att lämna ut information om deras kunders kontoinformation till TPP och ge dem tillgång till deras kunddatabas. I motsats till PSD2 syftar GDPR till en striktare
8 SOU 2016:53, s. 138.
9 Hafstad m.fl., PSD2 – Strategic oppotunities beyond compliance, s. 44. 10 SOU 2016:53 s. 14 och 191.
11 Hafstad m.fl., PSD2 – Strategic oppotunities beyond compliance, s. 8 och Ståhl, FinTech: Den digitala
transformeringen av finansmarknaden, s. 43.
12 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer
med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (hädanefter Europaparlamentets och rådets förordning (EU) 2016/679).
13 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 7. 14 Europeiska unionens stadga om de grundläggande rättigheterna, art. 8.
reglering om vilka personuppgifter som får behandlas och på vilket sätt. Gemensamt för både PSD2 och GDPR är samtycke, vilket är varför reglerna angående inhämtande och givande av samtycke kommer att analyseras utifrån de båda regelverken och ligga till grund för besvarandet av frågeställningarna.
1.3 Problemformulering
• Kommer TPP:s innovationsmöjligheter till nya betaltjänster främjas i och med införandet av PSD2?
• Hur förhåller sig reglerna om personuppgiftsbehandling enligt PSD2 till hanteringen av personuppgifter enligt GDPR?
• Finns det någon regelkonflikt mellan kundautentiseringsreglerna i PSD2 och personuppgiftsbehandlingen i GDPR?
1.4 Metod
I uppsatsen kommer två metoder att tillämpas för att besvara frågeställningarna eftersom det valda ämnet berör olika områden på betaltjänstmarknaden. Avsikten med de valda metoderna är att de ska komplettera varandra.
Den rättsdogmatiska metoden kommer att användas för att beskriva reglerna om PSD2 och GDPR. Metoden går ut på att fastställa och besvara frågan ”vad är gällande rätt?”. Vid en redogörelse av gällande rätt och rättskällorna, är utöver svenska lagar, förarbeten, prejudikat och doktrin även EU-rättsligt och unionsrättsligt material inbegripet.15 De olika typerna av
rättskällor behövs för att komma fram till syftet med reglerna och varför de ser ut som de gör. För att kunna avgöra om det finns en konflikt mellan de två regelsystemen kommer systematiseringen inom rättsdogmatiken att tillämpas, vilket är en av de två huvuddelarna inom rättsvetenskapen. Systematiseringen innebär att identifiera samband, likheter, skillnader och principer av de olika regelverken och bygger på beskrivningen av gällande rätt. Systematiseringen blir därmed central och har en stor betydelse för rättsvetenskapens självförståelse.16
15 Lehrberg, Praktisk juridisk metod, s. 207, Olsen, Rättsvetenskapliga perspektiv, s. 116 och Sandgren,
Rättsvetenskap för uppsatsförfattare: ämne, material, metod och argumentation, s. 43.
16 Peczenik, Juridikens allmänna läror, s. 259, Sandgren, Om teoribildning och rättsvetenskap, s. 322-326 och
Med anledning av Sveriges medlemskap i EU blir rättsakter som antas på EU-nivå gällande rätt i Sverige. Rättsakterna består bl.a. av direktiv som ska implementeras i respektive medlemslands rättsordning och direkt tillämpliga förordningar.17 De svenska reglerna angående betaltjänster och personuppgiftsbehandling bygger på sådana EU-rättsliga direktiv (PSD2) och förordningar (GDPR). Därför kommer den EU-rättsliga metoden att användas i denna uppsats för att på ett korrekt sätt redogöra för PSD2 och GDPR. Den EU-rättsliga metoden är ett tillvägagångssätt för att hantera de EU-rättsliga källorna, vilka bygger på internationell rätt och utgör därmed ett mellanled mellan den internationella och den nationella rätten.18 Den tolkningsmetod som är mest etablerad inom EU-rätten är den teleologiska tolkningsmetoden. Det rör sig emellertid inte enbart om en traditionell ändamålsenlig tolkning utan det kan sägas att EU-domstolen har utvecklat sin egen tolkningsstil.19 Inom EU-rätten har även soft law utvecklats genom att icke-bindande rättsakter har utvecklats av olika EU-organ. De icke-bindande rättsakterna består främst av riktlinjer, rekommendationer och yttranden för att hjälpa medlemsländerna att tillämpa och tolka EU-rätten.20 I samband med redogörelsen för PSD2 och GDPR kommer hänsyn tas till
tekniska standarder framarbetade av European Banking Authority (EBA) samt andra riktlinjer och rekommendationer för att fastställa gällande rätt.
1.5 Avgränsningar
Trots det faktum att bankerna påverkas av införlivandet av PSD2 och GDPR kommer denna uppsats fokusera på TPP och endast i den mån det är nödvändigt beröra bankerna. Avgränsningen från bankerna beror främst på tidsbrist och omfattningen för denna uppsats. Både bankerna och TPP är olika varianter av betaltjänstleverantörer, med den skillnaden att TPP fungerar som ett mellanled mellan banken och slutkunden, vilket innebär att TPP får en annorlunda roll på betaltjänstmarknaden. Vidare kommer endast de relevanta bestämmelserna i de båda regelverken att behandlas, exempelvis reglerna angående betaltjänster och personuppgiftsbehandling, för att kunna besvara frågeställningarna och inte regelverken i sin helhet.
17 Korling & Zamboni, Juridisk metodlära, s. 115.
18 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s. 34 och Korling
& Zamboni, Juridisk metodlära, s. 109-110.
19 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s.158.
20 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s. 46 och Korling
1.6 Disposition
I kapitel 2 ges en beskrivning av betaltjänstmarknaden i Sverige. I kapitlet beskrivs behovet av ett gemensamt regelverk av betaltjänster på EU-nivå, hur marknaden har förändrats, vilka aktörer som opererar på marknaden, de relevanta regelverken och hur marknaden fungerar i korthet. I kapitel 3 ges en djupare redogörelse av PSD2 där fokus ligger på de bestämmelser som berör betaltjänster och TPP, samt vikten av kundautentisering. I kapitel 4 skildras reglerna om behandling av personuppgifter och dataskydd utifrån hur de regleras i PSD2 och GDPR. Kapitlet börjar med en kort introduktion till den personliga integriteten för att sedan redogöra för de specifika regelverken. Avslutningsvis, i kapitel 5, analyseras problemen djupgående utifrån ett svenskt perspektiv och problemformuleringarna besvaras.
2 Betaltjänstmarknaden i Sverige och EU
2.1 Behovet av ett betaltjänstdirektiv
Den svenska betaltjänstmarknaden regleras genom direktiv och förordningar från EU, direktiven har i sin tur implementerats i den svenska lagstiftningen genom bl.a. betaltjänstlagen21. Tiden innan det första betaltjänstdirektivet (PSD1)22 fanns det ett flertal
olika regleringar inom gemenskapen i form av direktiv, förordningar och rekommendationer angående betaltjänster och elektroniska betalningar på den inre marknaden. En av de avgörande faktorerna till behovet av en gemensam reglering på området var det spridda regelverket som ansågs ofullständigt och som existerade parallellt med nationella bestämmelser.23 En nödvändig förutsättning för moderna ekonomier, både idag och innan PSD1, är effektiva och säkra betalningssystem. Kommissionens mål med PSD1 var att skapa en gemensam betalningsmarknad inom EU där ökad konkurrens skulle bidra till minskade kostnader för betalningssystemet. Initiativet riktade in sig på elektroniska betalningar som ett alternativ till dyra kontanttransaktioner.24 Valet av att fokusera det nya regelverket på elektroniska betalningar stöds av konsumenternas förändrade betalningsvanor. I Sverige var kontantbetalningar vanligast i början av 2000-talet, medan det från år 2005 har varit kortbetalningar som har varit mest förekommande på marknaden, vilket kan komma att ändras i takt med utvecklingen av nya betaltjänster.25 I och med införandet av PSD1 åstadkoms en samlad reglering av betaltjänster i EU och länderna tillhörande det Europeiska ekonomiska samarbetsområdet (EES). Med en harmoniserad inre marknad menades att samtliga betalningar inom EU och EES-området skulle göras lika enkla, effektiva och säkra som de nationella betalningarna.26
Finanskrisen år 2008 ledde till flera förändringar på betaltjänstmarknaden runt om i världen. Sverige har en liten och öppen ekonomi med en finansmarknad som är väl integrerad med omvärlden, vilket gör att ekonomisk och politisk osäkerhet i omvärlden påverkar svensk
21 Lag (2010:751) om betaltjänster.
22 Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre
marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (hädanefter Europaparlamentets och rådets direktiv 2007/64/EG).
23 Europaparlamentets och rådets direktiv 2007/64/EG, skäl 3.
24 KOM (2005) 603 slutlig: Om genomförande av gemenskapens Lissabonprogram: Förslag till
Europaparlamentets och rådets direktiv om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/12/EG och 2002/65/EG (hädanefter KOM (2005) 603), s. 2.
25 Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 18 och 25. 26 Prop. 2009/10:220 s. 70-71.
finansiell stabilitet. 27 Den svenska betaltjänstmarknaden befinner sig i en intensiv utvecklingsfas, och kommer troligtvis fortsätta på det sättet framöver, med tanke på konsumenternas ändrade betalningsvanor och etableringen av internationella betaltjänster. I Sverige syns förändringen genom att förtroendet och användandet av betalningsapplikationer stadigt ökar.28
2.2 Aktörer på betaltjänstmarknaden
På marknaden för betaltjänster existerar det ett flertal aktörer utöver de traditionella bankerna. Betaltjänstmarknaden kan delas in i tre lager där aktörerna ryms och är verksamma.29 Det första lagret är ett system för processhantering och avveckling av betalningar som består av Riksbankens betalningssystem RIX. I det första lagret ingår storbankerna, men även systemet Betalningar i Realtid (BIR) som hanteras av Bankgirot. En vanlig förekommande form av BIR är Swish-betalningar. Det andra lagret är infrastrukturen som syftar till att skapa bättre förutsättningar för effektiva och säkra betalningar, s.k. clearing. Det andra lagret är utformat på olika sätt beroende på vilken form av betaltjänst som används. Bankgirot är en viktig aktör för processhanteringen i det andra lagret där Mobilt BankID är en viktig standard och grunden för identifiering vid betalningar och andra tjänster som vuxit fram de senaste åren. Det tredje och sista lagret består av tjänster och applikationer, vilka utgör grunden för innovation och framväxt av nya betaltjänster på marknaden.30
Riksbanken har i sin tur delat upp betaltjänstaktörerna i tre huvudgrupper som ofta återfinns i det tredje lagret och är utmanande betaltjänstaktörer. Huvudgrupperna utgörs av telekomoperatörer, teknikinnovatörer och processinnovatörer. Telekomoperatörerna är generellt sett intresserade av att uppmuntra kunderna till att använda mobilen till allt fler tjänster och driva upp datatrafiken i mobilnäten. Deras primära drivkraft kan sägas vara att söka efter nya intäktskällor, bredda tjänsteportföljen och etablera sig på marknaden. Ett sätt att nå målet på är att erbjuda SMS-betalningar eller betalningar via WyWallet.31 Teknikinnovatörerna baserar deras betaltjänster på ny teknik, på så vis skapas nya betaltjänster på marknaden. De arbetar för att etablera sig på marknaden, för att i slutändan
27 Sveriges riksbank, Finansiell stabilitet 2017:2, s. 17.
28 Insight Intelligence, Sverige betalar 2017: Svenska folkets attityder till betalmetoder och betaltjänster, s. 3 och
33.
29 Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 29.
30 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige – En studie av förändring inom
betalsystemet, s. 20-22.
31 WyWallet är ett mobilt betalningssätt där användaren använder mobilen för att betala på internet eller med
vinna nischer, kringtjänster och intäktskällor. Exempel på teknikinnovatörer är iZettle32 och Payair.33 Processinovatörerna arbetar även de för att etablera sig på marknaden, för att vinna nischer, kringtjänster och intäktskällor. Processinnovatörerna erbjuder inga nya betaltjänster, utan förlitar sig på de redan existerande betaltjänsterna. Däremot rationaliserar de användandet av betaltjänster för slutanvändaren. Exempel på processinnovatörer är Klarna34 och PayPal.35 De flesta företag på betaltjänstmarknaden som bedriver sin verksamhet inom någon av huvudgrupperna är TPP och fungerar som en mellanhand på betaltjänstmarknaden mellan bankerna och betaltjänstanvändarna genom deras nya betalningslösningar.36
2.3 Betaltjänstmarknaden i förändring
För att en gemensam och modern betaltjänstmarknad ska nå sin fulla potential måste branschen spela en central roll. Det är betaltjänstleverantörerna som ställs inför uppgiften att integrera de splittrade nationella betalningsinfrastrukturerna och erbjuda nya innovativa och effektiva betaltjänster.37 Att moderna betalningssystem och betaltjänster krävs för den moderna ekonomin och betaltjänstmarknaden visas genom att nystartade företag inom teknikbranschen förändrar den finansiella marknaden för betaltjänster. De nystartade företagen benämns ofta som FinTech-bolag, vilket innebär att de levererar finansiella tjänster med hjälp av digital teknik. FinTech-bolagen kan sägas ha sin kärnverksamhet inom finansiella tjänster samtidigt som de utmanar strukturen på finansmarknaden.38 Förändringen
på marknaden sker bl.a. genom att företagen erbjuder konsumentorienterade lösningar som kombinerar snabbhet, flexibilitet och innovativa företagsmodeller.39 För dessa företag är betaltjänster en av flera komponenter som driver marknadsutvecklingen framåt och ett sätt för det digitala och det fysiska att flyta ihop. FinTech-bolagen agerar utifrån att finansiella tjänster är ett medel, inte ett mål.40
32 iZettle förmedlar tjänster och applikationer för att förändra förutsättningarna för småföretagare, t.ex. genom
mobila kortläsare. iZettle, Om oss.
33 Payair är en applikation som gör det möjligt för användaren att genomföra snabba betalningar direkt från
mobiltelefonen genom att koppla ett betalkort till applikationen. Payair, About us.
34 Klarna erbjuder enkla, säkra och smidiga betalningslösningar. Klarna var länge en tredjepartsleverantör men
har nu erhållit banktillstånd. Klarna, Om oss.
35 Sveriges riksbank, Den svenska massbetalningsmarknaden, s. 53-55. 36 KOM (2013) 547, s. 12.
37 KOM (2005) 603, s. 3.
38 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 14 och 16.
39 Nicoletti, The Future of FinTech: Integrating Finance and Technology in Financial Services, s. 3. 40 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 15-16.
FinTech-bolagen, som agerar som TPP, har dragit nytta av finanskrisen och konsumenternas växande misstro gentemot bankerna för att främja finansiell innovation genom att erbjuda förtroende, transparens och teknologi till konsumenterna, vilket bankerna saknade.41 En av fördelarna med FinTech-bolagen är att de är relativt små, vilket gör det enklare att vara innovativ och anpassningsbar i takt med att marknaden och kundernas behov förändras.42 Bankerna har på senare tid försökt förbättra sina verksamheter genom att införa mer personliga metoder, och på så sätt utveckla deras tjänster för att följa med i marknadsutvecklingen, eftersom de ser FinTech-bolagen som deras främsta konkurrenter.43 Det är dock inte samtliga banker som ser FinTech-bolagen som konkurrenter på det sättet. De tror därmed inte att FinTech-bolagen kommer ta över marknaden från storbankerna, utan menar istället att det rör sig om en reglering av betaltjänstmarknaden, eftersom det redan innan PSD2 existerade moderna betaltjänster framtagna av FinTech-bolagen.44
Att marknaden för betalningar har förändrats är det ingen som är oense om och förändringen har pågått under en lång tid. Bill Gates menade redan år 1990 att bankärenden är nödvändiga, men att banker inte är det.45 Påståendet grundar sig i att samhället blir allt mer digitaliserat
och att mer tid spenderas på internet via datorer, mobiltelefoner och surfplattor, därmed ter det sig naturligt att även bankärendena förflyttas till internet.46 Flera av de svenska
storbankerna har redan investerat i, eller samarbetar med FinTech-bolag.47 Uppskattningsvis kommer storbankerna fortsättningsvis investera i FinTech de kommande åren, vilket innebär att nya innovativa betalningslösningar kommer att etableras i Sverige.48 I samarbetet mellan bolagen och storbankerna kan de båda parterna dra nytta av varandra. FinTech-bolagen har nytta av bankernas långa erfarenhet och dess infrastruktur. Bankerna kommer vidare kunna bidra med öppna API:er och kan därmed själva expandera verksamheten och
41 Barberis & Chishti, The FinTech book: the financial technology handbook for investors, entrepreneurs and
visionaries, s. 10-11 och Nicoletti, The Future of FinTech: Integrating Finance and Technology in Financial Services, s. 3-5.
42 William, FinTech: the beginner’s guide to financial technology, s. 13.
43 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 14 och William, FinTech: the
beginner’s guide to financial technology, s. 15.
44 Lindström, Handelsbankens digitalboss: fintech-bolagen inget hot mot storbankerna. 45 Hafstad m.fl.,PSD2 – Strategic oppotunities beyond compliance, s. 29.
46 King, Bank 3.0: why banking is no longer somewhere you go, but something you do, s. 20-21. 47 Exempelvis har SEB investerat i Tink och Nordea har ett samarbete med Betalo. Konkurrensverket,
Betaltjänstmarknaden i Sverige, s. 31-32.
minska kostnaderna för utvecklingen av betaltjänster, genom att låta FinTech-bolag utveckla arkitekturen.49
Det är inte enbart FinTech-bolag, och till viss del bankerna, som erbjuder innovativa tjänster på betaltjänstmarknaden, utan även välkända företag har lanserat egna betalningssystem och fler företag kan följa den utvecklingen i framtiden genom införandet av PSD2. Exempelvis har Apple och Samsung lanserat sina egna betaltjänster, Apple Pay och Samsung Pay. På den svenska marknaden konkurrerar de därmed med den mer etablerade betaltjänsten Swish.50 Möjligheten att sköta betalningar via aktörer som Facebook och Youtube, samtidigt som pengarna förvaras i trygghet på ett bankkonto är inte heller omöjligt inom en snar framtid.51
2.4 Behovet av ett nytt betaltjänstdirektiv
I november år 2015 antogs PSD2 som både inkluderar och upphäver dess föregångare, PSD1, som införlivades i Sverige genom bl.a. betaltjänstlagen.52 Motiven till behovet av ett nytt betaltjänstdirektiv, PSD2, är konsumenternas ändrade betalningsvanor. Utöver utökandet av betalkorts- och kreditkortsbetalningar har e-handeln och smartphones lagt grunden för nya betalningssätt. Syftet med kommissionens förslag till ett nytt betaltjänstdirektiv är att bidra till att utveckla en EU-omfattande marknad för elektroniska betalningar för att konsumenter, detaljhandeln samt att andra aktörer på marknaden ska kunna dra nytta av fördelarna med EU:s inre marknad. Utvecklingen av betaltjänstmarknaden blir allt viktigare i takt med att världen och samhället går mot en digital ekonomi. För att åstadkomma detta och främja ökad konkurrens, effektivitet och innovation för elektroniska betalningar krävs rättslig klarhet och lika villkor.53 Införandet av PSD1 fick inte det resultat som kommissionen hoppats på,
eftersom de elektroniska betalningarna fortfarande var uppdelade efter nationsgränserna och att många av de nya betalningsprodukterna och tjänsterna på marknaden inte omfattades av PSD1:s tillämpningsområde. Betaltjänstleverantörerna har därmed haft svårt att lansera innovativa, säkra och lättanvända digitala betaltjänster och erbjuda näringsidkare och konsumenter effektiva, säkra och bekväma betalningsmetoder inom EU eftersom reglerna inte utvecklats i takt med marknaden.54
49 Barberis & Chishti, The FinTech book: the financial technology handbook for investors, entrepreneurs and
visionaries, s. 21.
50 Wallenberg, Apple Pay kommer till Sverige i år, DI Digital.
51 Hafstad m.fl.,PSD2 – Strategic oppotunities beyond compliance, s. 8. 52 SOU 2016:53, s. 14.
53 KOM (2013) 547, s. 2.
2.5 En jämförelse av de båda betaltjänstdirektiven
De båda betaltjänstdirektiven har ett tillämpningsområde för betaltjänster som tillhandahålls inom unionen.55 Angående tillämpningsområdet finns det åtminstone två skillnader mellan de båda direktiven. I PSD1 var huvudregeln att direktivet endast tillämpades när både betalarens och betalningsmottagarens betaltjänstleverantör var etablerad inom gemenskapen, även kallat
two-leg transaktioner.56 Vid implementeringen av PSD1 var det upp till var och en av
medlemsstaterna att bestämma hur så kallade one-leg transaktioner skulle regleras. One-leg transaktioner är en transaktion med andra valutor än EES-valutor, och där endast den ena betaltjänstleverantören är etablerad inom EES-området.57 Sverige valde i detta skede att inte införa en reglering av one-leg transaktioner, eftersom fördelarna i form av ett stärkt konsumentskydd inte vägde lika tungt som oklarheterna kring information om transaktionerna och ökade kostnader.58 I PSD2 regleras både one-leg och two-leg transaktioner, vilket betyder att den svenska betaltjänstlagen måste ändras i det hänseendet. Anledningen till en reglering av one-leg transaktioner, när det anses lämpligt, är att undvika att olika tillvägagångssätt tillämpas i medlemsstaterna, vilket kan vara till nackdel för konsumenterna.59
Den andra skillnaden mellan direktiven är att PSD1 endast tillämpades på betaltjänster som genomfördes i euro eller i en valuta utanför euroområdet, men inom EES-området.60 Med
ikraftträdandet av PSD2 utökas tillämplighetsområdet till att även innefatta de transaktioner som genomförs inom EU, i en valuta som inte är en valuta i någon av medlemsstaterna om både betalarens och betalningsmottagarens betaltjänstleverantör är etablerad inom unionen.61 I en del fall räcker det även med att en av betaltjänstleverantörerna är etablerad inom unionen för att betalningstransaktionen ska falla under direktivets bestämmelser, förutsatt att transaktionen genomförs inom EU.62
För att se till att bestämmelserna i PSD2 efterlevs är det upp till var och en av medlemsstaterna att införa sanktioner som är effektiva, proportionerliga och avskräckande.63
55 SOU 2016:53, s. 162. 56 Prop. 2009/10:220 s. 104.
57 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 50. 58 Prop. 2009/10:220 s. 113-114.
59 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 2.3-2.4 och skäl 8. 60 Prop. 2009/10:220 s. 104.
61 SOU 2016:53, s. 162. 62 SOU 2016:53, s. 164.
Bestämmelserna angående sanktionsavgiften är densamma i de båda betaltjänstdirektiven.64 Jämfört med GDPR är sanktionsavgifterna i betaltjänstlagen inte lika avskräckande för företagen, vilket kan leda till att reglerna i PSD2, till viss del, hamnar i skymundan.65 Begreppet betaltjänster, TPP och övriga bestämmelser i PSD2, som är av betydelse för det här arbetet, kommer att presenteras nedan i kapitel 3.
2.6 Övriga regelverk 2.6.1 SEPA
Single Euro Payments Area (SEPA) är ett omfattande projekt för att skapa en gemensam marknad för betaltjänster inom EU, vilket i sin tur leder till att det påverkar det svenska betalningsväsendet.66 SEPA-förordningen67 syftar till att harmonisera reglerna för betalningar och autogireringar inom EU, vilket betyder att gemensamma regler och rutiner ska gälla för samtliga betalningar och autogireringar som genomförs inom unionen.68 SEPA-förordningen tillämpas på de gränsöverskridande betalningar som sker i euro eller i nationell valuta inom EU och EES-området, i enlighet med bestämmelserna i betaltjänstdirektiven.69 SEPA projektet och betaltjänstdirektiven är tätt sammankopplade med varandra genom att PSD1 bidrog till skapandet av SEPA genom att tillhandahålla det rättsliga ramverket för en harmoniserad betaltjänstmarknad.70 Övergången till SEPA gick emellertid långsamt och ytterligare en förordning71 infördes som ett komplement till SEPA-förordningen och gäller endast för betalningar som genomförs i euro. Den nya förordningen infördes eftersom en fullständig integration av betaltjänstmarknaden inte kunde ske förrän de nya SEPA reglerna ersatt de äldre.72 Till skillnad från betaltjänstdirektiven reglerar SEPA förhållandet banker
emellan, istället för relationen bank till kund. SEPA består av den gemensamma valutan euro,
64 Prop. 2017/18:77, s. 239.
65 Sanktionsavgifterna enligt betaltjänstlagen får högst uppgå till 50 miljoner svenska kronor, och får inte
överstiga 10 % av föregående års omsättning. 8 kap. 15 § betaltjänstlagen. Jämför med avsnitt 2.6.3.
66 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 45.
67 Europaparlamentets och rådets förordning (EG) nr 924/2009 av den 16 september 2009 om
gräns-överskridande betalningar i gemenskapen och om upphävande av förordning (EG) nr 2560/2001 (hädanefter Europaparlamentets och rådets förordning (EG) nr 924/2009).
68 Prop. 2013/14:84, s. 11 och 13.
69 Europaparlamentets och rådets förordning (EG) nr 924/2009, art. 1.2. 70 Prop. 2009/10:220 s. 321.
71 Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska
och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009.
72 KOM (2010) 775 slutlig: Förslag till Europaparlamentets och rådets förordning om antagande av tekniska krav
tekniska standarder, effektiva infrastrukturer för betalningar, en harmoniserad rättslig plattform och SEPA-tjänsterna; gireringar, autogiro och kortbetalningar.73
2.6.2 eIDAS
I juli år 2016 trädde EU:s förordning om elektronisk identifiering och betrodda tjänster (eIDAS)74 ikraft.75 Målet med förordningen är att säkerställa en väl fungerande marknad och uppnå en lämplig säkerhetsnivå för elektronisk identifiering och betrodda tjänster.76 Skälen till införandet av eIDAS var att öka förtroendet för elektroniska transaktioner på den inre marknaden genom en gemensam grund för ett säkert samspel mellan medborgare, företag och myndigheter. Samspelet aktörerna emellan ämnade att öka effektiviteten för internettjänster, elektronisk affärsverksamhet och e-handel inom unionen.77 Ett bristande förtroende för internetmiljön och den ekonomiska utvecklingen på marknaden leder till att konsumenter tvekar att utföra elektroniska transaktioner och använda nya tjänster. En fullständig digital inre marknad, där användandet av gränsöverskridande internettjänster är enkla att tillämpa för att underlätta säker identifiering och autentisering över internet, är därmed nödvändig.78
E-handeln främjas av att det finns tillgång till elektronisk identifiering (e-legitimation), elektroniska underskrifter och betrodda tjänster. E-legitimation är en elektronisk identitetshandling som används för att identifiera innehavaren på elektronisk väg. Elektroniska underskrifter används för att kontrollera att innehållet i en elektronisk handling kommer från den person som har undertecknat handlingen.79 De e-tjänster som tillhandahåller
e-legitimationer måste uppfylla en väsentlig tillitsnivå enligt eIDAS-förordningen. E-tjänster som uppfyller tillitsnivån är i princip samtliga tjänster där användaren loggar in genom att använda BankID.80 BankID är en avancerad elektronisk underskrift enligt eIDAS, där det ställs höga krav på kryptering och säkerhet. Med betrodda tjänster avses elektroniska tjänster som vanligtvis tillhandahålls mot ekonomisk ersättning och som består av skapande, kontroll
73 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 45.
74 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering
och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (hädanefter Europaparlamentets och rådets förordning (EU) nr 910/2014).
75 Prop. 2015/16:72, s. 33.
76 Europaparlamentets och rådets förordning (EU) nr 910/2014, art. 1. 77 Europaparlamentets och rådets förordning (EU) nr 910/2014, skäl 2. 78 Europaparlamentets och rådets förordning (EU) nr 910/2014, skäl 1 och 5. 79 Prop. 2015/16:72, s. 33-35.
och validering av bl.a. elektroniska underskrifter.81 Alla de personuppgifter som behandlas i enlighet med eIDAS-förordningen för att öka säkerheten på marknaden ska behandlas i enlighet med GDPR.82 Trots eIDAS centrala roll i betaltjänstmarknadens funktion för att öka säkerheten av elektroniska betalningar nämns förordningen varken i PSD2 eller i GDPR.
2.6.3 Dataskyddsförordningen
GDPR är den nya dataskyddsförordningen som ämnar till att skydda den personliga integriteten genom att erhålla fysiska personer ett skydd för behandlingen av personuppgifter och det fria flödet av personuppgifter. För att säkerställa att reglerna om personuppgifter efterlevs har avskräckande sanktioner införts i GDPR för att öka företagens incitament till att behandla personuppgifter på ett korrekt sätt.83 GDPR presenteras mer utförligt i kapitel 4 som behandlar informationsutlämnandet och behandling av personuppgifter på betaltjänst-marknaden.
2.7 Betaltjänstmarknadens funktion
Det är tydligt att förtroendet och säkerheten för betalningar och personuppgifter är viktiga aspekter när det kommer till den allt mer digitaliserade betaltjänstmarknaden ur konsumenternas synvinkel, eftersom det är ett genomgående tema i EU:s direktiv och förordningar på området. De flesta betalningar som utförs på betaltjänstmarknaden är massbetalningar, vilka är betalningar av relativt små belopp och utförs mellan privatpersoner, företag och myndigheter. Massbetalningar genomförs främst med kontanter, betalkort och gireringar.84 Varje betalning är en överföring av ett förutbestämt penningbelopp mellan två
parter. Överföringen sker på olika sätt beroende på om betalningen är kontantbaserad eller kontobaserad. Vid kontobaserade betalningar flyttas medel mellan två konton i en eller två banker genom bl.a. girering, överföring och kortbetalning. Kortbetalningar kan i sin tur ske på flera olika sätt, de vanligaste alternativen är betalkort och kreditkort. Gemensamt för betalningssätten är att det är en överföring mellan två konton som initieras hos en eller flera betalningsförmedlare som vidtar åtgärder för att medel ska föras över på ett säkert sätt.85
81 Prop. 2015/16:72, s. 36.
82 Europaparlamentets och rådets förordning (EU) nr 910/2014, art. 5 och Europaparlamentets och rådets
förordning (EU) 2016/679, art. 94.
83 Sanktionsavgifterna kan enligt GDPR uppgå till 10 miljoner euro, eller 2 % av den totala globala
årsomsättningen under föregående år, beroende på vilket värde som är högst. Europaparlamentets och rådets förordning (EU) 2016/679, art. 83.
84 Sveriges riksbank, Den svenska finansmarknaden, s. 109. 85 Prop. 2017/18:77, s. 98.
Samtliga betalningar som inte utförs med kontanter kräver därmed en tredje part, ofta en betaltjänstleverantör, som förmedlar betalningen mellan avsändaren och mottagaren och fungerar som en mellanhand. Betaltjänstleverantören är i sin tur beroende av en finansiell infrastruktur för att betalningarna ska kunna genomföras.86
Som tidigare nämnt har nya betalningssätt introducerats på marknaden efter 2008 års finanskris. Majoriteten av de nya betaltjänsterna är mobila betalningstjänster som är baserade på kortbetalningar. Vid mobila betalningar tillkommer behovet av identifiering för att säkerställa att betalningarna är säkra.87 Identifieringen sker bl.a. genom Mobilt BankID vilket leder till att eIDAS-förordningen blir tillämplig med dess regelverk för en lämplig säkerhetsnivå för elektronisk identifiering. Det är även här förordningen och SEPA-tjänsterna gireringar, autogiro och kortbetalningar träder in på betaltjänstmarknaden för att reglera relationen mellan de olika bankerna. Marknaden för mobila betalningar som baseras på kontosystem eller gireringar är inte lika välutvecklat som det är för kortbetalningar. I Sverige är det främst applikationen Swish som tillämpar betalningsmetoden. De typer av tjänster som baseras på kontosystemet och gireringar används för direkta och indirekta överföringar mellan bankkonton och sker i realtid.88
86 Sveriges riksbank, Den svenska finansmarknaden, s. 109-110.
87 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige – En studie av förändring inom
betalsystemet, s. 29.
88 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige – En studie av förändring inom
3 Betaltjänster och tredjepartsleverantörer
3.1 Betaltjänster
Definitionen av begreppet betaltjänster är omfattande i de båda betaltjänstdirektiven och återfinns i en bilaga till respektive direktiv. Definitionerna är snarlika varandra i de båda direktiven, men fick en utvidgad betydelse i PSD2 och definieras där som:89
1. Tjänster som möjliggör kontantinsättningar på ett betalkonto samt alla åtgärder som krävs för förvaltningen av ett betalkonto.
2. Tjänster som möjliggör kontantuttag från ett betalkonto samt alla åtgärder som krävs för förvaltningen av ett betalkonto.
3. Genomförande av betalningstransaktioner, däribland överföring av medel på ett betalkonto hos användarens betaltjänstleverantör eller någon annan betaltjänstleverantör:
o Genomförande av autogireringar, inklusive engångsautogireringar.
o Genomförande av betalningstransaktioner med kontokort eller liknande utrustning. o Genomförande av betalningar, inklusive stående betalningsorder.
4. Genomförande av betalningstransaktioner, när medlen täcks av en betaltjänstanvändares kreditutrymme:
o Genomförande av autogireringar, inklusive engångsautogireringar.
o Genomförande av betalningstransaktioner med kontokort eller liknande utrustning. o Genomförande av betalningar, inklusive stående betalningsorder.
5. Utgivande av betalningsinstrument och/eller förvärv av betalningstransaktioner. 6. Penningöverföring.
7. Betalningsinitieringstjänster.
8. Kontoinformationstjänster.90
Punkterna 1-6 är desamma som i PSD1, medan punkt 7 i PSD1 om systemoperatörstjänster, som var till för att främja innovation, är borttagen ur den nya definitionen.91
Punkten 7 i PSD1 fanns till för att fånga upp och främja betalningstransaktioner via ny digital teknik. Punkten avsåg betalningstransaktioner som sker via dator, mobiltelefon eller liknande teknisk utrustning där operatören för systemet fungerar som en mellanhand mellan betalaren och leverantören som tillhandahåller tjänsten i fråga. Den tekniska utrustningen ska där enbart fungera som ett instrument för att verifiera att betalningen ska ske från betalarens bankkonto.92 Systemoperatörstjänster kan därmed inte jämställas med de nya termerna
betalningsinitieringstjänster och kontoinformationstjänster. Det finns ingen uttrycklig anledning till varför systemoperatörstjänsterna inte omfattas av den nya definitionen, men ledning kan tas från art. 3 l PSD2. Där föreskrivs att transaktionerna som genomförs med sådan teknisk utrustning för köp av digitalt innehåll undantas från direktivet om beloppet
89 SOU 2016:53, s. 141.
90 Europaparlamentets och rådets direktiv (EU) 2015/2366, bilaga I. 91 SOU 2016:53, s. 143.
understiger 50 euro, eller uppgår till högst 300 euro per månad. Av skälen till PSD2 framgår inte att avsikten var att undanta dessa tjänster från direktivets tillämpningsområde, utan att de istället får anses omfattas av någon av punkterna 1-6 i bilaga I:s definition.93
Utvidgningen av begreppet betaltjänster i PSD2 består av de nya termerna betalningsinitieringstjänster och kontoinformationstjänster som utgör TPP. Marknaden för dessa tjänster har, således hittills varit oreglerad, men faller nu in under PSD2:s bestämmelser.94
3.2 Tredjepartsleverantörer
3.2.1 Allmän information om tredjepartsleverantörer
Bakgrunden till utvidgningen av begreppet betaltjänster till att även innefatta betalningsinitieringstjänster och kontoinformationstjänster som utgör TPP är att kommissionen identifierade bankernas dominans och deras begränsade försök till att utveckla marknaden med innovativa betaltjänster.95 Efter införandet av PSD1 har nya betaltjänster dykt upp på marknaden. Framförallt har betalningsinitieringstjänster utvecklats inom e-handeln.96 De nya betaltjänsterna gör det möjligt för leverantörer av betalningsinitieringstjänster att försäkra betalningsmottagaren om att betalningen har initierats i rätt syfte. Betalningsmottagaren erhåller därmed ett incitament om att det är säkert att frigöra varan eller tjänsten och samtidigt vara säker på att erhålla betalning. Tjänsterna utgör en billig lösning för både säljare och konsumenter. För att säkerställa rättsläget för TPP och konsumenterna, ska betalningarna omfattas av PSD2 för ett starkare konsumentskydd och skydd mot hantering av person- och kontouppgifter.97
Sett till de företag som redan existerar på marknaden är det tydligt att marknaden för TPP och de tjänster de erbjuder inte är någonting nytt. De betaltjänster som för det mesta tillhandahålls av TPP kan även tillhandahållas av betaltjänstleverantörer som erbjuder andra betaltjänster än betalningsinitieringstjänster och kontoinformationstjänster. Leverantörerna kan exempelvis vara en bank eller ett kreditmarknadsföretag.98 TPP har hittills haft svårt att etablera sig på
93 SOU 2016:53, s. 146. 94 KOM (2013) 547, s. 12.
95 Cortet, Rijks & Nijland, PSD2: The digital transformation accelerator for banks, s. 17. 96 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 27.
97 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 29. 98 Prop. 2017/18:77, s. 144-145.
marknaden för betaltjänster p.g.a. barriärerna som hindrade företagen att erbjuda sina tjänster i de olika medlemsstaterna. När barriärerna nu är borttagna öppnar det upp för större konkurrens på marknaden för billiga betaltjänster.99 Genom öppnandet av betaltjänst-marknaden och förändringarna i PSD2 får TPP:s nu möjlighet att ta del av kontouppgifter som kan möjliggöra ytterligare innovation av betaltjänster på en växande marknad genom att bygga applikationer ovanpå den redan existerande betalningsinfrastrukturen,100 för att konkurrera med kortbetalningar och bankernas mer traditionella tjänster. Genom att TPP får tillgång till betaltjänstanvändarens bankuppgifter, kan betalaren genomföra en betalning utan att denne behöver använda sig av ett bank- eller kreditkort.101
I och med införandet av PSD2 kommer samtliga leverantörer som erbjuder någon form av betaltjänster, t.ex. betalningsinitieringstjänster, behöva ha tillstånd som betalningsinstitut innan verksamheten startas, vilket i Sverige ges av Finansinspektionen (FI) enligt betaltjänstlagen. Det är endast juridiska personer som är etablerade i en medlemsstat som kan få sådant tillstånd. I Sverige finns det en ytterligare begränsning enligt betaltjänstlagen som endast gör det möjligt för svenska aktiebolag och svenska ekonomiska föreningar att erhålla sådant tillstånd. Enligt PSD2 får leverantörer av betalningsinitieringstjänster inte undantas från tillståndsplikten, vilket betyder att betaltjänstlagen kommer att behöva ändras i den frågan för att överensstämma med PSD2.102 De betaltjänstleverantörer som endast tillhandahåller kontoinformationstjänster är dock undantagna från kravet på tillstånd. Däremot måste fysiska eller juridiska personer som utnyttjar undantaget aktivt ansöka om att bli undantagna från tillståndsplikten. De betaltjänstleverantörer som erhållit undantag från tillståndsplikten ska registreras hos FI. I registret ska det finnas information om betaltjänstleverantörerna och vilka betaltjänster de har rätt att tillhandahålla.103
3.2.2 Betalningsinitieringstjänster
Betalningsinitieringstjänster definieras i PSD2 som ”en tjänst för att initiera en betalningsorder på begäran av betaltjänstanvändaren med avseende på ett betalkonto hos en annan betaltjänstleverantör”.104 Betalningsinitieringstjänsterna spelar en viktig roll i e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e- e-
99 Europeiska kommissionen, Payment Services Directive: frequently asked questions, fråga 6, 2018. 100 Cortet, Rijks & Nijland, PSD2: The digital transformation accelerator for banks, s. 18.
101 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige – En studie av förändring inom
betalsystemet, s. 61-62.
102 Europaparlamentets och rådets direktiv (EU) 2015/2366, artikel 11 och prop. 2017/18:77, s. 145-146. 103 Prop. 2017/18:77, s. 171.
handelsbetalningar där betalningsinitieringstjänsterna initierar en betalning genom att skapa en länk mellan säljarens webbplats och konsumentens internetbank.105 Betalningen kan då fullföljas utan att betaltjänstanvändaren behöver använda sig av ett bank- eller kreditkort.106
I dagsläget går en sådan betalning till på så sätt att kunden som vill handla via ett företags e-handel loggar in på sin internetbank via företagets hemsida genom att lägga en betalningsorder. Av informationen som lämnas av kunden framgår det endast att det är kunden själv som har direkt kontakt med banken vid betalningen. Det är dock leverantören av betalningsinitieringstjänsten som har initierarat betalningen med de inloggningsuppgifter som kunden har lämnat, utan att det syns för varken kunden eller banken. När PSD2 införlivas kommer den TPP som utför betalningsinitieringstjänsten, vara tvungen att identifiera sig mot banken vilket innebär att banken kommer se om en betalningstransaktion genomförs via en TPP som erbjuder betalningsinitieringstjänster eller direkt av banken.107 Med införandet av betalningsinitieringstjänster kommer färre parter behövas på marknaden för att en transaktion för e-handel ska kunna genomföras,108 vilket illustreras nedan.109
3.2.3 Kontoinformationstjänster
Kontoinformationstjänster definieras i PSD2 som ”en onlinetjänst för att tillhandahålla sammanställd information om ett eller flera betalkonton som betaltjänstanvändaren innehar
105 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 27. 106 Prop. 2017/18:77, s. 144.
107 SOU 2016:53, s. 191-192.
108 Hafstad m.fl.,PSD2 – Strategic oppotunities beyond compliance, s. 10.
109 Illustrationen är en egen bearbetning baserad på Hafstad m.fl.,PSD2 – Strategic oppotunities beyond
hos antingen en annan betaltjänstleverantör eller hos fler än en betaltjänstleverantör”.110 Kontoinformationstjänster utgör kompletterande tjänster till betalningsinitieringstjänsterna. Kontoinformationstjänsterna förser användaren med information om ett eller flera betalkonton, som innehas hos en eller flera betaltjänstleverantörer som nås via den kontoförvaltande betaltjänstleverantörens111 webbaserade gränssnitt. Med dessa tjänster ges betaltjänstanvändaren möjlighet att enkelt och omedelbart få en överblick över sin ekonomiska situation.112 Genom att använda kontoinformationstjänster kan en betaltjänst-användare bl.a. kontrollera saldot på ett betalkonto hos banken, medan leverantören av kontoinformationstjänster kan använda sig av gjorda transaktioner på kontot för att analysera kundens konsumtionsvanor. Det är inte enbart konsumenter som har nytta av dessa tjänster utan även företag, eftersom kontoinformationstjänster kan förbättra integrationen mellan företagets ekonomi och affärssystem.113
Precis som vid betalningsinitieringstjänster kan banken idag inte se om det är kunden eller en leverantör som erbjuder kontoinformationstjänster som hämtar uppgifterna. Efter införandet av PSD2 kommer även dessa leverantörer bli tvungna att identifiera sig mot den kontoförvaltande betaltjänstleverantören, som ofta är en bank,114 vilket illustreras nedan.115
110 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 4.16.
111 En kontoförvaltande betaltjänstleverantör är en betaltjänstleverantör som tillhandahåller och förvaltar ett
betalkonto för en betalare, och är vanligtvis en bank. Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 4.17.
112 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 28. 113 Hafstad m.fl.,PSD2 – Strategic oppotunities beyond compliance, s. 9. 114 Prop. 2017/18:77, s. 144-145.
115 Illustrationen är en egen bearbetning baserad på Hafstad m.fl.,PSD2 – Strategic oppotunities beyond
compliance, s. 9.