Sanna Atrilan esitys Finanssivalvonnan Slush side eventissä 29.11.2017

1. #SlushFiva #PSD2
PSD2 – valvojan näkökulma
Sanna Atrila
Slush side event
Suomen Pankin rahamuseossa 29.11.2017

2. #SlushFiva #PSD2
PSD2 mediassa

3. #SlushFiva #PSD2
Uudistettu maksupalveludirektiivi
PSD2
• Tavoitteena saattaa erilaiset maksupalvelut nykyistä laajemmin
sääntelyn piiriin sekä saattaa maksupalvelujen sääntely
vastaamaan markkinoilla tapahtunutta kehitystä
• Avaa kilpailua pankkitoimialalla
• Vastaavia sääntelyuudistuksia tehty jo teletoiminnassa ja energia-alalla
• Kansallinen implementointi 13.1.2018 mennessä
• Maksupalvelulain ja maksulaitoslain muuttamista koskevat hallituksen
esitykset annettu eduskunnalle
• Komission asetus teknisistä sääntelystandardeista (RTS)
asiakkaan vahvasta tunnistamisesta ja turvallisesta
kommunikoinnista
• Voimaan 18 kk kuluttua hyväksymisestä

4. #SlushFiva #PSD2
Direktiivin keskeiset muutokset
• Kolmannet palveluntarjoajat sääntelyn ja valvonnan piiriin
• Maksutoimeksiantopalvelun tarjoajat
→ Palveluntarjoaja käynnistää asiakkaan pyynnöstä maksutoimeksiannon
suoraan asiakkaan pankissa olevalta tililtä
• Tilitietopalvelun tarjoajat
→ Palveluntarjoaja antaa koottua tietoa asiakkaan pankissa tai asiakkaan eri
pankeissa olevista nimetyistä maksutileistä
• Rajapintojen avaaminen
• Tilinpitäjäpankkien mahdollistettava kolmansille palveluntarjoajille
pääsy asiakkaiden tileille
• Asiakkaan nimenomainen suostumus
• Rajapinnat voivat olla erilaisia eri pankeilla

5. #SlushFiva #PSD2
Direktiivin keskeiset muutokset
• Pankeille uusi yhteistyövelvoite kolmansien osapuolten
kanssa
• Ei saa edellyttää sopimusta kolmansien osapuolten kanssa
• Ei saa veloittaa maksua kolmansilta osapuolilta
• Maksutoimeksianto- ja tilitietopalvelussa hyödynnettävä
pankin tarjoamaa asiakkaan vahvaa tunnistamista

6. #SlushFiva #PSD2
Maksupalveluntarjoajien luvat
• Maksutoimeksiantopalvelun tarjoajat (PISP)
• Toimilupa Finanssivalvonnalta
• Tilitietopalvelun tarjoajat (AISP)
• Rekisteröintipäätös Finanssivalvonnalta
• Nykyisten maksulaitosten lupapäivitykset
• Luottolaitoksilta pyydetään ilmoitus uusien palvelujen
tarjoamisesta
• Notifikaatioilmoitus Finanssivalvonnalle palvelujen
tarjoamisesta ETAlla

7. #SlushFiva #PSD2
Mitä PSD2 tarjoaa kuluttajalle
• Lisää maksutapoja ja uusia palveluja taloudenhallinnan seurantaan
• Korvaako maksutoimeksiantopalvelu debit-kortit ja maksunapit?
• Tilitietopalvelujen yhdistäminen muihin palveluihin, mm. paketointi
ja erilaisten hyödykkeiden kilpailuttaminen
• Kuluttajansuoja paranee
• Sääntely lisää pankin vastuuta väärinkäytöksistä
• Mahdollisuus käyttää palveluja ja omia tilitietojaan myös muualta
kuin tiliä ylläpitävän pankin kautta
• Syntyvät palvelut kuluttajille todennäköisesti ilmaisia
• Asiakasdatalla maksaminen yleistynee
• Uudet palvelut kauppiaille halvempia, laskeeko kuluttajahintoja?

8. #SlushFiva #PSD2
Mahdollisia kuluttajansuojan
ongelmia
• Miten kuluttaja voi arvioida palveluntarjoajan luotettavuutta?
• Onko toimija se, joksi hän itseään väittää?
• Uusien toimijoiden oma informointivelvollisuus
• Ongelmatilanteet ulkomaisen palveluntarjoajan kanssa
• Mikä on asiakaspalvelun taso?
• Kielikysymykset
• Tietosuojan haasteet
• Nimenomaisen suostumuksen hallinta ja ymmärtäminen
• Asiakasdatan käyttökohteet
• Tilitietojen avulla saatavan asiakasdatan käytössä nähdään
alkuvaiheessa todennäköisesti ylilyöntejä

9. #SlushFiva #PSD2
Mitä pankin on tehtävä PSD2:n
myötä?
• Rakennettava PSD2:n myötä pakolliseksi tulevat rajapinnat
• Edellyttää investointeja tietojärjestelmiin
• Uusia monitorointivelvoitteita
• Arvioitava ja laadittava oma strategia
• Avataanko vain PSD2:n vaatimat rajapinnat vai myös muita
rajapintoja?
• Mitä tehdään itse ja mitä kumppaneiden kanssa?
• Millä roolilla lähdetään mukaan, hakeudutaanko itse
maksutoimeksianto- ja/tai tilitietopalvelun tarjoajaksi?

10. #SlushFiva #PSD2
RTS SCA & CSC ja siirtymäaika
• Komissio hyväksynyt 24.11.2017 asiakkaan vahvaa tunnistamista
ja turvallista kommunikointia koskevat tekniset sääntelystandardit
• Voimaan 18 kk kuluttua julkaisusta virallisessa lehdessä
• Tekniset vaatimukset asiakkaan vahvalle tunnistamiselle
• Poikkeukset asiakkaan vahvasta tunnistamisesta
• Turvallisuusvaatimukset asiakkaan henkilökohtaisten
turvatunnusten suojaamiseksi
• Turvallisuusvaatimukset eri osapuolten keskinäisestä
kommunikoinnista
• Finanssivalvonta kannustaa noudattamaan standardin
vaatimuksia jo ennen voimaantuloa

11. #SlushFiva #PSD2
Kyberturvallisuus
• Useat osapuolet tuoneet esille huolen kyberturvallisuudesta
• Rajapintojen turvallisuus
• Ovat väärinkäyttäjiä kiinnostava hyökkäyspiste
• Riittävän testauksen tarve korostuu
• Erittäin kriittistä tarkastella uusien toimijoiden riskienhallinta, ml.
kyberturvallisuusnäkökohdat, huolella toimilupaprosessin
yhteydessä
• Pankit näkevät uhkakuvana sen, että rekisteriin pääsee jossain
toisessa jäsenvaltiossa harmaan alueen toimijoita, jotka tarjoavat
sitä kautta palvelujaan Suomeen
• Phishingin lisääntyminen?
• Käyttäjän voi olla hankala tunnistaa lailliset palveluntarjoajat huijareista

12. #SlushFiva #PSD2
Markkinoiden kehittymisen
vaiheet
PSD2:n todennäköiset vaiheet
1. Alkuvaiheen tutkimus
• Markkinoilla toimivat hakevat rooliaan
2. Ylisuuret odotukset
• PSD2-hype ja palveluntarjoajien
runsaus
3. Pettymys
• Kaikille ei riitä tilaa markkinoilla
• Lopettamisia, fuusioita, mahdollisia
kuluttajaongelmia
4. Vakiintuminen osaksi arkea
• Nähdään, ketkä ovat todellisia voittajia
Technology hype cycle

13. #SlushFiva #PSD2
PSD2-seurantaryhmän
verkkosivut
Fiva.fi > Sääntely > Sääntelyhankkeet > PSD2 >
PSD2-seurantaryhmä
Fiva.fi > Sääntely > Sääntelyhankkeet > PSD2 >
PSD2-seurantaryhmä