Publicerad: 2018-05-19
Inledning – Det andra betaltjänstdirektivet (PSD2) syftar till att utveckla marknaden för elektroniska betalningar och skapa bättre förutsättningar för säkra och effektiva betalningar inom EU. Direktivet har sedan 1 maj 2018 införlivats i svensk rätt genom ändringar i lag (2010:751) om betaltjänster samt lag (2011:755) om elektroniska pengar. I samband med införlivandet av direktivet har Finansinspektionen (FI) uppdaterat två äldre föreskrifter (FFFS 2010:3 & 2011:49) samt gett ut nya föreskrifter om verksamhet för betaltjänstleverantörer (FFFS 2018:4) samt allmänna råd om rapportering av händelser av väsentlig betydelse (FFFS 2018:5).
Utöver de nationella reglerna tillkommer även ett antal vägledande riktlinjer från Europeisk Bankmyndigheten (EBA) vilka i Sverige har status av allmänna råd. Riktlinjerna från EBA är mycket omfattande och detaljrika och då dessa endast till viss del införlivas genom FIs föreskrifter behöver företag även ta hänsyn till riktlinjerna i sitt arbete med att implementera det nya regelverket.
Det nya regelverket för betaltjänster kommer att omfatta fler företag än vad som tidigare var fallet samt även tillämpas på banker och kreditmarknadsbolag då dessa tillhandahåller betaltjänster. Nedan har vi valt att sammanfatta tre områden som kommer medföra ökade utmaningar för de företag som framöver kommer att omfattas av regelverket.
Ansökan – Då det nya regelverket medför så pass omfattande förändringar har FI meddelat att även företag som i dagsläget tillhandahåller tillståndspliktiga betaltjänster behöver inkomma med en förnyad ansökan. Vad gäller betalningsinstitut och institut för elektroniska pengar så ska ansökan ha lämnats till FI senast den 31 oktober 2018 och företag som ej har inkommit med ansökan är skyldiga att upphöra med den tillståndspliktiga verksamheten fr.o.m. 1 november 2018. Vad gäller registrerade betaltjänstleverantörer så är tidsfristen något längre.
För företag som bedriver gränsöverskridande verksamhet är tidsfristen dock än mer begränsad. Dessa företag ”bör” enligt FI redan den 13 juli ha inkommit med en förnyad ansökan. Detta för att inte riskera att medlemsstaternas olika implementeringsdatum får till följd att verksamhet bedrivs i strid med nationella regelverk.
Vad gäller innehållet i ansökan så ska denna bland annat innehålla en beskrivning av de förfaranden som finns för att övervaka, hantera och följa upp säkerhetsincidenter och ett säkerhetspolicydokument som omfattar operativa risker och säkerhetsrisker.
Riskhantering – Enligt det nya regelverket ska företag som bedriver tillståndspliktig verksamhet etablera ett ”system” med lämpliga åtgärder och kontrollmekanismer för att hantera operativa risker och säkerhetsrisker. Som en del av ”systemet” ska företagen bland annat:
- Fastställa processer, rutiner och system för att identifiera, mäta, övervaka och hantera riskerna som är förknippade med leverantörens betaltjänstverksamhet,
- Göra en riskbedömning av betaltjänsterna och ta fram en beskrivning av de säkerhetsåtgärder som ska skydda betaltjänstanvändarna mot de risker som identifierats,
- Fastställa en riskaptit för betaltjänstverksamheten samt inventera, klassificera och riskbedöma affärsfunktioner, processer och tillgångar som anses kritiska för verksamheten, och
- Ta fram en plan för kontinuitetshantering, som innefattar en beskrivning av hur verksamheten ska upprätthållas i olika scenarier och hur leverantören ska kommunicera i händelse av kris. Planerna ska årligen testas och vid behov uppdateras.
Rapportering - Företag som bedriver tillståndspliktig verksamhet ska årligen lämna en rapport till FI som beskriver de operativa risker och säkerhetsrisker som har identifierats samt de åtgärder som vidtagits för att hantera dessa risker. Vidare ska företag rapportera allvarliga operativa incidenter eller säkerhetsincidenter som uppkommer i verksamheten. Rapporteringen är indelad i olika avsnitt som avser tre olika skeden av incidenten där den första, den inledande rapporten, ska skickas till FI inom fyra timmar från det att incidenten upptäckts.
Två gånger per år ska företag dessutom lämna statistiska uppgifter till FI om svikliga förfaranden (bedrägerier) som har ägt rum i samband med användningen av betaltjänster. De statistiska uppgifterna som ska rapporteras till FI ska avse:
- Genomförda betalningstransaktioner som inte auktoriserats av betalaren,
- Betalningstransaktioner som betalaren nekar till att denne auktoriserat,
- Betalningstransaktioner som genomförts genom att betalaren manipulerats.
Sammanfattning - De nya reglerna medför en omfattande utökning av kraven som gäller för företag som tillhandahåller olika formera av betaltjänster. Utvecklingen är bland annat påtaglig vad gäller kraven på hantering av operativa risker och säkerhetsrisker samt allvarliga incidenter. I många avseenden påminner de nya reglerna om de krav som 2014 infördes avseende operativ riskhantering och informationssäkerhet för kreditinstitut, värdepappersbolag och företag som bedriver clearingverksamhet (FFFS 2014:4 & 2014:5). Utifrån vår tidigare erfarenhet av att bistå kunder i anpassningen till FFFS 2014:4 & FFFS 2014:5 har vi nedan sammanfatta några rekommendationer till de företag som ska implementera det nya regelverket:
- Utveckla en tydlig riskaptit som innehåller såväl kvantitativa som kvalitativa komponenter och förankra denna i verksamheten. Riskaptiten kan exempelvis utgå från företagets finansiella målsättningar, förlustkapacitet samt om möjligt förlusthistorik.
- Etablera en verksamhetsanpassad metodik som möjliggör konsekvent identifiering och värdering av risker. Komplexa metoder leder sällan till ett bättre resultat, snarare tvärtom.
- Genomför grundliga riskanalyser med representanter från relevanta delar av verksamheten och säkerställ att dessa dokumenteras på ett ändamålsenligt sätt. Att göra bra riskanalyser är en tidskrävande uppgift men att göra dåliga riskanalyser är ett slöseri på tid och resurser.
- Identifiera de risker som ligger utanför företagets riskaptit och utveckla åtgärdsplaner för att exempelvis minska exponeringen mot dessa. Identifiera även de nyckelkontroller som förekommer i förhållande till kritiska risker och säkerställ att dessa är effektiva och genomförs i den dagliga verksamheten.
- Identifiera verksamhetens kritiska informationstillgångar samt genomför hotbilds- och riskanalyser i förhållande till dessa.
Som nämnts ovan så kommer flera företag inom närtid behöva ansöka om tillstånd att tillhandahålla betaltjänster. Detta gäller även de företag som redan i dagsläget tillhandahåller dessa tjänster vilka kommer behöva ansöka om förnyat tillstånd. Vi på zeb har omfattande erfarenhet vad gäller ansökningar för samtliga tillståndstyper, från komplexa banktillstånd till värdepapperstillstånd sam tillstånd för betalningsinstitut och institut för elektroniska pengar. Vi har således mycket goda möjligheter att bistå ert företag i såväl ny som förnyad tillståndsansökning.
Kontakta gärna oss om ni önskar hjälp i ert implementeringsarbete eller vill diskutera frågeställningar kopplat till de nya reglerna på betaltjänstområdet.
DELA
