Sp­urt og svarað - greiðsluþjón­ustu­veit­end­ur

Efnisorð: PSD, EBA

Viðskipavinur greiðsluvirkjanda, á rétt á því að greiða allar þær greiðslur, sem hann getur greitt milliliðalaust í sínum netbanka eða banka-appi, sbr. 66. gr. laga nr. 114/2021 um greiðsluþjónustu (grþl.), þar á meðal kröfur, sem birtast í netbanka eða appi viðskiptabanka viðskiptavinar, fyrir milligöngu greiðsluvirkjandans.

Með 66. gr. grþl. er innleidd 66. gr. tilskipun Evrópuþingsins og ráðsins (ESB) 2015/2366 um greiðsluþjónustu á innri markaðnum (PSD2). Í 1. mgr. 66. gr. grþl. segir: „Greiðandi sem á greiðslureikning sem er aðgengilegur á netinu á rétt á að nýta sér greiðsluvirkjun, sbr. g-lið 22. tölul. 3. gr., og reikningsupplýsingaþjónustu, sbr. h-lið 22. tölul. 3. gr.“

Europeen banking authority (EBA) hefur birt álit á framseldri reglugerð framkvæmdastjórnarinnar (ESB) 2018/389, sem var innleidd í íslenskan rétt með reglum nr. 1220/2021 um sterka sannvottun viðskiptavina og almenna og örugga opna staðla vegna samskipta í greiðsluþjónustu. Í 29. tölulið er að finna eftirfarandi álit EBA á gildi tæknistaðalsins hvað varðar heimildir greiðsluvirkjenda til að framkvæma greiðslur fyrir hönd notanda greiðsluþjónustu:

„Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP* offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments.“

Það leiðir því af 1. mgr. 66. gr. grþl. að greiðsluvirkjendur eiga að geta virkjað greiðslur vegna þeirra ógreiddu reikninga (krafna) sem birtast í netbanka eða appi viðskiptabanka notanda greiðsluþjónustu.

Dagsetning: 21. mars 2025

Efnisorð: PSD, EBA

Hugtakið sterk sannvottun er skilgreint í 40. tölul. 3. gr. laga nr. 114/2021 um greiðsluþjónustu (grþl.) Skilgreining hugtaksins er eftirfarandi: 

Sannvottun á grundvelli notkunar tveggja eða fleiri þátta sem flokkast sem þekking, þ.e. eitthvað sem notandinn einn veit, umráð, þ.e. eitthvað sem notandinn einn hefur umráð yfir, og eðlislægni, þ.e. eitthvað sem notandinn er. Þættirnir sem um ræðir skulu vera óháðir hver öðrum þannig að brot á einum hafi ekki áhrif á áreiðanleika hinna. Vottunin er hönnuð til að vernda trúnað sannvottunargagnanna.

Ákvæðið felur í sér innleiðingu á 30. tölul. 4. gr. tilskipunar Evrópuþingsins og ráðsins (ESB) 2015/2366 um greiðsluþjónustu á innri markaðnum (PSD2). Í 1. mgr. 101. gr. grþl. er að finna þá meginreglu að greiðsluþjónustuveitandi skuli krefjast sterkrar sannvottunar í hvert sinn sem notandi gefur greiðsluuyrirmæli um rafræna greiðslu. Með reglum um sterka sannvottun er stefnt að því að auka öryggi rafrænna greiðslna og tryggja vernd notenda greiðsluþjónustu.

Þegar stuðst er við SMS-skilaboð við framkvæmd sannvottunar, þannig að notanda greiðsluþjónustu eru send SMS-skilaboð, er um að ræða þátt sem telst til umráðaþáttar sterkrar sannvottunar. Byggir sú ályktun á því, að notandinn einn hefur umráð yfir því símtæki sem móttekur umrædd skilaboð. Framangreint kemur einnig fram í áliti Evrópsku bankaeftirlitsstofnunarinnar (EBA) frá 21. júní 2019 (Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2). Meðal þess sem kemur fram í 43. tölulið álitsins er að það uppfylli ekki kröfu um sterka sannvottun að styðjast við upplýsingar sem eru á greiðslukorti að viðbættu öryggisnúmeri sem er sent með SMS-skilaboðum. Við túlkun á grþl. þarf að horfa til þess að lögin byggja á samræmdu evrópsku regluverki og líta þarf til ákvæða þeirrar tilskipunar sem innleidd var með ákvæðum laganna, sbr. 3. gr. laga nr. 2/1993 um Evrópska efnahagssvæðið. Jafnframt þarf að líta til álita og leiðbeininga m.a. EBA, sem hefur það hlutverk að samræma túlkun og beitingu reglna innan Evrópu, við túlkun á lagaákvæðum sem byggja á því regluverki.

Vert er að benda á að umfjöllun í greinargerð með frumvarpi því sem varð að grþl., samræmist hvorki skilgreiningu hugtaksins sterk sannvottun skv. 40. tölul. 3. gr. grþl., né framangreindu áliti EBA, þar sem kortaupplýsingar og skilaboð send í síma, eru hvort tveggja dæmi um umráð notanda en umfjöllunin um 101. gr. frumvarpsins (101. gr. grþl.) er eftirfarandi: „Án sterkrar sannvottunar væri hægt að framkvæma greiðslu með greiðslukorti með því að styðjast einfaldlega við upplýsingar sem eru á greiðslukortinu sjálfu. Með sterkri sannvottun væri hins vegar t.d. krafist samþykkis með SMS-skilaboðum.“ 

SMS-skilaboð falla samkvæmt öllu framansögðu undir umráðaþátt sterkrar sannvottunar.

Dagsetning: 21. mars 2025