PSD3 tulee: Vaikutukset maksupalveluntarjoajiin petosten torjunnan näkökulmasta

EU:n sähköisten maksujen markkinat ovat kasvaneet merkittävästi viime vuosina. Vuoden 2018 toisen maksupalveludirektiivin (PSD2) voimaantulon jälkeen sähköisten maksujen määrä on kasvanut huomattavasti, ja rahoituspalvelujen digitalisoituminen on edennyt nopeasti. Euroopan komissio vastasi kehitykseen esittämällä 28.6.2023 ehdotukset kolmannesta maksupalveludirektiivistä (PSD3) ja uudeksi maksupalveluasetukseksi (PSR), joiden tavoitteena on vahvistaa entisestään aiempien maksupalveludirektiivien luomaa perustaa. Suurin osa PSD2:sta sisältyy jatkossa maksupalveluasetukseen, mikä edesauttaa sääntelyn yhdenmukaisuutta eri jäsenmaissa.

Maksupalvelujen käyttäjät, erityisesti kuluttajat, kauppiaat ja pk-yritykset, ovat edelleen alttiita petosriskeille, vaikka PSD2 toi mukanaan vahvan asiakastunnistuksen (SCA eli Strong Customer Authentication) ja pankeille edellytyksen suorittaa lisätarkastuksia kuluttajien maksutapahtumien varmennukseksi. Finanssiala ry:n mukaan vuonna 2023 suomalaiset pankit onnistuivat estämään yli 30 miljoonan euron varainsiirrot huijareille, mikä on yli kaksinkertainen määrä verrattuna edelliseen vuoteen. Myös petosten uhrien menettämät summat kasvoivat merkittävästi. Vuonna 2023 suomalaiset menettivät verkkorikollisille yli 40 miljoonaa euroa.

PSD3:n ja PSR:n avulla Euroopan komissio pyrkii nykyaikaistamaan maksupalveluja, parantamaan kuluttajansuojaa, vahvistamaan luottamusta ja turvallisuutta uusien uhkien edessä sekä lisäämään kilpailua sähköisten maksujen alalla. Alla esittelemme yksityiskohtaisemmin, mitä komission päivitetyt tavoitteet petosriskien vähentämiseksi tarkoittavat maksupalveluntarjoajille käytännössä.

1. Maksunsaajan tilin vahvistaminen

Maksupetosten torjumiseksi ja turvallisuuden parantamiseksi uusi sääntely edellyttää maksunsaajan tilin vahvistamista jokaisessa Euroopan talousalueella tehdyssä SEPA-maksussa. Tämä lisää maksutapahtuman turvallisuutta ja auttaa estämään sekä virheellisiä siirtoja että mahdollisia väärinkäytöksiä. Jatkossa on tarkistettava, että maksunsaajan IBAN-numero ja tilinimi vastaavat toisiaan.

2. Maksutapahtumien seurannan tehostaminen

Kuluttajansuojan parantamiseksi PSD3 ja PSR edellyttävät maksupalveluntarjoajia tehostamaan maksutapahtumien seurantatoimenpiteitä. Jatkossa maksupalveluntarjoajilla on oltava käytössään tapahtumien valvontamekanismit, jotka parantavat petollisten tapahtumien ennaltaehkäisyä ja havaitsemista sekä varmistavat vahvan asiakastunnistuksen (SCA) soveltamisen. Mekanismin on perustuttava maksutapahtumien analyysiin, jossa otetaan huomioon maksupalvelun käyttäjän tyypilliset piirteet henkilökohtaisen turvatunnusten tavanomaisessa käytössä. Esimerkkejä huomioon otettavista tekijöistä ovat maksupalvelun käyttäjän sijainti, maksutapahtuman ajankohta, käytetty laite, käyttäjän kulutustottumukset ja (verkko)kauppa, jossa ostos tehdään.

3. Kuluttajan laajempi palautusoikeus

Kuluttajilla on tulevaisuudessa laajemmat palautusoikeudet ja maksupalveluntarjoajia velvoitetaan ottamaan enemmän vastuuta kuluttajien kohtaamista maksupetoksista. Uuden sääntelyn myötä kuluttajilla on mahdollisuus vaatia petoksen kohteeksi joutuneita varojaan takaisin. Esimerkiksi tilanteissa, joissa petollinen toimija on esiintynyt kuluttajan pankin työntekijänä ja huijannut kuluttajaa taloudellista vahinkoa aiheuttaviin toimenpiteisiin, kuluttajat voivat käyttää palautusoikeutta vaatiakseen rahojensa palauttamista. Maksupalveluntarjoaja ei ole kuitenkaan vastuussa, jos kuluttaja on toiminut törkeän huolimattomasti tai vilpillisesti, mutta todistustaakka tällaisesta kuluttajan toiminnasta on silti maksupalveluntarjoajalla.

4. Tiedon lisääminen maksupetosten torjunnasta

Maksupalvelujen nykyaikaistaminen velvoittaa maksupalveluntarjoajia myös edistämään tietoisuuden lisäämistä petosrikollisuudesta ja maksupetosten torjunnasta. Maksupalveluntarjoajien tulisi jatkossa kouluttaa omaa henkilökuntaansa entistä laajemmin, sekä tarjota koulutusta ja opastusta myös asiakkailleen. Asiakkaille on annettava selkeät ohjeet siitä, miten he voivat tunnistaa petosyritykset ja miten he voivat välttää joutumasta heihin kohdistuvien petosten uhreiksi.

5. Henkilötietojen yhteiskäytön turvaaminen

Maksutapahtumien seurannan osalta otetaan käyttöön uusia säännöksiä, joiden nojalla maksupalveluntarjoajat voivat vaihtaa käyttäjiensä henkilötietoja, kuten maksunsaajan yksilöllisiä tunnuksia. Ottaen huomioon mahdollisesti vaihdettavien tietojen arkaluonteisuuden, maksupalveluntarjoajan on suoritettava tietosuoja-asetuksen mukainen tietosuojaa koskeva vaikutustenarviointi ennen tietojen yhteiskäyttöjärjestelyjen tekemistä ja tarvittaessa kuultava asianomaista valvontaviranomaista. Tietojen jakaminen maksupalveluntarjoajien välillä auttaa muun muassa tunnistamaan ja reagoimaan uuden tyyppisiin petoksiin nopeammin.

Aikataulu

Kolmannen maksupalveludirektiivin (PSD3) ja uuden maksupalveluasetuksen (PSR) valmistelu on vielä kesken. PSD3:n soveltaminen edellyttää sen saattamista osaksi EU:n jäsenvaltioiden kansallista lainsäädäntöä, kun taas PSR:n kohdalla se tullaan soveltamaan jäsenvaltioissa sellaisenaan.

Maksupalveluntarjoajien varhainen valmistautuminen ja strateginen suunnittelu ovat ratkaisevan tärkeitä menestyksekkäälle sopeutumiselle tuleviin sääntelymuutoksiin, vaikka kansallinen täytäntöönpano on vielä auki, eikä uuden sääntelyn odoteta tulevan voimaan ennen vuotta 2026.

Ota yhteyttä, jos tarvitset juridista tukea uuden maksupalveludirektiivin edellyttämiin toimiin tai muihin finanssialan sääntelyyn liittyviin kysymyksiin yrityksessäsi.