Rapportering enligt andra betaltjänstdirektivet (PSD 2)

Från och med den 1 maj 2018 gäller nya regler om rapporteringskrav för betaltjänstleverantörer. De nya kraven omfattar samtliga kategorier av betaltjänstleverantörer. Det innebär att kraven gäller för kreditinstitut, betalningsinstitut, registrerade betaltjänstleverantörer, institut för elektroniska pengar och registrerade utgivare av elektroniska pengar.

Kravet på rapportering av statistiska uppgifter om svikliga förfaranden gäller även för utländska betaltjänstleverantörer med filial i Sverige.


Under respektive rapporteringsflik nedan presenteras de nya rapporteringskraven.

Översikt över rapporteringsvägar för viss händelsestyrd och periodisk rapportering under det andra betaltjänstdirektivet (PSD 2)

Översikten visar FIs syn på kraven för viss händelsestyrd och periodisk rapportering som anges i PSD 2, lagen om betaltjänster (2010:751) och i tillämpliga riktlinjer från Europeiska Bankmyndigheten (EBA). Det kan noteras att Finland och även flera av de Baltiska staterna har lagstiftning som medför avsteg från de redovisade rapporteringsvägarna. Översikten ska inte betraktas som ett regeldokument utan utgör endast vägledning.

Rapportering av allvarlig operativ incident eller säkerhetsincident
Lagstiftning: 5b kap. 3 § lagen (2010:751) om betaltjänster
PSD 2: Artikel 96(1)
Tillämpliga riktlinjer: EBA/GL/2017/10
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Sin huvudman som vidarebefordrar rapporten
till tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet 
i värdmedlemsstat

 


Årlig rapportering av operativa risker och säkerhetsrisker som är förknippade med leverantörens betaltjänstverksamhet
Lagstiftning: 5 b kap. 2 § första stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 95(2)
Tillämpliga riktlinjer: EBA/GL/2017/17
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Sin huvudman som vidarebefordrar rapporten till tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i hemmedlemsstat

 


Statistiska uppgifter om svikliga förfaranden
Lagstiftning: 5 b kap. 2 § andra stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 96(6)
Tillämpliga riktlinjer: EBA/GL/2018/05
Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör
i värdmedlemsstat (direktöverskridande verksamhet)
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs filial
i värdmedlemsstat
Tillsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i hemmedlemsstat

 


Underrättelse om underlåtelse att återställa konto vid misstanke om att transaktionen är behörig
Lagstiftning: 5 a kap. 1 § andra stycket lagen (2010:751) om betaltjänster
PSD 2: Artikel 73
Tillämpliga riktlinjer: Saknas

Rapporteringsskyldig Rapporterar till
Betaltjänstleverantör
i hemmedlemsstat
Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantörs dotterbolag i hemmedlemsstat Tillsynsmyndighet
i hemmedlemsstat
Betaltjänstleverantör i värdmedlemsstat (direktöverskridande verksamhet) Tllsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs filial i värdmedlemsstat Tillsynsmyndighet
i värdmedlemsstat
Betaltjänstleverantörs dotterbolag i värdmedlemsstat Tillsynsmyndighet
i värdmedlemsstat

 

Allvarliga operativa incidenter och säkerhetsincidenter

Betaltjänstleverantörer ska rapportera allvarliga operativa incidenter och säkerhetsincidenter till FI. Leverantören ska då använda blanketter som finns på sidan Blanketter under rubriken Betaltjänster/Andra betaltjänstdirektivet (PSD 2).

Uppgifterna ska lämnas enligt blankettens avsnitt A–C enligt nedan.

A. Inledande rapport – Lämnas inom fyra timmar efter det att incidenten upptäckts (avsnitt A – Inledande rapport),

B. Mellanliggande rapport – Lämnas när det finns uppdaterad information och senast inom tre dagar från det att den inledande rapporten lämnades in (avsnitt B – Mellanliggande rapport), och

C. Slutrapport – Lämnas senast två veckor efter det att verksamheten fungerar normalt igen (avsnitt C – Slutrapport).

Europeiska bankmyndigheten (EBA) har utfärdat riktlinjer (EBA/GL/2017/10) för rapportering vid allvarliga incidenter enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2). Riktlinjerna innehåller bland annat information om hur man bör bedöma om en operativ incident eller säkerhetsincident ska anses allvarlig.

Läs mer

EBA:s riktlinjer för rapportering vid allvarliga incidenter (EBA/GL/2017/10)

FI tillämpar riktlinjer om för rapportering vid allvarliga incidenter

Operativa risker, säkerhetsrisker och åtgärder

En betaltjänstleverantör ska från och med den 21 februari 2019 årligen komma in till Finansinspektionen med en rapport som innehåller en aktuell och övergripande bedömning av de operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som leverantören tillhandahåller, och en beskrivning av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker. Rapporten ska även innehålla en bedömning av lämpligheten av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker.

Finansinspektionen har inte publicerat någon särskild mall för denna rapport. Vägledning för hur rapporteringen kan utformas finns i de dokumentationskrav som framgår i Finansinspektionens föreskrifter FFFS 2018:4 om verksamhet för betaltjänstleverantörer samt i beslutspromemorian "Nya föreskrifter och allmänna råd för betaltjänstleverantörer" (Dnr 15-10584).

Europeiska bankmyndigheten, EBA, har utfärdat riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster enligt det andra betaltjänstdirektivet (EU) 2015/2366 (PSD2).

Läs mer

EBA:s riktlinjer (EBA/GL/2017/17) om säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

FI tillämpar EU-riktlinjer för säkerhetsåtgärder för operativa risker och säkerhetsrisker för betaltjänster

Mappning av hur kraven i FFFS 2018:4 förhåller sig till FFFS 2014:1, 2014:4 och 2014:5

Rapportering av statistiska uppgifter om svikliga förfaranden

En betaltjänstleverantör är skyldig att från och med den 21 augusti 2019 lämna statistiska uppgifter till Finansinspektionen om svikliga förfaranden som har ägt rum i samband med användningen av betaltjänster under det föregående halvåret. Uppgifterna ska därefter ha kommit in till myndigheten senast den 21 februari respektive senast den 21 augusti.

Registrerade betaltjänstleverantörer och registrerade utgivare av elektroniska pengar ska endast lämna statistiska uppgifter om svikliga förfaranden en gång per år, senast den 21 februari.

  • Första rapporteringstillfället för betaltjänstleverantörer är senast den 21 augusti 2019.
  • Första rapporteringstillfället för registrerade betaltjänstleverantörer och registrerade utgivare är senast den 21 februari 2020.

Mallen som ska följas för inrapportering finns bifogad nedan. Mallen är en Excelfil med samma data och funktioner som senare kommer finnas i  inrapporteringsverktyget.

Inrapporteringsverktyget kommer inte att vara tillgängligt till rapporteringstillfället den 21 augusti 2019 utan kommer finnas från och med nästa år. För det första inrapporteringstillfället den 21 augusti 2019 så ska mallen användas som inrapporteringsmetod.

Mallen innehåller även anvisningar för hur den ska fyllas i och vilken data som ska samlas in till första deadline den 21 augusti 2019.

Rapporteringskravet gäller från och med den 1 Juli 2019.

Rapportera genom att mejla den ifyllda mallen krypterat till finansinspektionen@fi.se. Ange Dnr: 19-11955.

Så mejlar du krypterat

Mall: Rapportering av statistiska uppgifter om svikliga förfaranden enligt artikel 96.6 i det andra betaltjänstdirektivet
(Uppdaterad version, justerad 2019-08-19)

Underrättelse från en betaltjänstleverantör som inte återställer konto

Om det har genomförts en obehörig transaktion från en kontohavares konto, ska betaltjänstleverantör som regel återställa kontot till den ställning det skulle ha haft om transaktionen inte hade genomförts omedelbart. En betaltjänstleverantör som har anledning att misstänka att transaktionen är behörig har rätt till skälig tid för att undersöka saken. Betaltjänstleveratören ska skriftligen underrätta FI om anledningen till att ett konto inte återställs omedelbart eller senast i slutet av den bankdag som inträffar efter det att betaltjänstleverantörer har fått kännedom om transaktionen.

  • Kravet gäller från och med den 1 maj 2018.
  • Underrättelsen bör lämnas genom krypterad mejl. Så mejlar du krypterat.
  • Mejla din underrättelse via denna länk
    (Om du inte kan använda länken, mejla till finansinspektionen@fi.se, ange dnr: 19-91, rapporterande betaltjänstleverantör, rapporteringsdatum, transaktionsdatum, ärendenummer hos betaltjänstleverantören, betalmedel, belopp, skäl till att kontot inte återställts, kontaktperson för rapporterande betaltjänstleverantör.)
Leverantör av betalningsinitieringstjänst eller kontoinformationstjänst ges inte åtkomst till konto

En betaltjänstleverantör som förvaltar ett betalkonto får som huvudregel inte vägra en leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst åtkomst till ett konto. Bara om det finns objektiva skäl som är tillräckligt underbyggda får en tredjepartsleverantör nekas tillgång. Om det sker ska betaltjänstleverantören som förvaltar kontot omedelbart underrätta Finansinspektionen om detta. Betaltjänstleverantören ska ange skälen bakom vägran i underrättelsen.

Betaltjänstleverantör får inte tillgång till betalkontotjänst (bara kreditinstitut)

Ett kreditinstitut ska ge betaltjänstleverantörer som begär det tillgång till kreditinstitutets betalkontotjänster, på objektiva icke-diskriminerande och objektiva grunder. Tillgång ska ges i den omfattning som krävs för att betaltjänstleverantörer ska kunna tillhandahålla sina betaltjänster obehindrat och effektivt. Om ett kreditinstitut nekar en betaltjänstleverantör tillgång till institutets betalkontotjänster, ska institutet meddela Finansinspektionen och ange skälen för detta.

Uppgifter om lägsta avgift för de mest representativa tjänsterna knutna till ett betalkonto

En betaltjänstleverantör som tillhandahåller betalkonton med grundläggande funktioner (enligt 4 a kap. 2 § lagen (2010:751) om betaltjänster), ska från och med den 31 oktober 2018 lämna uppgifter till FI om den lägsta avgift som leverantören erbjuder alla konsumenter för de tjänster som framgår av den förteckning över de mest representativa tjänsterna knutna till betalkonton i Sverige som FI publicerar.

Rapporteringskravet gäller från den 31 oktober 2018.
Uppgifterna ska lämnas löpande via FI:s webbtjänst för löpande rapportering på det sätt som anvisas där.

Uppgifterna ska lämnas till FI senast samma bankdag som avgiften börjar tillämpas av betaltjänstleverantören.

 

Förteckning över de mest representativa tjänsterna knutna till betalkonton

Rapportering av problem med särskilda gränssnitt

Kontoförvaltande betaltjänstleverantör samt leverantör av en betalningsinitieringstjänst eller en kontoinformationstjänst ska utan onödigt dröjsmål rapportera problem med särskilda gränssnitt till Finansinspektionen. Detta gäller då gränssnittens funktion inte uppfyller kraven i artikel 32, om gränssnittet utsätts för ett oplanerat driftstopp eller om det inträffar en systemkollaps. Ett oplanerat driftstopp eller en systemkollaps kan antas ha inträffat när fem på varandra följande begäranden om tillgång till information i syfte att tillhandahålla en betalningsinitieringstjänst eller kontoinformationstjänst inte besvaras inom 30 sekunder.

Senast granskad: 2018-10-19
Laddar sidan