Bekendtgørelse af lov om betalinger § 84

Den foreslåede bestemmelse i § 84 fastsætter en række krav til en udbyder af betalingsinitieringstjenester i forhold til brugeren af betalingsinitieringstjenesten og den kontoførende udbyder.

Bestemmelsen er ny og gennemfører artikel 66, stk. 2, og stk. 3, litra a, b, d og h, i 2. betalingstjenestedirektiv.

Det foreslås i stk. 1, at en udbyder af betalingsinitieringstjenester skal indhente brugerens udtrykkelige samtykke i overensstemmelse med § 82, før udbyderen kan iværksætte en betaling.

I henhold til lovforslagets § 82, kan en betalingstransaktion kun anses som autoriseret, hvis betaler har meddelt sit samtykke til gennemførelsen heraf. I forslaget til stk. 1anvendes betegnelsen udtrykkeligt samtykke, hvilket betyder, at der ikke kan indhentes et stiltiende eller indirekte samtykke. Bevisbyrden for, at der er indhentet et udtrykkeligt samtykke påhviler udbyderen af betalingsinitieringstjenesten.

Det udtrykkelige samtykke skal indhentes af udbyderen af betalingsinitieringstjenesten forud for iværksættelsen af betalingstransaktionen. Det kan i den sammenhæng være nødvendigt at videreformidle samtykket til den kontoførende udbyder, således at denne er forvisset om, at brugeren har givet sit samtykke. Ifølge artikel 98 i 2. betalingstjenestedirektiv skal EBA udarbejde reguleringsmæssige tekniske standarder om kommunikationen mellem kontoførende udbydere og udbydere af betalingsinitieringstjenester. Hvorvidt samtykket skal videreformidles, samt hvordan, vil afhænge af disses udformning.

Overtrædelse af forslagets § 84, stk. 1, vil omfatte den situation, hvor den udbyderen af betalingsinitieringstjenester ikke indhenter udtrykkeligt samtykke fra brugeren for betalingen iværksættes. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 84, stk. 1.

Det foreslås i stk. 2, nr. 1, at udbyderen af betalingsinitieringstjenester i forbindelse med udførelsen af betalingsinitieringstjenesten skal sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres gennem sikre og velfungerende kanaler, og at de ikke er tilgængelige for andre parter med undtagelse af brugeren og udstederen af de personaliserede sikkerhedsforanstaltninger, jf. de regler, der udstedes af Kommissionen i medfør af artikel 98, i Europa-Parlamentets og Rådets direktiv nr. 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

Ved personaliserede sikkerhedsforanstaltninger forstås i overensstemmelse af lovforslaget § 7, nr. 31, personaliserede elementer, som en udbyder stiller til rådighed for brugeren med henblik på at foretage autentifikation. Til brug for autentifikation anvender en bruger således et eller flere elementer, der tilsammen verificerer brugerens identitet eller ret til at benytte en betalingstjeneste over for udbyderen. De personaliserede sikkerhedsforanstaltninger kan eksempelvis omfatte et brugernavn, kodeord eller PIN-kode. Udbyderen af betalingsinitieringstjenester skal således sikre, at disse elementer ikke er tilgængelig for andre end brugeren selv eller den udbyder, som har udstedt de personaliserede elementer. Det bemærkes, at hvor de personaliserede sikkerhedsforanstaltninger anvendes til at foretage stærk kundeautentifikation, jf. lovforslagets § 7, nr. 30, må udstederen af de personaliserede sikkerhedsforanstaltninger heller ikke have adgang til elementerne, eftersom disse er karakteriseret ved at være noget, som kun brugeren ved, er eller har. Der henvises i øvrigt til bemærkningerne til lovforslagets §§ 127 og 128.

Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til fælles og sikre åbne standarder for kommunikationen mellem kontoførende udbydere, udbydere af betalingsinitieringstjenester, udbydere af kontooplysningstjenester, betalere, betalingsmodtagere og andre udbydere med henblik på identifikation, autentifikation, underretning og udveksling af oplysninger samt iværksættelse af sikkerhedsforanstaltninger. Den foreslåede bestemmelse i stk. 2, nr. 1, skal læses i overensstemmelse hermed.

Det foreslås i stk. 2, nr. 2, at udbyderen af betalingsinitieringstjenesterne skal identificere sig over for brugerens kontoførende udbyder, hver gang en betaling iværksættes, jf. de regler, der udstedes af Kommissionen i medfør af artikel 98, i Europa-Parlamentets og Rådets direktiv nr. 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

Når en bruger i dag foretager en betaling via en fjernkanal, eksempelvis via netbank, autentificerer brugeren sig over for den kontoførende udbyder, således at udbyderen kan verificerer brugerens identitet eller brugerens ret til at anvende den givne betalingstjeneste. Med introduktionen af udbydere af betalingsinitieringstjenester indføres der et nyt led mellem brugeren og dennes kontoførende udbyder. Det kontoførende udbyder vil derfor opleve, at blive kontaktet af en udbyder af betalingsinitieringstjenester i stedet for brugeren selv. For at imødegå risiciene for øget svig og misbrug som følge af personer, der uretmæssigt udgiver sig for at være udbydere af betalingsinitieringstjenester med henblik på at opnå adgang til en brugers konti, er det essentielt, at udbyderen af betalingsinitieringstjenester altid identificerer sig over for den kontoførende udbyder, så denne kan sikre sig, at udbyderen af betalingsinitieringstjenester har den nødvendige tilladelse. En sådan identifikation kan eksempelvis foregå via udveksling af certifikater udstedt af en kvalificeret tillidstjeneste, som defineret i Europa-Parlamentets og Rådet forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked. Dette skal i øvrigt ske i overensstemmelse med reglerne udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv.

Det foreslås i stk. 2, nr. 3, at udbyderen af betalingsinitieringstjenester skal kommunikere med den kontoførende udbyder, brugeren og betalingsmodtageren på en sikker måde i overensstemmelse med de regler, der udstedes af Kommissionen i medfør af artikel 98, i Europa-Parlamentets og Rådets direktiv nr. 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

Formålet med bestemmelsen er at sikre, at al kommunikation mellem udbyderen af betalingsinitieringstjenester, den kontoførende udbyder, brugeren af betalingsinitieringstjenesten og betalingsmodtageren med henblik på identifikation, autentifikation, underretning og udveksling af oplysninger samt iværksættelse af sikkerhedsforanstaltninger foregår på en sikker måde, i overensstemmelse med reglerne udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv. Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til fælles og sikre åbne standarder for kommunikation mellem kontoførende udbydere, udbydere af betalingsinitieringstjenester, udbydere af kontooplysningstjenester, betalere, betalingsmodtagere og andre udbydere med henblik på identifikation, autentifikation, underretning og udveksling af oplysninger samt iværksættelse af sikkerhedsforanstaltninger. Den foreslåede bestemmelse i nr. 3, skal læses i overensstemmelse hermed.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 84, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 84, stk. 2, vil omfatte den situation, hvor den udbyderen af betalingsinitieringstjenester undlader at 1) sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres gennem sikre og velfungerende kanaler, og at de ikke er tilgængelige for andre parter med undtagelse af brugeren og udstederen af de personaliserede sikkerhedsforanstaltninger, jf. reglerne udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv., 2) identificere sig over for brugerens kontoførende udbyder, hver gang en betaling iværksættes, jf. reglerne udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv, og 3) kommunikere med den kontoførende udbyder, brugeren og betalingsmodtageren på en sikker måde i overensstemmelse reglerne udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv. . Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 84, stk. 2.

Det foreslås i stk. 3, at udbyderen af betalingsinitieringstjenester ikke må være i besiddelse af betalers midler i forbindelse med levering af betalingsinitieringstjenesten og ikke må ændre i det beløb, der ønskes overført, i betalingsmodtageren eller i andre elementer af en betalingstransaktion.

Formålet med bestemmelsen er at undgå, at der opstår en risiko for misbrug eller tab af brugerens midler, da der eksempelvis ikke stilles krav til sikring af brugermidler for en udbyder af betalingsinitieringstjenester, jf. bilag 1, nr. 7. Kommer en udbyder af betalingsinitieringstjenester på noget tidspunkt i besiddelse af brugerens midler, vil udbyderen skulle have en fuld tilladelse til at udbyde betalingstjenester, jf. bilag 1, nr. 1-6, jf. lovforslagets §§ 8 eller 9. Der henvises i øvrigt til bemærkningerne til lovforslagets § 7, nr. 20, om definitionen betalingsinitieringstjenester.

Udbyderen af betalingsinitieringstjenester får fuldmagt fra brugeren til at gennemføre en konkret betalingstransaktion, og udbyderen må derfor kun gennemføre denne betalingstransaktion uden ændringer. Sker der eksempelvis en fejl i forbindelse med betalingsordren, kan udbyderen af betalingsinitieringstjenesten ikke foretage ændringer i betalingsordren. Der skal derimod initieres en helt ny betaling af brugeren. Bestemmelsen skal forstås i sammenhæng med lovforslagets regler om en udbyders ansvar for korrekt gennemførelse af en betalingstransaktion, jf. §§ 104-106, hvoraf fremgår, at udbyderen har et objektivt ansvar for korrekt udførelse af en betalingsordre i overensstemmelse med de af brugeren anviste oplysninger.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 84, stk. 3, straffes med bøde.

Overtrædelse af forslagets § 84, stk. 3, vil omfatte den situation, hvor den udbyderen af betalingsinitieringstjenester er i besiddelse af betalers midler, ændre i beløbet, der ønskes overført, i betalingsmodtager eller andre elementer i betalingstransaktionen. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 84, stk. 3.