Finansdepartementet

Utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv -

høringsuttalelse

1. Innledning Det vises til høringsnotat om regler tilsvarende EUs reviderte betalingstjenestedirektiv med svarfrist 18.08.17. Dette høringssvaret er utarbeidet med bistand fra finansnæringens infrastrukturselskap Bits AS.

De konkrete innspill til enkeltbestemmelsene i ny forskrift om betalingstjenester gis i vedlegg til dette brevet. Alle artikler det vises til både i brevet og i vedlegget er til bestemmelser i det reviderte betalingstjenestedirektivet (heretter PSD 2).

2. Hovedsynspunkter

• Det er prinsipielt uheldig at det ikke er utarbeidet et felles høringsnotat om implementering av både virksomhetsreglene og de kontraktsrettslige reglene i PSD 2.

• Implementering i Norge bør basere seg på at direktivet er innlemmet i EØS-avtalen, og slik implementering bør skje snarlig. Finans Norge vil understreke viktigheten av like konkurransevilkår mellom foretak i Norge og mellom foretak i Norge og i EU.

• Den tekniske standarden om sterk kundeautentisering og felles og sikker kommunikasjon (heretter RTS on SCA)1 mv. må tre i kraft samtidig i Norge og EU. Norske myndigheter må gi finansforetakene veiledning om hvilke krav som gjelder i overgangsperioden mellom ikraftsettelsen av PSD 2 og ikraftsettelsen av utfyllende regelverk, særlig RTS on SCA.

• Finans Norge mener det er behov for en avklaring av reglene i PSD 2 sett i sammenheng med reglene om taushetsplikt i finansforetaksloven § 16-2.

1 Regulatory Technical Standards on strong customer authentication and common and secure communication under PSD 2

Sendes elektronisk

Dato: 17.08.2017

Vår ref.: 17-716

Deres ref.: 13/3541 FMA IHE

Side 2 av 19

• Finans Norge støtter i sin helhet forslaget om og begrunnelsen for at betalingsforetak inntas som foretak som Finanstilsynet fører tilsyn med etter forskrift om finanstilsyn i EØS § 1.

• Vi ber om at det foretas en gjennomgang av bestemmelsene som bygger på direktivbestemmelser med sikte på å gjennomføre dem mer direktivtro, jf. at PSD 2 er et fullharmoniseringsdirektiv.

• Begrepet «betalingskonto» må tolkes likt i Norge som i Danmark og Sverige.

3. Generelle merknader 3.1 Innledende synspunkter

Finans Norge vil understreke viktigheten av at PSD 2 blir korrekt implementert i norsk rett.

EUs reviderte betalingstjenestedirektiv er et viktig direktiv for norsk finansnæring. Det er en grunnleggende forutsetning for virksomhetsutøvelsen på betalingsområdet fremover at næringen er en del av det europeiske indre marked gjennom EØS-avtalen. Harmoniserte regler og like konkurransevilkår for alle aktører som opererer på finansmarkedet, både mellom foretak i Norge og mellom foretak i Norge og EU er et viktig premiss når det åpnes for tredjepartstilbyderes tilgang i markedet for betalingstjenester. Nytt regelverk vil medføre ressurskrevende oppgaver for relevante tilsynsmyndigheter, og Finans Norge mener at det er viktig at disse organene besitter tilstrekkelige ressurser med rett kompetanse.

Formålet med PSD 2 er å bidra til økt konkurranse, sikre innovative, effektive og rimeligere betalingstjenester, og samtidig gi økt sikkerhet for brukerne av betalingstjenester. Dette er viktige og sentrale hensyn. Selv om PSD 2 utfordrer den tradisjonelle bankvirksomheten, ser Finans Norge samtidig at finansforetak også vil kunne få muligheter til å tilby nye tjenester. I og med at det åpnes for nye betalingstjenestetilbydere er det viktig at disse blir regulert og kommer under tilsyn innenfor rammen av PSD 2.

Finans Norge mener det er prinsipielt uheldig at det ikke er utarbeidet ett felles høringsnotat som både inneholder virksomhetsreglene og kontraktsrettslige reglene knyttet til implementeringen av PSD 2. Som et minimum burde de to høringsnotatene fra hhv. Finansdepartementet og Justisdepartementet blitt sendt på høring samtidig. Det er utfordrende å gi kommentarer til - og umulig å se sammenhengen mellom reglene - når kun deler av forslagene er kjent. Finans Norge viser til dialog med Finansdepartementet om gjennomføringen av høringen og tar forbehold om at det kan bli nødvendig med tilleggskommentarer til denne høringen når Justisdepartementets forslag foreligger.

Finans Norge har forståelse for at det er vanskelig å implementere nivå 2-regler som fremdeles ikke er ferdigstilt i EU, herunder RTS on SCA og retningslinjen om hendelsesrapportering2. Finans Norge mener det er hensiktsmessig at de sentrale nivå 2-

2 Guidelines on major incidents reporting under PSD 2

Side 3 av 19

reglene, inkludert RTS on SCA, sendes på ny høringsrunde når de er vedtatt i EU, med den hensikt at næringen kan gi språklige innspill i forbindelse med oversettelsen av reglene.

3.2 Innlemmelse i EØS-avtalen og førtidig implementering i norsk rett

Finans Norge mener på generelt grunnlag at EØS-relevante rettsakter som fastsettes i EU må innlemmes i EØS-avtalen tidsnok til at rettsakten kan implementeres og tre i kraft på samme tid både i EU og i Norge.

Finans Norge er klar over at dette ikke er mulig hva gjelder implementering av PSD 2. Vi mener like fullt at dette direktivet må innlemmes inn i EØS-avtalen så raskt som mulig, slik at finansforetak i Norge vil kunne konkurrere på like vilkår som finansforetak i EU. Så lenge direktivet ikke er innlemmet i EØS-avtalen, er det en risiko for at EU-land ikke vil gi norske aktører lik behandling som EU-aktører etter 13.01.18. Banker i Norge vil dermed kunne få en konkurranseulempe sammenlignet med EU-aktører.

I høringsnotatet spør Finansdepartementet om direktivet skal gjennomføres førtidig i norsk rett. Med førtidig implementering forstår vi for det første implementering av direktivets regler før direktivet er innlemmet i EØS-avtalen, og for det andre implementering av nivå 2-regler (tekniske standarder/retningslinjer ol.) før tilsvarende regler er gjeldende i EU.

Vi legger til grunn at førtidig implementering av PSD 2 vil gi størst forutsigbarhet for foretak etablert i Norge og utenlandske virksomheters grenseoverskridende virksomhet inn i det norske markedet, og støtter derfor førtidig implementering av direktivet. Førtidig implementering i Norge kan likevel, som også nevnt over, skape usikkerhet og derigjennom utgjøre en konkurranseulempe for foretak med grenseoverskridende virksomhet fra Norge og inn i andre EØS-land. Dersom myndighetene beslutter førtidig implementering av PSD 2, forutsetter vi at norske myndigheter legger stor vekt på å få dette direktivet raskt innlemmet i EØS-avtalen.

Hva gjelder nivå 2-reglene (tekniske standarder/retningslinjer osv.), så vil vi understreke viktigheten av at de tekniske standardene og retningslinjene fra EBA, og særlig RTS on SCA, må settes i kraft i Norge samtidig som i EU, og i hvert fall ikke tidligere. Dersom kravene i RTS on SCA skal gjelde i Norge før EU kan dette skape en praktisk vanskelig situasjon for norske finansforetak, bl.a. vil ikke kontotilbyder kunne verifisere online om betalings- og opplysningsfullmektig er autorisert. I og med at arbeidet med RTS on SCA trekker ut i EU, mener vi at det må være gjennomførbart for norske myndigheter å få til en samtidig ikrafttredelse av nivå 2-reglene i Norge som i EU.

3.3 Ulikt ikrafttredelsestidspunkt for virksomhetsreglene og den kontraktsrettslige reguleringen

I høringsbrevet viser Finansdepartementet til at det kan være ulike hensyn som – dersom de gjør seg gjeldende – kan tale for at markeds – og virksomhetsreguleringen som er omhandlet i høringsnotatet og den kontraktsrettslige reguleringen i finansavtaleloven settes i kraft til

Side 4 av 19

ulik tid. Finans Norge har forståelse for at Finanstilsynet kan anse det hensiktsmessig å få avklart konsesjonsrettslige forhold knyttet til «nye» aktører på et så tidlig tidspunkt som mulig. Samtidig vil en slik «klargjøring» kunne resultere i at tredjepartsaktører vil kreve tilgang til kundekontoer i bankene under henvisning til at PSD 2 er implementert, til tross for at den kontraktsrettslige delen ikke er implementert i norsk rett. Dersom de kontraktsrettslige reglene ikke har trådt i kraft, kan det oppstå en rekke tvilsspørsmål, eksempelvis hvilke kontoer tredjepartstilbyderne skal ha tilgang til samt ansvarsfordelingen mellom kontotilbyder og tredjepartstilbyder. Finans Norge mener følgelig at den kontraktsrettslige reguleringen - og virksomhetsreguleringen må tre i kraft samtidig.

Før ikrafttredelsen av PSD 2 i norsk rett legger Finans Norge til grunn at den enkelte tredjepartstilbyders tilgang må basere seg på enighet med den enkelte kontotilbyder, jf. høringsnotatet side 58.

3.4 Behov for veiledning i overgangsperiode mellom implementeringen av hhv. PSD 2 og RTS on SCA

Overgangsperioden mellom ikrafttredelsen av PSD 2 (13. januar 2018 i EU) og RTS on SCA gir en rettslig usikkerhet ettersom kravene i medhold av den tekniske standarden ikke vil gjelde før tidligst våren 2019.

Dersom kravene i RTS on SCA blir gjennomført til forskjellig tid i Norge og EU, vil dette gi en ekstra usikkerhet i forhold til hva norske aktører kan kreve av tredjepartstilbydere og tilsvarende hva tredjepartsaktører kan kreve av tilgang hos bankene, uavhengig av om disse er norske eller EU-foretak. Det kan resultere i at enkelte banker åpner opp sine systemer, mens andre ikke vil åpne sine systemer før RTS on SCA er klar.

Finans Norge antar at EU-kommisjonen vil gi veiledning til EU-land om hvilke krav, bl.a. knyttet til sikker samhandling og kommunikasjon med tredjepartstilbydere og autentisering av kunden, som skal gjelde i overgangsperioden. Finans Norge mener finansforetak i Norge må få tilsvarende veiledning fra norske myndigheter, herunder om krav til samhandling og kommunikasjon med tredjepartstilbydere.

Finans Norge forventer at tredjepartstilbydere vil etablere seg i det norske markedet så snart PSD 2 er gjeldende i EU. Så lenge RTS on SCA ikke er trådt i kraft, vil de rent tekniske kravene til sikker kommunikasjon etter PSD 2 artikkel 98 nr. 1 bokstav d) ikke gjelde. Imidlertid vil kontotilbyder like fullt være avhengig av en form for sikker elektronisk kommunikasjon med tredjepartstilbydere - både for å oppfylle kravene i PSD 2 og ikke minst kunne skille mellom trafikk fra autoriserte tredjepartstilbydere og svindelvirksomhet. Finans Norge vil her vise til kravet for tredjepartstilbydere til å identifisere seg («identify itself …. in a secure way») overfor kontotilbyder når de ønsker å gjennomføre en handling etter artikkel 65 nr. 2 bokstav c), artikkel 66 nr. 3 bokstav d) og art. 67 nr. 2 bokstav c). PSD 2 gir ingen nærmere beskrivelse for hvordan tredjepartstilbyder sikkert kan identifisere seg overfor kontotilbyder i overgangsperioden. Finansforetak i Norge etterspør derfor retningslinjer for hvordan

Side 5 av 19

bankene skal kommunisere sikkert med tredjepartstilbydere som har mottatt autorisasjon til å operere i Norge.

I mangel av veiledning knyttet til kommunikasjon med tredjeparter, vil det kunne oppstå spørsmål om diskriminering av tredjeparter, bl.a. dersom tredjepartstilbydere benytter ulike metoder for å identifisere seg.

I forbindelse med sterk autentisering av kunden etter artikkel 97 ønsker banker i Norge veiledning om etterlevelse av kravene for tilfeller der kunden benytter en tredjepartstilbyder i overgangsperioden. Finans Norges mener artikkel 115 nr. 6 må forstås slik at kontotilbyder må kunne stille samme krav til autentisering av kunden gjennom en betalingsfullmektig som den krever fra egen kunde i eget kundegrensesnitt. Dette samsvarer slik vi ser det godt med kravene om tilgang til betalingssystem etter artikkel 35. Med andre ord: oppstiller banken krav om sterk kundeautentisering fra kunden, må tilsvarende krav også gjelde dersom kunden benytter en tredjepartstilbyder til å aksessere konto. Om så ikke er tilfelle, vil det begrense kontotilbyders mulighet til å kunne utøve kontroll på sikkerhetsnivået for egne kunders tilgang og bruk av kontoer.

Det er videre behov for klargjøring av hvilke ansvarsregler for uautoriserte transaksjoner som skal gjelde i overgangsperioden, jf. artikkel 74 nr. 2. Vi er kjent med at veiledning om denne problemstillingen også er etterlyst av finansforetak i EU-land.

Vi viser videre til pkt. 3.8.2 nedenfor hvor vi omtaler forholdet til reglene om taushetsplikt.

3.5 Forskriftsfesting av nivå 2-regler

Basert på forslaget som foreligger antar Finans Norge at de sentrale nivå 2-reglene skal inntas i forskrifts form. Som nevnt innledningsvis mener Finans Norge det er hensiktsmessig med ny høringsrunde for å sikre korrekt oversettelse når de sentrale nivå 2-reglene, inkludert RTS on SCA, er ferdigstilt i EU og skal implementeres i Norge.

Finans Norge antar at EBAs Final guidelines on the security of internet payments samt Finanstilsynets Retningslinjer for sikkerhet i internettbetalinger oppheves når RTS on SCA trer i kraft.

3.6 Direktivtro gjennomføring

PSD 2 er et fullharmoniseringsdirektiv. Ved gjennomgang av forslagene har Finans Norge observert at en del bestemmelser hentet fra PSD 2 er omformulert eller avviker noe fra direktivets ordlyd. Se punkt 3.10 nedenfor samt vedlegget for eksempler på dette.

Selv om enkelte av forskjellene skulle være tilsiktet fra departementets side, er Finans Norge likevel av den oppfatning at forskjellene vil medføre tolkningstvil og ulik praktisering av direktivet i ulike EU/EØS-land. Dette er uheldig både for finansforetak som har virksomheter i flere land, og for tredjepartstilbydere. Vi ber derfor om at det foretas en gjennomgang av

Side 6 av 19

lovbestemmelsene som bygger på direktivbestemmelser med sikte på å gjennomføre bestemmelsene mer direktivtro.

3.7 Nasjonale valgmuligheter

3.7.1 Til pkt. 2.2.3 Nasjonalt valg knyttet til direktivets anvendelsesområde

Finanstilsynet mener at det nasjonale valget i artikkel 2 nr. 5 til å unnta visse foretak fra reglene i PSD2 ikke er relevant for Norge. Finans Norge tar dette synspunktet til etterretning.

3.7.2 Til pkt. 2.3.4.2 Kapital- og soliditetskrav

Finanstilsynet foreslår at prinsippet om at finansforetak skal oppfylle alle soliditetskrav både på solo- og konsolidert nivå. Finans Norge støtter i utgangspunktet Finanstilsynets synspunkt om at dette prinsippet bør videreføres for betalingsforetak. Dette vil bidra til å sikre at lik risiko reguleres likt - for norske foretak/konsern - uansett om det er et selvstendig betalingsforetak eller et datterselskap i et finanskonsern.

Dersom (mange) andre land gjør bruk av den nasjonale valgadgangen til å unnta datterselskaper kapitalkrav på solobasis, kan imidlertid det potensielt gi norske konsern en konkurranseulempe sammenlignet med tilsvarende filialer av utenlandske konsern. Disse to hensynene må veies opp mot hverandre. I forhold til sistnevnte hensyn må man også – for å vurdere om det er et hensyn som må vektlegges – se an utviklingen i andre land. Finans Norge mener derfor at det er en hensiktsmessig løsning at det åpnes opp for at tilsynet kan gi unntak fra krav på solonivå etter nærmere vurdering.

3.7.3 Til pkt. 2.3.7 Begrenset tillatelse som betalingsforetak

Finanstilsynet foreslår å opprettholde regimet der pengeoverføringsaktiviteter er regulert virksomhet og underlagt myndighetstilsyn, slik at reglene om begrenset tillatelse som betalingsforetak videreføres. Finans Norge ser forslaget i sammenheng med høringsnotatet pkt. 2.3.8 Andre endringer i regelverket om begrenset tillatelse som betalingsforetak og støtter forslaget og Finanstilsynets begrunnelse. Vi vil understreke at finansforetakene fortsatt må være i sin fulle rett til å treffe tiltak som er nødvendige for anti-hvitvasking og anti-terrorfinansiering. Spesielt er dette viktig i lys av PSD 2 artikkel 36.

3.7.4 Til pkt. 2.6.4 Tilsyn med agenter, filialer og grensekryssende virksomhet fra andre EØS-stater.

Finanstilsynet foreslår at betalingsforetak inntas som foretak som Finanstilsynet fører tilsyn med etter forskrift om finanstilsyn i EØS § 1. Finans Norge støtter forslaget i sin helhet. Det er viktig med kontroll av og tilsyn med alle foretak som utfører betalingstjenester. Dette har spesielt en side knyttet til etterlevelsen og håndhevelsen av hvitvaskingsregelverket. Slik vi ser det er forslaget egnet til å resultere i likere spilleregler mellom ulike foretak som driver virksomhet i Norge uavhengig av hvilket hjemland foretaket har.

Side 7 av 19

3.7.5 Til pkt. 2.5 Betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument

Det vises i høringsnotatet til at Finanstilsynet innenfor rammen av mandatet fra Finansdepartementet ikke har foretatt en fornyet vurdering av spørsmålet om betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument. Finans Norge noterer seg at spørsmålet ikke har blitt vurdert på nytt, slik at gjeldende rett videreføres. Finans Norge har ingen innvendinger til dette. 3.8 Behov for ytterligere regulering og klargjøring

3.8.1 Innledning

Finans Norge mener det er behov for ytterligere regulering av følgende problemstillinger:

3.8.2 Finansforetakenes taushetsplikt

Finansforetak har taushetsplikt om kunders og andres forretningsmessige og personlige forhold som foretaket mottar under utøvelse av virksomheten, jf. finansforetaksloven § 16-2. Finans Norge mener det må fremgå av finansforetaksloven eller betalingssystemloven at finansforetak er fritatt fra taushetsplikten etter finansforetaksloven når en autorisert tredjepartstilbyder ber om tilgang til kundens konto. Ettersom bankene ikke vil se hvilke handlinger kunden har samtykket til i kommunikasjonen med tredjepartstilbyder, må banken kunne legge til grunn at tredjepartstilbyder har fått et dekkende samtykke fra kunden som oppfyller de rettslige kravene.

Finans Norge forstår det nye regelverket dithen at bankene kan forholde seg til at et slikt samtykke er gitt når kravene til sterk kundeautentisering i artikkel 97 og RTS on SCA er fulgt.

Dersom tredjepartsaktøren kobler seg på bankkonto og aksesserer informasjon den ikke skal ha tilgang til, oppstår spørsmål om hvordan banken skal forholde seg til taushetsplikten. Finans Norge mener det er ønskelig med veiledning om hvordan bankene skal agere i slike situasjoner. Finans Norge forventer at det stilles krav til at det inntas en plikt for tredjepartstilbyderen til å informere kunden om hvilke opplysninger tredjepartstilbyderen har tilgang til, og at norske myndigheter følger opp at tredjepartstilbyderne oppfyller disse opplysningskravene. Finans Norge ønsker å fremheve viktigheten av myndighetenes tilsynsoppgave ettersom bankene ikke har mulighet til å verifisere/sjekke hvilke opplysninger kunden har samtykket til å gi fra seg.

3.8.3 Definisjon av betalingsfullmektig

I og med at betalingsfullmektiger skal reguleres av finansforetaksloven, mener Finans Norge at det med fordel kan inntas en definisjon av begrepet «betalingsfullmektig» i denne loven.

Side 8 av 19

3.8.4 Opplysningsfullmektigers tjenester

Finans Norge ber om at det klargjøres hva opplysningsfullmektiger kan benytte opplysninger

som innhentes fra kunden via kontotilbyder i forbindelse med en

«kontoopplysningstjeneste» etter artikkel 4 nr. 16 til, og innen hvilken ramme, jf. artikkel 67.

Se også kommentaren til § 8 i vedlegget. Finans Norge formoder generelt at rammen for hva

slike opplysninger kan benyttes til, vil avgjøres av det samtykket som kunden har avgitt.

3.9 Forhold til andre regler

Forholdet mellom reglene i PSD 2, hvitvaskingsreglene og personvernlovgivningen (både gjeldende rett og GDPR) er gitt begrenset plass i høringsnotatet. Vi regner med at dette får en større rolle i Justisdepartementets høringsnotat. Disse øvrige reglene er likevel nært knyttet til virksomhetsreglene i PSD 2, og vi ønsker derfor å gi enkelte kommentarer;

Finansforetakslovens regler om kundebehandling, finansavtaleloven, hvitvaskingslovgivningen og personvernreglene - særlig personvernforordningen - oppstiller samlet strenge krav til finansforetakenes behandling av kunder og kundeopplysninger. Finans Norge støtter intensjonen bak disse reglene og mener reglene er positive for kundene og for tilliten til næringen. Hensynet til konkurranse og åpenhet på den ene siden og forbrukervern på den andre siden, er grunnleggende og viktige prinsipper. De må balanseres på en god måte.

Bankene har mye informasjon om sine kunder. For mange finansforetak vil det kunne være krevende å dele denne informasjon med tredjepartstilbydere som ikke er underlagt det samme strenge rammeverk i alle henseender. Selv om slik deling skal baseres på kundenes samtykke, vil det oppstå spørsmål om kunden har fått tilstrekkelig forståelig informasjon til å kunne se rekkevidden og konsekvensene av sitt samtykke. Dersom noe går galt i forbindelse med en betalingstransaksjon initiert av en tredjepartstilbyder eller ved tredjepartstilbyders behandling av personopplysninger, er det nærliggende å tro at kunden vil holde banken ansvarlig – selv om banken har opptrådt i tråd med gjeldende rett. Dette vil få negative konsekvenser for den enkelte bank og for tilliten til næringen. Finans Norge mener det er hensiktsmessig at myndighetene og næringen, inklusive representanter for tredjepartstilbydere, har en tett dialog om den nærmere grensegangen mellom regelverkene.

3.10 Enkelte særskilte kommentarer til høringsnotatet

Til pkt. 2.2.4.4 Unntaket for teleoperatører

Finanstilsynet foreslår at finansavtaleloven § 11 første ledd bokstav e som viser til

betalingstjenesten knyttet til teleoperatører slettes. Finans Norge deler ikke denne

oppfatningen. Finans Norge vil på dette punkt vise til at unntaket etter artikkel 3 bokstav l)

kun kommer til anvendelse der den enkelte betalingstransaksjon ikke overskrider 50 euro,

Side 9 av 19

og summen av de månedlige betalingstransaksjonene ikke overskrider 300 euro. Følgelig må

finansavtaleloven § 11 første ledd bokstav e) opprettholdes for de tilfellene at

beløpsgrensene overstiges.

Til pkt. 2.3.2 Betalingsfullmektiger

Det fremgår av høringsnotatet side 16 at betalingsfullmektiger må dokumentere startkapital

tilsvarende minst EUR 50.000, jf. artikkel 7.1 bokstav b). Finans Norge vil vise til at det i

bestemmelsen benyttes ordlyden «kapitalen på intet tidspunkt være mindre enn». Det står

videre i artikkel 8 at «kapitalgrundlag må ikke falde til under den i artikel 7 omhandlede

startskapitals beløb». Dette innebærer etter vår oppfatning at betalingsfullmektiger til

enhver tid skal ha kapital tilsvarende minst EUR 50.000. Dette reflekteres også i SOU 2016:53

pkt. 6.2.2 hvor det fremgår: «Leverantörer av betalningsinitieringstjänester ska ha ett

startkapitalkapital som motsvarer ett belopp om minst 50 000 euro. Kapitalbasen får aldrig

underskrida dette belopp (vår understrekning).» Vi ber om at dette kapitalkravet inntas i

finansforetaksforskriften § 14-2 ny tredje ledd.

Til pkt. 2.3.4.1 Regler om søknad om tillatelse som betalingsforetak – offentlig register og

tilbakekall av tillatelse

I høringsnotatet fremgår det at det skal opprettes et offentlig register over foretak. Det er

imidlertid ikke beskrevet nærmere hvordan dette registeret skal gjøres tilgjengelig. Finans

Norge vil understreke at det er viktig at dette registeret er offentlig tilgjengelig og

kontinuerlig oppdatert, jf. artikkel 14 nr. 2. Registeret må dessuten være elektronisk søkbart,

og helst tilrettelagt slik at det kan integreres i bankenes systemer. Det er viktig at registeret

er i funksjon senest samtidig som implementering av PSD 2 i norsk rett og bør også være

koblet opp mot EBA-registeret, jf. artikkel 15.

Som en konsekvens av at finansforetakene må sjekke hvorvidt tredjepartstilbyderen har

autorisasjon, er finansforetakene avhengig av at registeret er riktig og løpende oppdatert. Vi

mener følgelig at forbeholdet om feil som fremgår av gjeldende konsesjonsregister må

fjernes.

Finans Norge mener videre at alle alternativene for tilbakekall av konsesjon eksplisitt bør

fremgå av finansforetaksloven. Ut fra hensynet til legalitetsprinsippet bør Finanstilsynet ha

et klart hjemmelsgrunnlag ved tilbakekall av konsesjon.

Til pkt. 2.3.4.3 Virksomhetsregler

I høringsnotatet på side 27 under overskriften «Behandling av personopplysninger» vises det

til artikkel 94 vedørende betalingstjenestetilbyderes behandling av personopplysninger.

Finans Norge vil for ordens skyld nevne at denne artikkelen ikke gjelder for

Side 10 av 19

opplysningsfullmektiger, se artikkel 33 nr. 2. Opplysningsfullmektiger vil uansett ha plikt til å

oppfylle personopplysningsregelverket etter artikkel 67 nr. 1 bokstav f) og den til enhver tid

gjeldende personvernlovgivning.

På side 28 følger det videre at «plikt til å informere kunden» skal implementeres i ny forskrift

om betalingstjenester. Finans Norge mener at artikkel 96 nr. 1 annet ledd gjelder

informasjon til brukerne generelt, for eksempel gjennom statusoppdatering på foretakets

egne hjemmesider/innlogget portal, ikke et krav om å informere den enkelte kunde. Finans

Norge er av den oppfatning at det vil være en fordel om alle informasjonspliktene samles i

finansavtaleloven. Dette vil gjøre det enklere for kunden å se om finansforetakene oppfyller

sine informasjonsplikter.

Til pkt. 2.3.8.1 Organisasjonsform

Det foreslås i dette punktet at enkeltpersonforetak ikke lenger skal få begrenset tillatelse.

Finans Norge støtter dette forslaget til innstramming og tilsynets begrunnelse for forslaget.

Til pkt. 2.3.8.4 Adgangen til å ha agent for foretak med begrenset tillatelse

Finanstilsynet foreslår at henvisningen til agentvirksomhet i § 2-10 tredje ledd bokstav b) og

henvisningen til agenter i finansforetaksforskriften § 2-5 ikke videreføres. Finans Norge

støtter endringsforslaget.

Til pkt. 2.4.2 Om begrepene betalingskonto og betalingstransaksjon

Finanstilsynet legger i høringsnotatet til grunn at ulike former for bankkontoer, e-

pengekontoer og kredittkortkontoer hos kredittforetak/finansieringsforetak i

utgangspunktet vil kunne omfattes av begrepet betalingskonto i PSD 2. Finans Norge vil

understreke at direktivet etter sin ordlyd kun omfatter «betalingskonto», dvs. konto som

benyttes for å gjennomføre betalingstransaksjoner, jf. artikkel 4 nr. 12.

Finans Norge mener begrepet må tolkes på samme måte i Norge som i Danmark og Sverige.

Det er viktig for finansforetak i Norge at dette praktiseres likt i Norden, og det er ikke minst

viktig for de konsernene som er etablert i flere av de nordiske landene og som opererer på

tvers av landegrensene. Det antas for øvrig også at mange tredjepartstilbydere vil etablere

seg i alle nordiske land, og lik praktisering anses derfor hensiktsmessig også for dem.

Svenske myndigheter mener den nærmere avgrensningen av hva som skal utgjøre en

betalingskonto må foretas med utgangspunkt i om en betalingskonto er opprettet for å

gjennomføre betalingstransaksjoner. Avgjørende for vurderingen må være kontoens formål

og funksjon. Finans Norge mener dette er en god avgrensning. Vi kan ikke se at det er

hensiktsmessig verken for finansforetak eller for kundene at kontoer hvor

Side 11 av 19

betalingstransaksjoner vil kunne utgjøre brudd på avtalevilkår (depositumskonto, BSU-

kontoer, fastrentekonto) eller ødelegger hensikten med en konto (aksjesparekonto) anses

som betalingskontoer i PSD 2s forstand. Uttak fra sistnevnte type konto kan også få

skattemessige konsekvenser. Vi vil dessuten bemerke at også britiske myndigheter har

begrenset hvilke sparekontoer som inngår i betalingskonto, all den tid kvalifikasjonen

«flexible»3 er benyttet. Dette må tolkes slik at det for eksempel kun er sparekontoer uten

uttaksrestriksjoner som omfattes av begrepet.

I høringsnotatet vises det til merknaden til finansavtaleloven § 12 bokstav h hvor

betalingskonto er tolket til å omfatte enhver konto som er underlagt finansavtaleloven

kapittel 2, og som kan brukes til betaling. I merknaden legges det videre til grunn at enkelte

kontoer periodevis ikke vil være å regne som betalingskontoer grunnet bindingstid. Vi vil

presiseres at det vil være komplekst å opprette og dyrt å tilby/ha kontoer som i noen

sammenhenger anses som betalingskonto og derigjennom må åpnes for

tredjepartstilbydere, mens de i andre situasjoner ikke anses som betalingskontoer.

Finans Norge vil videre vise til at det i artikkel 66 og 67 er presisert at retten til å anvende

betalingsfullmektiger og opplysningsfullmektiger kun gjelder for betalingskontoer som er

tilgjengelig «online». Dette må gå tydelig frem i lovteksten. Se for øvrig våre kommentarer

vedrørende implementering av artikkel 66 og 67 i vedlegget.

Finans Norge legger til grunn at begrepet betalingskonto vil bli grundig gjennomgått i

Justisdepartementets høringsnotat. Ytterligere kommentarer til begrepet betalingskonto vil

da gis.

Til pkt. 2.4.5 Betalingsforetaks tilgang til betalingskontoer hos kredittinstitusjoner

Det fremgår av dette punkt at ordlyden i finansavtaleloven § 14 er dekkende for direktivets

bestemmelse om rett til tilgang for betalingsforetak og at kravet kan innfortolkes her.

Finansavtaleloven § 14 gjelder avvisning av kunder – ikke finansforetakets plikt til å gi andre

finansforetak eller lignende foretak tilgang til konto og betalingstjenester. Finans Norge

mener denne plikten må innarbeides ved at artikkel 36 i sin helhet inntas i

betalingssystemloven.

Til pkt. 2.4.6 Rett til å initiere betalinger (betalingsfullmektiger)/Betalingsfullmektigers

tilgang til betalingskontoer og 2.4.7 Opplysningsfullmektigers tilgang til kontoinformasjon

I høringsnotatet gis det en nærmere redegjørelse for hvilke forpliktelser

betalingsfullmektigen og opplysningsfullmektigen skal ha etter hhv. artikkel 66 og 67.

Finanstilsynet foreslår at pliktene skal inntas i ny forskrift om systemer for

3 Jf. høringsnotatet side 39 og note 3.

Side 12 av 19

betalingssystemer. Finans Norge mener at pliktene som beskrives i høringsnotatet, ikke

reflekteres godt nok i §§ 3, 6 og 7 i ny forskrift om betalingssystemer. Vi ber om at dette

gjennomgås nærmere, se også våre konkrete merknader til disse bestemmelsene i

vedlegget.

Til pkt. 2.4.9 Autorisering av kortbaserte betalingstransaksjoner

På høringsnotatet side 45-46 bemerkes det at hensikten med regelen er å åpne for rett til å

utstede kortbasert betalingsinstrument knyttet til konto hos en annen tilbyder. Finans Norge

er ikke enig i denne oppfatningen. Artikkel 65 inneholder ikke begrepet autorisasjon.

Hensikten med bestemmelsen er alene at kortutstederen, med kortholders samtykke, før

transaksjonen gjennomføres, skal kunne få undersøkt om det på den betalingskonto kunden

har oppgitt er tilgjengelige midler minst svarende til beløpet for den kortbaserte

transaksjonen. Gjennomføres korttransaksjonen vil kortutstederen ha en fordring mot sin

kortkunde og ikke mot den institusjonen som fører den oppgitte betalingskontoen.

Oppgjøret mellom kortholder og kortutsteder skjer ved bruk av annet betalingsinstrument.

Vi vil også vise til artikkel 65 nr. 4 som forbyr kontotilbyderen å blokkere (reservere) midler

på betalingskontoen på bakgrunn av en forespørsel om tilstrekkelige tilgjengelige midler.

Til pkt. 2.4.10 Krav til sterk autentisering og sikker kommunikasjon

Finanstilsynet gir i dette punktet en kort redegjørelse for kravene i RTS on SCA, som foreslås

implementert i ny forskrift om systemer for betalingstjenester. Punktet reiser en rekke

spørsmål.

I forslaget benyttes begrepet «personlig sikkerhetsinformasjon (autentiseringskjennetegn)».

Finans Norge mener det må tydeliggjøres hva som ligger i dette begrepet sammenliknet med

artikkel 4 (30) og (31) og begreper i finansavtaleloven §§ 12 q), 34, 35, 36 og 43a. Vi regner

med at forskjellen er at «personlig sikkerhetsanordning» i dag er sikkerhetsanordning

knyttet til betalingsinstrument, som for eksempel pin-kode, mens «personlig

sikkerhetsinformasjon» tilsvarer PSD 2s begrep og er knyttet opplysninger om og egenskaper

hos kunden. Det er viktig at det benyttes enhetlig begrepsbruk gjennom lovgivningen. Vi

regner følgelig med at finansavtalelovens begrep «personlig sikkerhetsanordning» vil bli

endret.

Finans Norge antar at ny forskrift om betalingstjenester § 4 skal gjennomføre artikkel 97. Vi

mener utkastet til dels avviker på viktige punkter, se nærmere omtale av problemstillingene i

vedlegget.

Finans Norge er innforstått med at bankene må tilrettelegge for at betalings- og

opplysningsfullmektiger kan benytte seg av bankenes eksisterende løsninger for sterk

Side 13 av 19

kundeautentisering i henhold til artikkel 97 nr. 5. Tilsynet ser imidlertid ut til å gi uttrykk for

at betalings- og opplysningsfullmektig også har rett til å benytte seg av «andre sterkere

autentiseringsmekanismer enn det banken tilbyr.» Finans Norge ønsker å presisere at

betalings- og opplysningsfullmektiger anledning til å benytte andre mekanismer for SCA for å

få tilgang til kontotilbyders systemer forutsetter en avtale med kontotilbyder. En slik avtale

vil for øvrig være utenfor PSD 2s virkeområde.

Finans Norge oppfatter at fortalen pkt. 30 i PSD 2 angående bruk av personlig

sikkerhetsinformasjon4 støtter vår forståelse. I fortalen fremkommer det at personlig

sikkerhetsinformasjon som benyttes til sterk kundeautentisering som regel er utstedt av

kontotilbyder, og ettersom betalingsfullmektig ikke nødvendigvis inngår «i et

kontraktsforhold med» kontotilbyder5 må betalings- og opplysningsfullmektiger ha

anledning til å støtte seg på («rely on») autentiseringsmekanismen til kontotilbyder. Vår

oppfatning er dermed at alternativet for betalings- og opplysningsfullmektiger til å bruke

kontotilbyders system for autentiseringsmekanismer, er å inngå avtale med kontotilbyder

om bruk av personlig sikkerhetsinformasjon utstedt av tredjepartstilbyder (eller en annen

tredjepart).

Finans Norge viser til EBAs Consultation Paper on SCA and CSC6 som støtter vår oppfatning

av artikkel 97 nr. 5, jf. fortalen punkt 30. EBA avklarer her at “the authentication procedure

will remain fully in the sphere of competence of the ASPSP.” EBA åpner imidlertid for en

alternativ situasjon dersom betalingsfullmektig har utstedt en egen personlig

sikkerhetsinformasjon, men betinget av at en slik løsning vil kreve «a prior contractual

agreement between the PISP and the ASPSP on the acceptance of such credentials by ASPSP.

Such agreement would also be outside of the scope of the PSD2».

Finans Norge ønsker også å fremheve at en løsning som baserer seg på en sterk kundeautentisering uten avtale og dermed utenfor bankens kontroll, ikke vil gi bankene mulighet til å bekrefte at kunden har verifisert beløp og betalingsmottaker i henhold til kravene om dynamisk linking.

4 «personaliserede sikkerhedsoplysninger», jf. art. 4 (31) 5 «De personaliserede sikkerhedsoplysninger, der anvendes til sikker kundeautentifikation af betalingstjenestebrugeren eller af betalingsinitieringstjenesteudbyderen, er sædvanligvis dem, som kontoførende betalingstjenesteudbydere udsteder. Betalingsinitieringstjenesteudbydere indgår ikke nødvendigvis i et kontraktforhold med kontoførende betalingstjenesteudbydere, og uanset hvilken forretningsmodel der anvendes af betalingsinitieringstjenesteudbydere, bør kontoførende betalingstjenesteudbydere gøre det muligt for betalingsinitieringstjenesteudbydere at anvende de autentifikationsprocedurer, som kontoførende betalingstjenesteudbydere stiller til rådighed, til at initiere en bestemt betaling på vegne af betaleren", jf. fortalen pkt. 30. 6 EBAs Consultation Paper 12.08.16 pkt. 3.2 under «clarifications on PSD 2 provisions” rationale 19 om anvendelsen av artikkel 97 nr. 1

Side 14 av 19

4. Avslutning Dersom departementet har spørsmål eller ønsker å diskutere temaer med finansnæringen, stiller vi oss gjerne til departementets disposisjon.

Med vennlig hilsen Finans Norge

Idar Kreutzer Jan Digranes

adm.dir. direktør

Vedlegg

Side 15 av 19

Vedlegg til Finans Norges høringsuttalelse om utkast til regler tilsvarende EUs reviderte

betalingstjenestedirektiv

I dette vedlegget gis konkrete kommentarer til de enkelte bestemmelsene i ny forskrift om

systemer for betalingstjenester:

Til § 2. Risikovurdering og etterlevelse av regelverk

Finans Norge er noe usikker på om denne bestemmelsen skal implementere artikkel 96 eller

95 som omhandler hhv. styring av drift- og sikkerhetsrisiko og innberetninger av hendelser,

eller begge artikler. Overordnet mener vi det må komme klarere frem hvilke bestemmelser

som implementeres.

Første ledd

Begrepet «betalingstjenestetilbydere» introduseres i denne bestemmelsen. Finans Norge

antar at tilsynet med begrepet mener konsesjonsgruppene forskriften gjelder for, jf. § 1. Vi

foreslår derfor at det inntas en definisjon av begrepet, eventuelt at det innarbeides en

henvisning til § 1.

Tredje ledd

Det følger av dette leddet at betalingstjenestetilbydere uten ugrunnet opphold skal melde

fra til brukere av betalingstjenesten om hendelser som angitt i IKT-forskriften § 9 tredje ledd

som kan ha betydning for brukerne. Meldingen skal omtale mulige tiltak som brukeren kan

iverksette.

Finans Norge savner vilkåret i artikkel 96 nr. 1 annet avsnitt hvor det kreves at «hændelsen

har eller kan have indvirkning på betalingstjenesteudbyderens betalingstjenestebrugeres

økonomiske interesser». Dette må presiseres i ordlyden.

En henvisning til IKT-forskriften § 9 vil ikke være helt presis så lenge forskriften vil kunne

omfatte flere hendelser - muligens heller ikke alle hendelser - som kan ha innvirkning på

betalingstjenestebrukerens «økonomiske interesser». Vi mener videre at det må fremgå at

meldingen må omtale mulige tiltak som brukeren kan iverksette for å «begrense hændelsens

negative følger».

Til § 3. Krav til sikker ytelse av betalingstjenester og sikker kommunikasjon

Vi antar at tilsynet i bestemmelsens tredje ledd mener «opplysningsfullmakt» og ikke

«avtalefullmakt». Tilsvarende må gjelde for § 4 fjerde og femte ledd.

Det kan stilles spørsmål ved om betalingsfullmektigens- og opplysningsfullmektigenes plikter

til legitimasjon og sikker kommunikasjon er noe knappere formulert i forskriften enn i

Side 16 av 19

artikkel 66 og 67. Vi ber om at det foretas en gjennomgang for å sikre en direktivtro

gjennomføring.

Til § 4. Krav til sterk kundeautentisering

Første ledd

Første setning mangler begrepet «elektronisk», jf. artikkel 97 nr. 1 b. Slik vi forstår PSD 2,

kreves ikke sterk kundeautentisering når kunden via post eller telefon initierer en betaling

(med mindre det er risiko for svindel eller annet misbruk), se også EBAs uttalelser i svar på

respondenter til Consultation Paper i utkast til RTS on SCA datert 23. februar 2017.

Formuleringen «ber om» bør videre erstattes med «initierer», jf. artikkel 97 nr. 1 bokstav b).

Første ledd mangler dessuten presiseringen «gennem en fjernkanal», jf. artikkel 97 nr. 1

bokstav c). Vi foreslår at dette inntas tilsvarende den danske oversettelsen «fjernkanal».

Første ledd bør derfor formuleres slik; «… når betaler initierer en elektronisk betaling eller

når betaler utfører handlinger gjennom en fjernkanal som kan innebære risiko for svindel

eller andre former for misbruk …».

Annen setning antas å skulle gjennomføre kravet i artikkel 97 nr. 2 om dynamisk knytning

(«linking»). Finans Norge mener at direktivets ordlyd her bør benyttes, jf. ordlyden

«dynamisk knytter transaksjonen til et specifikt beløb og en specifik betalingsmodtager.»

Andre ledd

Det bør benyttes en mer direktivtro definisjon av sterk kundeautentisering, jf. artikkel 4 nr.

30.

Fjerde ledd

Finans Norge stiller spørsmål ved om formuleringen «autentiseringskjennetegn» er ment å

tilsvare «personlig sikkerhetsinformasjon». I så fall bør begrepsbruken være konsis slik at

kun én av betegnelsene benyttes. I motsatt fall bør «autentiseringskjennetegn» defineres.

Femte ledd

Finans Norge mener denne bestemmelsen må omformuleres.

Bestemmelsen inneholder en kobling mellom kontotilbyder og autentiseringsprosedyrene

som betaleren har tilgjengelig, jf. «autentiseringsprosedyrene som betaleren har fått fra

kontotilbyder» (vår kursivering). Direktivteksten på dette punktet er «stiller til rådighed», jf.

artikkel 97 nr. 5. Ordlyden som benyttes i forskriften «har fått» er ikke dekkende for

situasjonen der kontotilbyder tilbyr betaleren å bruke en bestemt løsning som ikke er levert

av kontotilbyder, for eksempel hvor BankID er utstedt av en annen bank enn kontobanken.

Side 17 av 19

Bestemmelsen mangler også den presiseringen at autentiseringsprosedyrene skal være gitt

med sikte på at kunden «tilgår betalingskonto online», jf. artikkel 97 nr. 1.

Vi mener likeledes at ordlyden «adgang til å benytte seg av» må erstattes med et ord

tilsvarende det engelske «to rely on» og det tyske «zu stützen», se hhv. den engelske og

tyske oversettelsen. Den danske oversettelsen er ikke korrekt. Slik forskriften nå er formulert

vil bestemmelsen åpne for at betalingstjenestetilbydere skal få tilgang til betalerens BankID,

dvs. kundens elektroniske signatur.

Vi foreslår derfor at ordlyden endres til «Kontotilbyder skal gi betalingstjenestetilbydere som

tilbyr avtale om betalings- eller opplysningsfullmakt adgang til å støtte seg på

autentiseringsprosedyrene som kontotilbyder har gjort tilgjengelig for

betalingstjenestebrukeren».

Bestemmelsen må dessuten henvise til første ledd i samme bestemmelse, slik artikkel 97 nr.

5 henviser til tidligere ledd.

Til § 5.

Forskriften mangler § 5 i sin helhet.

Til § 6. Tilgang til betalingskontoer for betalingstjenestetilbydere som tilbyr avtale om

betalingsfullmakt

Annet ledd

Annet ledd annen setning gjennomfører artikkel 66 nr. 3 bokstav e). Finans Norge mener

formuleringen «sensitive betalingsinformasjon» er lite heldig, da ordet «sensitiv» i hovedsak

benyttes i personvernlovgivningen. Vi foreslår derfor at ordlyden endres til «sårbar

betalingsinformasjon».

Uavhengig av valg av formulering bør forskriften gi en nærmere avklaring av hvilke

opplysninger som vil være å anse som slik betalingsinformasjon. Begrepet er definert i

artikkel 4 nr. 32, og Finans Norge antar at bankene kan legge denne definisjonen til grunn.

Denne definisjonen er likevel så vid at det kan være hensiktsmessig at bankene får mer

konkret veiledning om hva som inngår i begrepet, som i dag gjøres gjennom retningslinjene

for sikkerhet i internettbetalinger.

Til § 7. Tilgang til kontoinformasjon for betalingstjenestetilbydere som tilbyr avtale om

opplysningsfullmakt

Bestemmelsen skal regulere tilgang til kontoinformasjon for opplysningsfullmektiger, dvs.

implementere artikkel 67. Finans Norge mener denne bestemmelsen kun delvis er

Side 18 av 19

implementert, og ber om at det foretas en gjennomgang. Se for øvrig også vår kommentar til

§ 6 over.

Både artikkel 66 nr. 1 og 67 nr. 1 fastslår at rett til tilgang til betalingskonto ikke gjelder

dersom kontoen ikke er "tilgængelig online". Denne særdeles viktige begrensningen er ikke

reflektert i forskriften § 7. Det må uttrykkelig presiseres i bestemmelsen at retten kun

gjelder for betalingskonto som er tilgjengelig for betalingstjenestebrukeren «online».

Opplysningsfullmektiger skal etter bestemmelsen bare ha tilgang til «angitte»

betalingskontoer. Finans Norge synes det er noe uklart hvem – kunden eller

opplysningslysningsfullmektigen - som skal ha angitt kontoene, men legger til grunn at det er

betaleren dvs. kunden som må angi betalingskontoene til betalingstjenestetilbyderen. Vi ser

for øvrig at samme uklarhet gjør seg gjeldende både i engelsk og dansk versjon.

Til § 8. Om lagring av informasjon

Bestemmelsen lyder: «Betalingstjenestetilbydere som tilbyr avtale om betalings– eller

opplysningsfullmakt skal ikke bruke eller lagre informasjon med andre formål enn å tilby

avtaler om belastningsfullmakt eller opplysningsfullmakt i tråd med betalerens

anmodning/forespørsel og lov om personvern.»

Finans Norge mener det må fremgå tydeligere at en opplysningsfullmektig kun kan tilby

tjenester utelukkende etter betalingstjenestebrukerens uttrykkelige samtykke, jf. artikkel 67

nr. 2 bokstav a). Vi mener følgelig at det er lite heldig med bruk av ordlyden

«anmodning/forespørsel».

I denne bestemmelsen benyttes ordet «betaleren». Vi vil foreslå å erstatte dette ordet med

«betalingstjenestebrukeren» («betalingstjenestebruger»), all den tid «betaleren» ikke vil

være korrekt når det er tale om en opplysningsfullmektigs rettigheter og plikter.

Finans Norge mener videre at formuleringen «lov om personvern» ikke er treffende. Artikkel

67. nr. 2 bokstav f) viser til «data protection rules», og vi mener følgelig at det også i

forskriften må vises til «personvernlovgivning».

Til § 9 kontotilbyderens plikter

Fjerde ledd:

Etter bestemmelsen skal kontotilbyderen gjøre betalingsinformasjonen tilgjengelig for

betalingsfullmektigen når betalingstransaksjonen «er gjennomført». Dette vil ikke være

praktisk mulig og er heller ikke korrekt oversettelse av direktivet. Det følger av artikkel 66 nr.

4 bokstav b) at plikten er begrenset til opplysninger om («regarding»/«vedrørende»)

gjennomføring av betalingstransaksjonen. Det følger således av nevnte artikkel at

Side 19 av 19

kontotilbyder skal gi informasjon til betalingsfullmektigen umiddelbart etter at

betalingstransaksjonen er initiert. Gjennomføringen av transaksjonen vil ofte skje på et

tidspunkt senere enn initiering. Direktivet inneholder ikke bestemmelser om at

betalingsfullmektigen skal informeres på ny på dette senere tidspunktet. Bestemmelsen må

endres slik at den reflekterer dette.

Til § 10. Autorisering av kortbaserte betalingstransaksjoner

Første ledd

Etter bestemmelsen skal kontotilbyder angi om transaksjonen har dekning i

betalingskontoen. Finans Norge mener at meldingsutvekslingen etter denne bestemmelse

bare kan omfatte elektronisk meldingsutveksling og derfor at vilkåret i artikkel 65 nr. 1

bokstav a) «betalerens betalingskonto er tilgængelig online» må inntas.