1 Innledning

Norges Bank viser til Finansdepartementets høringsbrev av 28. april 2017 med høringsnotat om gjennomføring av forventede EØS-regler som svarer til det reviderte betalingstjenestedirektivet[1] (PSD2) i norsk rett. Gjennomføring av PSD2 i finansavtaleloven drøftes i egen høring fra Justis- og beredskapsdepartementet.

Artikkel 1 i PSD2 avgrenser direktivets virkeområde med hensyn til ulike betalingstjenestetilbydere («payment service providers»). Etter artikkel 1 første ledd bokstav e, anses nasjonale sentralbanker som betalingstjenestetilbydere «when not acting in their capacity as monetary authority or other public authorities».

PSD2 berører i vid forstand flere av Norges Banks oppgaver:

• Norges Bank som «utøvende og rådgivende organ for penge-, kreditt- og valutapolitikken», jf. sentralbankloven (sbl.) § 1.
• Norges Banks ansvar for å «fremme et effektivt betalingssystem innenlands og overfor utlandet», jf. sbl. § 1, herunder overvåkning av betalingssystemet.
• Norges Bank som utsteder av tvungent betalingsmiddel (sedler og mynt), jf. sbl. §§ 1 og 14.
• Norges Bank som ansvarlig for betalingsoppgjøret mellom banker med konto i Norges Bank, jf. sbl. § 1.
• Norges Banks tilsyn med interbanksystemer, jf. betalingssystemloven kap. 2.

Oppgjøret i Norges Bank er en integrert del av Norges Banks funksjon som pengemyndighet, og banken er dermed ikke en betalingstjenestetilbyder etter PSD2. PSD2 berører derfor ikke Norges Bank direkte som operatør i markedet. PSD2 berører imidlertid Norges Banks oppgaver knyttet til å fremme et effektivt betalingssystem og finansiell stabilitet, samt som tilsynsmyndighet for interbanksystemer.

Norges Bank støtter høringsforslaget, og har ikke merknader til hvordan direktivet er foreslått implementert i norsk rett. Norges Bank vil påpeke enkelte konsekvenser direktivet vil få på Norges Banks ansvarsområde, herunder behovet for videre oppfølging og tiltak for å motvirke risikoer og fremme finansiell stabilitet. Videre har Norges Bank noen merknader knyttet til tolkningsspørsmål som direktivet reiser.

2 PSD2s betydning for betalingssystemet

Det vises i høringsnotatet til at det overordnede formålet til PSD2, sammen med forordningen om interbankgebyr[2] og SEPA-forordningen[3], er å sikre moderne, effektive og billigere betalingstjenester, samt å beskytte kundene.

Direktivet legger til rette for to nye typer betalingstjenester:

• Betalingsinitieringstjenester som innebærer at en betalingsfullmektig får adgang til å initiere en betalingsordre fra en kundes betalingskonto. Dette kan for eksempel være et selskap som tilbyr en betalingsapplikasjon på smarttelefon som en selvstendig tjeneste eller som en del av sitt øvrige tjenestetilbud.  

• Kontoopplysningstjenester som innebærer at en opplysningsfullmektig gjennom tilgang til informasjon på kundens konto kan gi kunden en samlet digital oversikt over alle kundens betalingskontoer hos forskjellige tilbydere. Dette kan for eksempel være en mobilapplikasjon som gir kunden en samlet oversikt over finansielle balanser i ulike finansinstitusjoner. Dette kan kombineres med en betalingsapplikasjon, markedsføring og rådgivning. 

De nye tjenestene kan tilbys av både eksisterende aktører innen betalingstjenester og nye aktører. Det forventes at en rekke nye aktører, blant annet teknologiselskaper, vil etablere seg som tilbydere av de nye tjenestene.

Uavhengig av direktivet er betalingssystemet i rask endring. Utvikling innen digitalisering, utbredelse av internett, kryptografi, kunstig intelligens kombinert med store mengder data, og muligheten for å koble teknologiene sammen, har fått stor betydning for finansielle tjenester og hvilke aktører som tilbyr disse tjenestene. Dette blir ofte omtalt som «fintech». Betalingstjenester er en sentral del av denne utviklingen.

PSD2 legger dels til rette for innovasjon og konkurranse innen betalingstjenester gjennom regulert tilgang til betalingskontoer. Men samtidig, gitt utviklingen fintech-utviklingen, bidrar krav til aktørene gjennom PSD2 til at denne utviklingen skjer innen regulerte rammer som ivaretar sikkerheten i betalingssystemet. PSD2 er derfor både en respons på utviklingen, samtidig som direktivet selv vil kunne bidra til utviklingen.

De nye tjenestene som det legges til rette for i PSD2 vil trolig få stor betydning for betalingssystemet. Aktørbildet, risiko, konkurransen og effektiviteten i betalingssystemet kan påvirkes. Norges Bank mener i utgangspunktet at PSD2 vil bidra positivt til et mer effektivt betalingssystem.  Samtidig kan en endret markedsstruktur og teknologisk utvikling medføre nye sårbarheter og risikoer som gjør det nødvendig med ytterligere reguleringer eller andre tiltak. Norges Bank ser at det særlig kan bli behov for tiltak for å møte nye risikoer og trusler mot finansiell stabilitet.

3 PSD2s betydning for finansiell stabilitet

3.1 Fintech-risiko

En endret markedsstruktur og teknologisk utvikling kan medføre nye sårbarheter og risikoer som gjør det nødvendig med ytterligere reguleringer eller andre tiltak. Sentralbanker og reguleringsmyndigheter har økt oppmerksomhet på såkalt fintech-risiko.[4] Dette gjelder særlig risikoer knyttet til utnytting og håndtering av informasjon. Sårbarheter knyttet til tilgang, behandling og oppbevaring av informasjon kan ha betydning for tilliten til betalingssystemet og finansiell stabilitet. Nye aktører i betalingsmarkedet vil innebære økt spredning av betalingsinformasjon.

Norges Banks vurdering er at kravene til tilbydere av betalingstjenester som følger av PSD2 og sekundærregelverket isolert sett vil bidra til å redusere operasjonell risiko i betalingssystemet. Dette forutsetter imidlertid at kravene etterleves og brudd håndheves. Flere typer aktører gir økt regulatorisk kompleksitet og kan medføre utvidede oppgaver for reguleringsmyndigheter. Kompleksiteten og utvidede oppgaver kan gi ressursmessige utfordringer for tilsynsmyndighetene og bidra til økt operasjonell risiko i betalingssystemet.

PSD2 og sekundærregelverket om tilgangsrettigheter for tredjepartstilbydere innebærer at bankene må tilby API (Application Programming Interface)-løsninger for å sikre tilgang til betalingskontoer. Innenfor direktivets rammer antar Norges Bank at løsningene vil bli sikre og robuste.

Et krav om å gi tilgang til tredjeparter kan imidlertid påvirke konkurransedynamikken mellom bankene. Bankene kan utfra konkurransesituasjonen ha insentiver til å tilby API-løsninger som går lenger enn kravene i PSD2. Ved å gjøre dette vil de være attraktive samarbeidspartnere og underliggende løsninger for tredjepartstilbydere. Flere banker er i gang med å utvikle API-løsninger i form av såkalte «open banking»-løsninger[5] som går lengre enn kravene i PSD2, for å posisjonere seg mot framtidig konkurranse.[6] Mer omfattende tilgang enn det som kreves av direktivet, kan medføre økt operasjonell risiko, som ikke nødvendigvis er direkte tatt høyde for ved utarbeidelsen av reglene.

Betalingsmarkedet er preget av nettverksfordeler og plattformkonkurranse. Mange store teknologiaktører er aktuelle tilbydere av betalingstjenester, slik som Facebook, Google, Apple osv. Disse selskapene utnytter nettverksfordeler blant brukerne. Nettverksfordelene kan innebære at én eller noen aktører kan bli svært store innen betalingstjenester på internasjonalt nivå. Det kan på sikt være negativt for konkurranse og effektivitet, og samtidig skape sårbarheter i betalingssystemet. Slike store internasjonale aktører vil kunne sitte på mye betalingsinformasjon og annen informasjon om kundene som kan komme på avveie og potensielt misbrukes. Videre kan konsekvensene av driftsavbrudd hos slike aktører bli omfattende. Slike aktører kan derfor være attraktive mål for cyberangrep.

Mange aktuelle tilbydere av betalingstjenester vil ofte samtidig tilby andre typer varer og tjenester, slik som for eksempel digitale handelsplattformer, sosiale nettverk, matvarer, elektronikk, og nettbaserte spill. Betalingsdata vil være verdifulle for disse aktørene både for eget bruk og for salg til tredjeparter. Til tross for regler om behandling av personopplysninger i PSD2 samt generelle personvernregler, vil det være en risiko for at slike opplysninger behandles i strid med brukerens interesser. Personvernmyndigheter vil være opptatt av dette fra et forbrukerperspektiv. Konsekvensene kan imidlertid være større enn konsekvensene for den enkelte forbruker. I ytterste konsekvens kan svekket tillit til behandlingen av betalingsdata føre til at tilliten til betalingssystemet svekkes.

Norges Bank vil følge nøye med på utviklingen i de ovennevnte risikoene, og vurdere behovet for ytterligere regulering og andre tiltak.

3.2 Stabilitet i det finansielle systemet

Norges Bank antar at PSD2 på enkelte områder vil kunne ha positiv betydning for finansiell stabilitet. Direktivet legger opp til krav og prosedyrer som skal bidra til å gjøre relevante tilbydere sikre og robuste. Krav som bidrar til å gjøre enkeltaktørene tryggere og mer robuste på institusjonsnivå, vil også bidra til stabilitet i det finansielle systemet.

De nye aktørene som PSD2 legger til rette for vil ikke være kredittinstitusjoner som direkte fører til at det bygges opp finansielle ubalanser.

På sikt kan PSD2 påvirke deler av bankenes forretningsmodeller. Inntjeningen kan påvirkes direkte ved at banker mister inntjening til fordel for nye aktører som tilbyr betalingstjenester og kontoinformasjonstjenester.  PSD2 kan også føre til at bankenes marginer reduseres som følge av økt konkurranse bankene imellom. De nye aktørene vil kunne fungere som operatører av plattformer der kundene kan sammenlikne bankers priser og produktegenskaper, og enkelt skifte tilbydere. Økt konkurranse kan få betydning for marginer og også gi større svingninger i kundemassen. Konkurranseeffekten kan utløse et endret reguleringsbehov.[7] Norges Bank vil følge utviklingen i lys av de observerte virkningene av direktivet, herunder vurdere behovet for tilpasning av bankreguleringer

4 Tilgang til betalingskonto og innovasjon

Betalingsfullmektiger gis tilgang til å initiere betalinger fra «betalingskonto». Dette vil i hovedsak være brukskonto hos betalerens løpende bankforbindelse. Det framgår av høringsutkastet at det kan være noe tolkningstvil eller -rom knyttet til hva «betalingskonto» omfatter.

Høringsnotatet legger til grunn at ulike former for bankkontoer, e-pengekontoer og kredittkort-"kontoer" hos kredittforetak/finansieringsforetak i utgangspunktet vil kunne omfattes av begrepet "betalingskonto". Begrepet vil defineres i finansavtaleloven, og høringsnotatet konkluderer ikke på dette punktet. Norges Bank har noen overordnede kommentarer til vurderingen av «betalingskonto» i dette høringsnotatet, og vil eventuelt komme tilbake til dette i Justis- og beredskapsdepartementets høring.

Fra et reguleringsperspektiv ser man ofte at tilgangsreguleringer benyttes i sektorer med relativt moden teknologi, slik som telekommunikasjonsnettet og elektrisitetsnettet. For moden teknologi kan man lage standardiserte tilgangsvilkår uten at dette forstyrrer utvikling og innovasjon. Den grunnleggende bankkontoinfrastrukturen er etter Norges Banks syn også en slik moden teknologi og således egnet for tilgangsregulering.

Det har de siste årene vært en rask utvikling innen betalingstjenester. Utviklingen gjelder både utstedelse av betalingsmidler, betalingsinstrumenter og betalingsløsninger mer generelt.  Regelverket for betalingsfullmektiger i PSD2 er i hovedsak utformet for å gi tredjeparter tilgang til betalingskonto i bank basert på kontopenger som betalingsmiddel. Det er derfor ikke klart i hvilken grad regelverket passer for betalingsløsninger som ikke er basert på tradisjonell betalingskonto i bank, slik som betalinger med e-penger og private digitale valutaer.

Når det gjelder betalingsløsninger med e-penger, er det ikke opplagt at dette er en moden teknologi som egner seg for regulering av tilgang til kundenes betalingsmidler.  E-pengeløsninger er i en utvikling der aktørene blant annet utvikler betalingsløsninger integrert i andre tjenester, for eksempel i meldingsapplikasjoner. E-pengeløsninger har mindre betydning for betalingssystemet enn kontopenger.  Standardisering som er nødvendig for å sikre tredjeparter tilgang til e-pengekontoer, kan virke hemmende på konkurranse og utvikling for løsninger basert på e-penger. Fortalen punkt 68 til PSD2 synes å forutsette at e-pengekontoer kan, men ikke nødvendigvis må, være omfattet av direktivets regler om tilgang. Disse hensynene bør ivaretas i den nærmere vurderingen av hvilke typer kontoer som berøres.

Direktivet synes å forutsette betalinger i nasjonale valutaer, og vil derfor ikke gjelde for betalinger med private digitale valutaer. I litteraturen er det imidlertid fra enkelte hold vært hevdet at det kan være noe uklart om beholdninger i private digitale valuter kan være omfattet.[8] For mange digitale valutaer, for eksempel kryptovalutaer, er betalingsmidlene og betalingstjenestene integrert. Disse baserer seg på en annen teknologi enn det tradisjonelle betalingssystemet og er til en viss grad lukkede systemer. Dette er etter Norges Banks syn ikke en moden teknologi egnet for tilgangsregulering. 

5 Gebyr for betalingsinstrument

5.1 Kostnadstak for gebyr for bruk av betalingsinstrument

Hovedregelen etter gjeldende norsk rett og det tidligere betalingstjenestedirektivet (PSD1) er at betalingsmottaker ikke kan kreve høyere gebyr enn den faktiske kostnaden ved bruk av et betalingsinstrument.[9] Norges Bank mener dette er en hensiktsmessig regel. Gebyrer som reflekterer kostnader, vil i utgangspunktet[10] gi riktige signaler til brukerne med hensyn til effektivt valg av betalingsinstrument.

Kostnadstaket videreføres i PSD2 artikkel 62 ved at betalingsmottaker bare kan kreve gebyr for de faktiske kostnadene mottakeren har ved bruk av betalingsinstrumentet. Begrepet betalingsinstrument er i direktivet artikkel 4 (14) definert som «personalised device(s) and/or set of procedures agreed between the payment service user and the payment service provider and used in order to initiate a payment order». Ofte skilles det mellom betalingsinstrument og betalingsløsning i den betydning at en betalingsløsning, slik som Vipps, benytter et underliggende instrument, for eksempel et Visa betalingskort. Norges Bank forstår definisjonen av betalingsinstrument i direktivet slik at det favner bredere enn et betalingsinstrument i snever forstand, slik at prisbegrensningen i PSD2 også vil gjelde betalingsløsninger slik som Vipps, samt konto-til-konto betalinger gjennom betalingsfullmektiger.  

5.2 Forbud mot gebyr for enkelte betalingsinstrumenter

I PSD2 artikkel 62 er det inntatt en ny bestemmelse om at betalingsmottaker ikke kan kreve gebyr fra betaler for bruk av betalingsinstrument som er omfattet av regler om maksimalsatser på formidlingsgebyrer i forordningen om interbankgebyr, samt SEPA-forordningen. Under visse forutsetninger gir dette en riktig prissetting for betalingsinstrumentene som er underlagt maksimalsatsene. Maksimalsatsene er regulert med utgangspunkt i en såkalt «Merchant Indifference Test».[11] Noe forenklet innebærer dette at utsalgsstedet skal stå kostnadsmessig likt om en kunde bruker et elektronisk betalingsinstrument eller kontanter ved kjøp av varer og tjenester.

Forbudet mot gebyr for enkelte betalingsinstrumenter vil ha konsekvenser for beregning av gebyr for betalingsinstrumenter som ikke er omfattet av forbudet. Dersom konkurransen fungerer effektivt, vil bruk av de maksimalprisregulerte betalingsinstrumentene og kontanter være tilnærmet kostnadsmessig like. Dette innebærer samtidig at det alt annet likt ikke skal kunne kreves ekstra betalt for bruk av betalingsinstrumenter som det koster mindre å håndtere enn maksimalsatsene.

Maksimalsatsene er imidlertid satt generelt og passer ikke nødvendigvis norske forhold. Dessuten er kontanter antakeligvis et dårlig utgangspunkt for beregning av ekstrakostnader ved et betalingsinstrument i Norge, siden de fleste betalinger i Norge er kortbetalinger ved bruk av BankAxept.[12] Kostnadene ved bruk av BankAxept er lavere for utsalgsstedene enn kostnadene knyttet til bruk av kontanter.[13] En konsekvens av dette er at dersom kontanter benyttes som utgangspunkt for beregning av kostnader for bruk av et betalingsinstrument, vil kostnadene ved å bruke dette instrumentet beregnes for lavt relativt til kostnadene forbundet med det mest brukte betalingsinstrumentet.   

5.3 Nasjonalt handlingsrom for å utvide forbudet mot gebyr

Medlemsstatene gis i PSD2 artikkel 62 nasjonalt handlingsrom til å utvide forbudet mot gebyr for bruk av utvalgte betalingsinstrumenter ut i fra hensynet til konkurranse og effektiv bruk. Norges Bank mener at denne adgangen ikke bør benyttes. Et utvidet forbud mot gebyrer kan beskytte ineffektive tilbydere. Kunder vil mangle insentiver til å velge bort dyre betalingsinstrumenter. Det kan føre til ineffektive vridninger i bruk av ulike betalingsinstrumenter.  Regelverket bør ikke anvendes slik det kan motvirke gunstig konkurranse og innovasjon gjennom prisregulering som hindrer effektive brukervalg.

6 Endringer i betalingssystemloven

Reglene om betalingstjenestetilbyderes adgang til betalingssystemer fulgte av det PSD1 artikkel 28, og de tilsvarende EØS-reglene er gjennomført i bsl. §§ 5-2 og 5-3.

Bsl. § 5-2 angir vilkår for deltakelse i betalingssystemer. Etter lovens § 1-1 er betalingssystemer i lovens forstand «systemer for overføring av midler med formelle og standardiserte ordninger og felles regler for behandling, avregning eller oppgjør av betalingstransaksjoner.» Etter § 1-1 omfatter begrepet betalingssystem interbanksystemer og systemer for betalingstjenester.

Bsl. § 5-2 angir at vilkår for deltakelse i betalingssystemer skal være «objektive, ikke-diskriminerende og forholdsmessige». Bsl. § 5-3 gjør i dag tre unntak[14] fra reglene om like vilkår etc. for noen betalingssystemer.

Artikkel 35 i PSD2 erstatter, og gjør visse endringer i, PSD1 artikkel 28. I høringsnotatet foreslås dette gjennomført ved at ordlyden i § 5-3 bokstav b endres, og at § 5-3 bokstav c oppheves, samt at det tilføyes et nytt ledd i § 5-3 om systemer som er omfattet av finalitetsdirektivet. Norges Bank har noen kommentarer til de to sistnevnte endringene.

6.1 Forslaget om å oppheve bsl. § 5-3 bokstav c

Paragraf 5-3 bokstav c går ut på at kravet om tilgang på like vilkår ikke gjelder systemer der (kumulative vilkår):

• en betalingstjenestetilbyder opptrer både som betalerens og betalingsmottakerens betalingstjenestetilbyder,
• der betalingstjenestetilbyderen alene har ansvar for styringen av systemet og
• der andre ytere av betalingstjenester som har fått adgang til å delta i systemet ikke har noen rett til å forhandle om gebyrer seg imellom i forhold til betalingssystemet, selv om de kan innføre sin egen prissetting overfor betalere og betalingsmottakere.

Forarbeidene viser til at unntaket kan gjelde «tilbud om betalingstjenester basert på franchise virksomhet». Fortalen til PSD1 refererer til trepartsordninger (for eksempel trepartskortordninger), betalingstjenester tilbudt av telekomtilbydere/pengeoverførere og interne betalingssystemer i bankkonsern. Trepartskortordninger innebærer at eieren av kortordningen opptrer som både utsteder og innløser av korttransaksjoner. American Express (Amex) et eksempel på en trepartskortordning. 

I PSD2 artikkel 35 fremgår ikke lenger unntaket fra kravet om tilgang til betalingssystemer på like vilkår, og PSD2s materielle bestemmelser tilsier derfor at unntaket ikke videreføres. Det er derfor foreslått i høringsnotatet at unntaket tas ut av betalingssystemloven.

I pkt. 49-52 i direktivets fortale om tilgang til betalingssystemer, vises det imidlertid til at:

«The provisions relating to access to payment systems should not apply to systems set up and operated by a single payment service provider. […] In order to stimulate the competition that can be provided by such closed payment systems to established mainstream payment systems, it would not be appropriate to grant third parties access to those closed proprietary payment systems».

Fortalen gir med dette anvisning på at unntaket forutsettes videreført. 

Britiske forarbeider kommenterer ikke uoverensstemmelsen mellom fortalen og direktivets tekst.[15]  I danske forarbeider forstås artikkel 35 slik at unntaket ikke lenger gjelder.[16]  Svenske forarbeider[17] legger vekt på uttalelsen i fortalen, og innfortolker unntaket for trepartskortordninger i unntaket for konserninterne betalingssystemer, slik at unntaket er omfattet av § 5-3 b.  

Amex og andre høringsinstanser hadde i sine høringsuttalelser i den danske høringsprosessen ikke innvendinger mot at unntaket blir borte. Norges Bank har heller ikke på annen måte kjennskap til at aktørene har hatt synspunkter på at unntaket ser ut til å falle bort.  

Norges Bank er enig i de vurderinger som ligger til grunn for uttalelsene i fortalens pkt. 49-52, samtidig som en materielt riktig gjennomføring av PSD2 artikkel 35 trolig vil måtte innebære at gjeldende bsl § 5-3 bokstav c oppheves. Norges Bank vurderer det imidlertid slik at ny § 5-3 bokstav b i betalingssystemloven vil kunne favne om noen av ordningene som tidligere var omfattet av § 5-3 bokstav c, slik at intensjonen i fortalen om å stimulere til konkurranse fra mindre systemer ivaretas.

6.2 Forslag om ny bestemmelse i § 5-3 annet ledd

I høringsnotatet foreslås det et nytt annet ledd i betalingssystemloven § 5-3 om at «Deltaker i et betalingssystem som omfattes av rådsdirektiv 98/26/EF om endelig oppgjør i betalingssystem og i oppgjørssystem for verdipapir som gir én betalingstjenestetilbyder adgang til å sende transaksjoner gjennom systemet, skal på anmodning gi andre betalingstjenestetilbydere tilsvarende tilgang i tråd med § 5-2.» Hovedformålet med finalitetsdirektivet er å minske risikoen i avregnings- og oppgjørssystemer knyttet til betalinger og overføringer av finansielle instrument mellom banker eller verdipapirforetak. I Norge er NBO, NICS, DNB og VPO NOK notifisert etter rådsdirektiv 98/26/EF («finalitetsdirektivet»).

PSD2 veier hensynet til å begrense tilgangen til systemviktige betalingssystemer mot hensynet til konkurranse, og innfører regelen om at indirekte adgang til utenforstående betalingstjenestetilbydere må gis i tråd med hovedregelen i § 5-2. Dette innebærer at deltakere i disse systemene som gir indirekte tilgang til enkelte betalingstjenestetilbydere, etter anmodning også må gi andre betalingstjenestetilbydere adgang i tråd med § 5-2, dvs. tilgang på «objektive, ikke-diskriminerende og forholdsmessige» vilkår.

Norges Bank antar at denne bestemmelsen i praksis vil bli relevant for norske betalingssystem som er, og blir, notifisert etter finalitetsdirektivet. Næringen, i samarbeid med Norges Bank, har nylig utredet et prosjekt for betalinger med raskere oppgjør (BRO-prosjektet).[18] Selv om dette notifiseres etter finalitetsdirektivet, vil endringen i bsl. § 5-3 innebære at det må gis tilgang etter prinsippene i § 5-2 i tråd med de foreslåtte endringene.

Med hilsen

Øystein Olsen
Sentralbanksjef

Torbjørn Hægeland
Direktør

Fotnoter: