Vejledende udtalelse om Finanstilsynets for- tolkning af betalingsinitieringstjenester
Vejledende udtalelse om Finanstilsynets for- tolkning af betalingsinitieringstjenester
1. Finanstilsynets vejledende udtalelser
Finanstilsynet offentliggør vejledende udtalelser om, hvordan en specifik be- stemmelse eller samspillet mellem flere regelsæt skal fortolkes. Finanstilsy- nets vejledende udtalelser angår alene Finanstilsynets fortolkning til anven- delse på Finanstilsynets ressortområde, og er derfor ikke udtryk for andre myndigheders fortolkning. Der er ikke tale om indførelse af nye retsregler.
Finanstilsynet vil tilpasse sin fortolkning, hvis den måtte afvige fra fremtidig vejledning fra Den Europæiske Banktilsynsmyndighed (EBA) eller EU- Kommissionen, eller hvis markedsudviklingen nødvendiggør dette.
2. Baggrund
Finanstilsynet modtager mange henvendelser fra virksomheder, der ønsker at vide, om deres aktiviteter kræver tilladelse som udbyder af betalingsinitie- ringstjenester.
Henvendelserne sker på baggrund af lov om betalinger, som trådte i kraft den
1. januar 20181. Lov om betalinger regulerer en ny type af tjenesteudbydere, udbydere af betalingsinitieringstjenester, jf. § 7, nr. 20.
Finanstilsynet har løbende lagt rammerne for, hvilke typer virksomheder der kan betragtes som udbydere af betalingsinitieringstjenester, men har endnu ikke beskrevet en mere principiel afgrænsning.
Det skyldes, at PSD2 og lov om betalingers definition af betalingsinitierings- tjenester er meget bred. Reguleringen omfatter derfor potentielt mange for- retningsmodeller. En tekstnær fortolkning risikerer at omfatte for mange for- skellige forretningsmodeller, der også kan siges at ”initiere betalinger” fra en betalingskonto. Finanstilsynet vurderer, at det hverken med PSD2 eller imple- menteringen i lov om betalinger var tiltænkt, at så mange forretningsmodeller skulle omfattes.
Formålet med denne vejledende udtalelse er derfor nærmere at afgrænse anvendelsesområdet for § 7, nr. 20, i lov om betalinger vedrørende betalings- initieringstjenester.
Finanstilsynet
10. maj 2022
1 Lovbekendtgørelse nr. 2710 af 7. december 2021 om betalinger. Loven implementerer EU-direktiv 2015/2366 om betalingstjenester i det indre marked (PSD2).
3. Sammenfatning
Finanstilsynet vurderer, at kun udbydere, der får adgang til at iværksætte be- talingsordrer fra brugernes online betalingskonti gennem det adgangsinter- face, som de kontoførende betalingstjenesteudbydere er retligt forpligtede til at stille til rådighed, er omfattet af definitionen af betalingsinitieringstjenester i § 7, nr. 20, i lov om betalinger. Det gælder, uanset om interfacet er et dedi- keret interface eller et adapteret kundevendt interface. Udbydere, der får ad- gang til brugernes konti på anden måde, er ikke umiddelbart omfattet af defi- nitionen. Det kan eksempelvis være, hvis udbyderen har indgået en aftale med den kontoførende betalingstjenesteudbyder om adgang på anden vis end gennem det adgangsinterface, som den kontoførende betalingstjeneste- udbyder har pligt til at stille til rådighed efter lov om betalinger.
Herudover falder tekniske tjenester udenfor definitionen, jf. § 5, nr. 10, i lov om betalinger. Disse tjenester leverer eksempelvis alene en teknisk løsning, der er integreret med de kontoførende betalingstjenesteudbyderes adgangs- interface, og som gør det muligt for andre udbydere at opnå adgang til bru- gernes betalingskonti med henblik på at levere en betalingsinitieringstjeneste. Udbyderen af den tekniske tjeneste udbyder dermed ikke selv en betalings- tjeneste.
Udbydere, som får adgang på anden måde end gennem den kontoførende betalingstjenesteudbyders adgangsinterface til at levere en tjeneste til bruge- ren, skal have en aftale om dette med den kontoførende betalingstjenesteud- byder. Aftalen bør regulere ansvarsfordelingen mellem parterne, IT-sikker- hed, forbrugerbeskyttelse og forebyggende foranstaltninger mod hvidvask og terrorfinansiering. Den kontoførende betalingstjenesteudbyder er omfattet af reglerne i lov om betalinger, der eksempelvis indeholder regler om tilstrække- lig IT-sikkerhed. Den kontoførende betalingstjenesteudbyder er desuden altid ansvarlig overfor brugeren i forhold til den betalingskonto, som udbyderen stiller til rådighed for brugeren.
Får en udbyder adgang på en anden måde uden en aftale med den kontofø- rende betalingstjenesteudbyder, er der tale om uautoriseret adgang. Dette er omfattet af den kontoførende betalingstjenesteudbyders underretningsforplig- telser efter lov om betalinger.
4. Det retlige grundlag
Det fremgår af § 7, nr. 20, i lov om betalinger:
”Betalingsinitieringstjeneste: En tjenesteydelse, der iværksætter en beta- lingsordre efter instruktion fra en bruger med henblik på at foretage en be- talingstransaktion fra en betalingskonto, der udbydes af en anden udby- der end udbyderen af betalingsinitieringstjenesten” (Finanstilsynets fremhæ- velser).
Det fremgår af de specielle bemærkninger til § 7, nr. 20, i lov om betalinger: ”(…) en tjenesteydelse, hvorved der iværksættes en betalingsordre efter in- struktion fra en bruger med henblik på at foretage en betalingstransaktion fra en betalingskonto, der udbydes af en anden udbyder end udbyderen af beta- lingsinitieringstjenesten (…)
Udbydere af betalingsinitieringstjenester er karakteriseret ved, at de ikke kommer i besiddelse af brugerens midler i noget led af betalingskæden, da de alene forestår iværksættelsen af betalingen og ikke selve betalings- transaktionen. Har en udbyder af betalingsinitieringstjenester på et hvilket som helst tidspunkt brugernes midler i besiddelse vil udbydere skulle have en tilladelse til at udbyde en anden type af betalingstjenester, jf. lovforslagets bilag 1, nr.1-6.
En udbyder af betalingsinitieringstjenester kan eksempelvis levere en soft- wareløsning, til brug ved betalinger i internetforretninger, som gør udby- deren af betalingsinitieringstjenesten i stand til at iværksætte en betaling fra betalers konto hos et kontoførende institut til forretningens konto i et kontofø- rende institut. Der kan dog også være andre typer af betalingsinitieringstjene- ster” (Finanstilsynets fremhævelser).
Det fremgår af præambelbetragtning nr. 29 i PSD2: ”Betalingsinitieringstjenester gør det muligt for en betalingsinitieringstjeneste- udbyder at give betalingsmodtageren tillid til, at betalingen er initieret, med henblik på at tilskynde betalingsmodtageren til at frigive varen eller le- vere tjenesten uden unødig forsinkelse. Sådanne tjenester udgør en billig løsning for både forretningsdrivende og forbrugere og giver forbrugerne mu- lighed for at foretage onlinekøb, selv hvis de ikke ejer et betalingskort. Efter- som betalingsinitieringstjenester ikke er omfattet af direktiv 2007/64/EF, er de ikke nødvendigvis underlagt tilsyn af en kompetent myndighed og skal ikke opfyldekravene i direktiv 2007/64/EF. Dette rejser en række juridiske spørgsmål, såsom forbrugerbeskyttelse, sikkerhed og ansvar samt kon- kurrence og databeskyttelse, navnlig med hensyn til beskyttelse af beta- lingstjenestebrugerens data i overensstemmelse med Unionens databeskyt- telsesregler. De nye regler bør derfor tage hensyn til disse spørgsmål” (Fi- nanstilsynets fremhævelser).
5. Hvad udgør en betalingsinitieringstjeneste?
Finanstilsynet vurderer, at definitionen af en betalingsinitieringstjeneste i § 7, nr. 20, i lov om betalinger indeholder tre forskellige elementer.
Der skal være tale om:
i. en tjenesteydelse, der
ii. iværksætter en betalingsordre efter instruktion fra en bruger,
iii. med henblik på at foretage en betalingstransaktion fra en betalings- konto, der udbydes af en anden udbyder end udbyderen af beta- lingsinitieringstjenesten.
Udbydere af betalingsinitieringstjenester er også karakteriseret ved, at de ikke kommer i besiddelse af brugerens midler i noget led af betalingskæden. De forestår alene iværksættelsen af betalingen og ikke selve betalingstransakti- onen, jf. de specielle bemærkninger til § 7, nr. 20, i lov om betalinger. Har en udbyder af betalingsinitieringstjenester på et tidspunkt brugernes midler i be- siddelse, skal udbyderen også have en tilladelse til at udbyde en anden type betalingstjeneste, jf. bilag 1, nr.1-6, i lov om betalinger.
i. Der skal være tale om en tjenesteydelse
Finanstilsynet har overvejet, om man i grænsedragningen mellem udbydere omfattet af § 7, nr. 20, og andre udbydere kan undersøge, om udbyderen tilbyder en vare eller en tjenesteydelse til brugeren. Kun i det tilfælde, hvor en bruger erhverver en tjenesteydelse fra udbyderen, kan der være tale om en betalingsinitieringstjeneste.
Denne sondring har i praksis vist sig at være vanskelig. Der er ofte tale om softwareløsninger, som enten udbydes gennem cloudløsninger eller down- load. Det er ikke tydeligt, om et stykke software skal anses for at være en vare eller en tjenesteydelse. Denne sondring er særligt vanskelig at foretage i prak- sis med udbredelsen af Software as a service (SaaS)-løsninger. Hvert enkelt tilfælde må derfor vurderes konkret.
Hvis en udbyder tilbyder en tjeneste til en bruger, skal udbyderen vurdere, om brugeren selv iværksætter betalingsordrer for at foretage betalingstransaktio- ner fra egen betalingskonto, eller om det er udbyderen af tjenesten, der iværk- sætter betalingsordrer efter instruktion fra brugeren.
I nogle tilfælde kan der være tale om en decentral tjeneste, eksempelvis et stykke software, som brugeren kan benytte uden at indgå aftale med en be- stemt aktør om leveringen af en tjeneste. Det er særligt aktuelt i forhold til brugen af kryptoaktiver og blockchain til at levere finansielle tjenesteydelser,
herunder gennemførelse af betalinger. Såkaldte smartkontrakter (et stykke software tilgængeligt på en blockchain) kan eksempelvis bruges til at initiere betalingstransaktioner, hvis det givne kryptoaktiv kan karakteriseres som mid- ler. I disse decentrale tjenester optræder der ikke, som ved traditionelle cen- trale tjenester, nødvendigvis mellemmænd som f.eks. banker eller betalings- tjenesteudbydere til at levere tjenesten til brugeren. Det betyder, at teknolo- gien i sig selv muliggør, at en autonom smartkontrakt udfører en tjeneste i stedet for en bestemt aktør.
Hvis der er tale om et stykke software uden en egentlig udbyder bag, som ikke specifikt tilbyder brugeren at levere en betalingstjeneste, så kan der ek- sempelvis være tale om teknisk infrastruktur eller en teknisk tjeneste. Disse typer af tjenester kan være undtaget fra anvendelsesområdet af lov om beta- linger, jf. § 5, nr. 10.
PSD2 og lov om betalinger regulerer som udgangspunkt kun tjenester, hvor der er et kontraktuelt forhold mellem en bruger og en udbyder, jf. præambel- betragtning nr. 87 i PSD2. Finanstilsynet lægger derfor vægt på, om tjenesten udbydes af en udbyder, der specifikt tilbyder brugeren at levere en betalings- tjeneste og indgår aftale med brugeren om det. I dette tilfælde kan der være tale om udbud af en betalingsinitieringstjeneste.
ii. Udbyderen skal iværksætte en betalingsordre efter instruktion fra brugeren Dette element indebærer, at brugeren skal give sit udtrykkelige samtykke til, at udbyderen kan iværksætte en betalingsordre på vegne af brugeren. Ved betalingsordre forstås: ” En instruktion fra en betaler eller en betalingsmodta- ger til en udbyder af betalingstjenester om at gennemføre en betalingstrans- aktion.”, jf. § 7, nr. 5, i lov om betalinger. PSD2 eller lov om betalinger define- rer ikke, hvad det vil sige at ”iværksætte” en betalingsordre. Finanstilsynet forstår som udgangspunkt, at enhver formidling af en instruktion til den kon- toførende betalingstjenesteudbyder om at iværksætte en betalingstransaktion vil være omfattet af bestemmelsen ud fra en ordlydsfortolkning. Det vil med- virke til, at definitionen af betalingsinitieringstjenester i § 7, nr. 20, er for bred.
Det fremgår af EU-Domstolens faste praksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori bestemmelsen indgår, og til de mål, der for- følges med den ordning, som den udgør en del af, jf. f.eks. C-294/15 af den
13. oktober 2016, præmis 26.
Da PSD2 blev udarbejdet, fandtes der primært tjenesteudbydere, som tilbød konto-til-konto-overførsler som alternativ til kortbetalinger i forbindelse med handel i internetforretninger.
Det fremgår af præambelbetragtning nr. 29 i PSD2, at: ”Betalingsinitierings- tjenester gør det muligt for en betalingsinitieringstjenesteudbyder at give be- talingsmodtageren tillid til, at betalingen er initieret, med henblik på at til- skynde betalingsmodtageren til at frigive varen eller levere tjenesten uden unødig forsinkelse. Sådanne tjenester udgør en billig løsning for både forret- ningsdrivende og forbrugere og giver forbrugerne mulighed for at foretage onlinekøb, selv hvis de ikke ejer et betalingskort” (Finanstilsynets frem- hævelser).
Finanstilsynet vurderer derfor, at det var denne type tjenester, det var formålet at regulere, da definitionen af betalingsinitieringstjenester blev affattet.
Siden er der opstået mange andre forretningsmodeller, som også vil kunne omfattes af ordlyden i § 7, nr. 20, i lov om betalinger. Også forretningsmodel- ler, der har eksisteret i mange år inden PSD2 og lov om betalinger (f.eks. såkaldte enterprise ressource planning systems - i daglig tale omtalt ERP- systemer eller økonomistyringssystemer for virksomheder), vil potentielt kunne omfattes. Disse tjenester er kendetegnet ved, at de typisk udbydes på baggrund af et treleddet kontraktuelt grundlag om, at ERP-systemet kan bru- ges som betalingsløsning. Kontrakterne indgås mellem:
• ERP-systemet og den kontoførende betalingstjenesteudbyder
• den kontoførende betalingstjenesteudbyder og kunden
• ERP-systemet og kunden.
Finanstilsynet har den opfattelse, at de færreste ERP-systemer får adgang til at iværksætte betalingsordrer gennem de adgangsinterfaces, som de konto- førende betalingstjenesteudbydere skal stille til rådighed for udbydere af be- talingsinitieringstjenester efter PSD2. De fleste ERP-systemer får derimod ad- gang på baggrund af kontraktuelle forhold som beskrevet ovenfor.
Finanstilsynet vurderer, at det ikke var hensigten, at PSD2 skulle regulere ERP-systemer ved at lade dem være omfattet af definitionen af udbydere af betalingsinitieringstjenester.
Finanstilsynet vurderer, at formålet med reguleringen var at give udbydere af betalingsinitierings- og kontooplysningstjenester (samlet betegnet tredje- partsudbydere) ret til at indhente oplysninger om eller iværksætte betalinger fra brugernes online betalingskonti hos de kontoførende betalingstjenesteud- bydere (typisk banker) på baggrund af brugerens udtrykkelige samtykke. For- målet med dette var bl.a. at skabe mere konkurrence, fremme innovation og sikre bedre og billigere tjenester for forbrugere2.
2 xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXXXXX:0000000000_0&xxxxxXX
Inden PSD2 og implementeringen af direktivet i lov om betalinger havde tred- jepartsudbydere ikke ret til at indhente oplysninger om eller iværksætte beta- linger fra brugernes online betalingskonti hos de kontoførende betalingstjene- steudbydere. Kun tredjepartsudbydere, som havde indgået et aftaleforhold med kontoførende betalingstjenesteudbydere om adgang til betalingskonti, var sikre på at kunne få adgang.
Med PSD2 og lov om betalinger har tredjepartsudbydere ret til at indhente oplysninger om eller iværksætte betalinger fra brugernes online betalingskonti hos de kontoførende betalingstjenesteudbydere. En kontoførende betalings- tjenesteudbyder kan ikke længere kræve, at der er et aftaleforhold mellem denne og tredjepartsudbyderen, inden adgang gives, jf. § 83, stk. 2, i lov om betalinger. Det forudsætter, at udbyderen har tilladelse til at udbyde betalings- initierings- eller kontooplysningstjenester.
Med denne ret for tredjepartsudbydere følger også en række pligter i lovgiv- ningen. De skal sikre forbrugerbeskyttelse og have tilstrækkelig IT-sikkerhed. Udbydere af betalingsinitieringstjenester skal også sikre forebyggende foran- staltninger mod hvidvask og finansiering af terrorisme.
iii. Der skal være tale om en betalingstransaktion fra en betalingskonto, der udbydes af en anden udbyder end udbyderen af betalingsinitieringstjenesten Dette led i definitionen af betalingsinitieringstjenester fastsætter, at initierin- gen af betalingsordren skal vedrøre en betalingskonto hos en anden beta- lingstjenesteudbyder. Det forudsætter, at tredjepartsudbyderen har adgang til at iværksætte en betalingsordre fra brugerens betalingskonto, som føres af brugerens kontoførende betalingstjenesteudbyder. Formålet med at omfatte tredjepartsudbydere af PSD2 var netop at give disse ret til at indhente oplys- ninger om eller iværksætte betalinger fra betalingskonti hos de kontoførende betalingstjenesteudbydere. Dette for at skabe mere konkurrence, fremme in- novation og sikre bedre og billigere tjenester for forbrugere.
Kravet om, at de kontoførende betalingstjenesteudbydere skal give adgang til tredjepartsudbydere, er udmøntet i § 83, stk. 1, i lov om betalinger: ”En bruger, som har en betalingskonto, der er tilgængelig online, har ret til at gøre brug af en udbyder af betalingsinitieringstjenester, jf. bilag 1, nr. 7, eller kon- tooplysningstjenester, jf. bilag 1, nr. 8.”
Kravet er nærmere specificeret i § 86, stk. 2, i lov om betalinger, der fastsæt- ter: ”Den kontoførende udbyder skal kommunikere med udbyderen af beta- lingsinitieringstjenester på en sikker måde i overensstemmelse med de reg- ler, der udstedes af Kommissionen i medfør af artikel 98 i Europa-Parlamen- tets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstje- nester i det indre marked”. På tilsvarende måde fremgår følgende af § 84, stk. 2, nr. 2, i lov om betalinger: ”Udbyderen af betalingsinitieringstjenester skal i forbindelse med udførelsen af betalingsinitieringstjenesten gøre følgende: (...)
3) Kommunikere med den kontoførende udbyder, brugeren og betalingsmod- tageren på en sikker måde i overensstemmelse med de regler, der udste- des af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked” (Finanstilsynets fremhævelser).
De regler, der fastsætter kommunikationsformen mellem den kontoførende betalingstjenesteudbyder og udbyderen af betalingsinitieringstjenesten, er nu gennemført af Kommissionen i EU-forordning 2018/389 om reguleringsmæs- sige tekniske standarder for stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation (RTS’en).
Følgende fremgår af artikel 30 i RTS’en: ”kontoførende betalingstjenesteud- bydere, som tilbyder betaleren en betalingskonto, der kan tilgås online, skal som et minimum have et interface til rådighed, som opfylder følgende krav: (…)
c) betalingsinitieringstjenesteudbydere kan kommunikere sikkert med det formål at initiere en betalingsordre fra betalerens betalingskonto og modtage alle oplysninger om betalingstransaktionens initiering og alle oplys- ninger, som er tilgængelige for de kontoførende betalingstjenesteudbydere, vedrørende betalingstransaktionens gennemførelse” (Finanstilsynets frem- hævelser).
Et adgangsinterface (eksempelvis et såkaldt API) kan beskrives som den kon- toførende betalingstjenesteudbyders ”stikkontakt”, der giver mulighed for at indhente oplysninger om eller iværksætte betalinger fra brugernes betalings- konti. En tredjepartsudbyder skal benytte et ”stik”, som passer til den konto- førende betalingstjenesteudbyders ”stikkontakt”. Det er gennem denne for- bindelse, at sikker kommunikation og udveksling af data mellem udbyderen og den kontoførende betalingstjenesteudbyder foregår. Tredjepartsudbydere kan dermed iværksætte betalingsordrer fra brugernes betalingskonti hos de kontoførende betalingstjenesteudbydere gennem de interfaces, som de kon- toførende betalingstjenesteudbydere gennem lovgivningen har pligt til at stille til rådighed.
Finanstilsynet vurderer på baggrund af ovenstående betragtninger, at EU- lovgiver har forudsat, at kommunikationen mellem den kontoførende beta- lingstjenesteudbyder og udbyderen af betalingsinitieringstjenesten skal finde sted gennem de adgangsinterfaces, som de kontoførende betalingstjeneste- udbydere har pligt til at stille til rådighed.
En udbyder, som bruger en anden kanal til at få adgang til at iværksætte be- talingsordrer fra betalingskonti hos en kontoførende betalingstjenesteudby- der, er ifølge Finanstilsynet ikke udbyder af betalingsinitieringstjenester.
Denne har dermed ikke ret til at iværksætte betalinger fra brugernes beta- lingskonti hos de kontoførende betalingstjenesteudbydere efter PSD2 og lov om betalinger.
Finanstilsynet vurderer sammenfattende følgende:
Definitionen af en betalingsinitieringstjeneste i § 7, nr. 20, i lov om betalinger omfatter alene udbydere, der:
• til at iværksætte betalingsordrer på vegne af brugeren benytter det ad- gangsinterface, som de kontoførende betalingstjenesteudbydere har pligt til at stille til rådighed (det gælder uanset, om interfacet er et dedikeret interface eller et adapteret kundevendt interface)
• iværksætter betalingsordren for at gennemføre en betalingstransaktion fra brugerens betalingskonto, som udbydes af den kontoførende beta- lingstjenesteudbyder.
6. Afgrænsning
Aftale om adgang på anden måde
Hvis en udbyder ikke gør brug af den kontoførende betalingstjenesteudbyders adgangsinterface, men iværksætter en betalingsordre fra brugerens online betalingskonto på anden vis, vurderer Finanstilsynet, at der ikke er tale om en udbyder af betalingsinitieringstjenester omfattet af § 7, nr. 20, i lov om beta- linger.
En sådan adgang forudsætter, at udbyderen har en aftale om dette med den kontoførende betalingstjenesteudbyder. I det omfang, der er sådan en aftale, som giver udbyderen adgang til at iværksætte en betalingsordre efter instruk- tion fra en bruger, forventer Finanstilsynet, at aftalen regulerer ansvarsforde- lingen mellem parterne. Det gælder eksempelvis håndtering af IT-sikkerhed, forbrugerbeskyttelse og forebyggende foranstaltninger mod hvidvask og ter- rorfinansiering. Den kontoførende betalingstjenesteudbyder er desuden altid ansvarlig overfor brugeren i forhold til den betalingskonto, som udbyderen stiller til rådighed for brugeren.
PSD2 og lov om betalinger indeholder regler, der sikrer ansvarsfordelingen mellem udbyderen og den kontoførende betalingstjenesteudbyder, IT- sikkerhed, forbrugerbeskyttelse og forebyggende foranstaltninger mod hvid- vask og terrorfinansiering. Finanstilsynet vurderer derfor, at en sådan aftale om adgang, der sikrer de nævnte beskyttelseshensyn, støtter Finanstilsynets fortolkning. Alene udbydere, som får adgang til at iværksætte betalingsordrer fra brugernes betalingskonti gennem den kontoførende betalingstjenesteud- byders adgangsinterface, bør derfor være omfattet af definitionen i § 7, nr. 20, i lov om betalinger.
En aftale om adgang mellem en udbyder, som ikke har tilladelse som udbyder af betalingsinitieringstjenester (og derfor ikke er omfattet af reguleringen), og en kontoførende betalingstjenesteudbyder kan indgå i Finanstilsynets tilsyn med den kontoførende betalingstjenesteudbyder. Denne er omfattet af reg- lerne i lov om betalinger, der eksempelvis indeholder krav om, at en udbyder skal sikre tilstrækkelige IT-sikkerhed. Såfremt en udbyder får adgang på an- den vis uden en aftale med den kontoførende udbyder, er der tale om uauto- riseret adgang. Dette er omfattet af den kontoførende betalingstjenesteudby- ders underretningsforpligtelser efter lov om betalinger.
Udbydere af tekniske tjenester
Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbud- det af betalingstjenester, er undtaget fra lov om betalingers anvendelsesom- råde. Det følger af § 5, nr. 10, i lov om betalinger. Det forudsætter, at udby- deren på intet tidspunkt er i besiddelse af midlerne, som skal overføres.
En udbyder, der alene ”bygger en stikkontakt”, altså et stykke software, der kan anvendes til at indhente oplysninger om eller iværksætte en betalingsor- dre fra en brugers betalingskonto hos den kontoførende betalingstjenesteud- byder, er ikke nødvendigvis en udbyder af betalingsinitieringstjenester. Fi- nanstilsynet ser flere typer af gateways, som alene udvikler dette stykke soft- ware til andre udbyderes brug, men som ikke selv iværksætter betalingsordrer fra brugeres betalingskonti hos kontoførende betalingstjenesteudbydere.
Der kan i dette tilfælde være tale om, at udbyderen blot udbyder tekniske tje- nester, der understøtter udbuddet af betalingstjenester, som udbydes af an- dre aktører, jf. § 5, nr. 10, i lov om betalinger. Disse andre aktører udgør mu- ligvis udbydere af betalingsinitieringstjenester, hvis de bruger den tekniske tjeneste til at iværksætte betalingsordrer fra brugerens betalingskonto hos dennes kontoførende betalingstjenesteudbyder.
Finanstilsynet bemærker, at en udbyder af tekniske tjenester ikke har noget aftaleforhold med brugeren om at levere en betalingstjeneste. Xxxxx xxxx- xxxx, som anvender en udbyder af tekniske tjenester til at få adgang til en brugers betalingskonto for at levere en betalingsinitieringstjeneste til bruge- ren, har aftaleforholdet med brugeren. Disse skal derfor umiddelbart have en tilladelse fra Finanstilsynet.
7. Er din tjeneste tilladelsespligtig?
Ansøgningsskema og vejledning vedrørende ansøgning om at udbyde beta- lingsinitieringstjenester kan findes her. Virksomheden skal ansøge om tilla- delse som betalingsinstitut med tilladelse til at udbyde betalingsinitieringstje- nester, jf. § 9, i lov om betalinger.
8. Hvis aktiviteten ikke er tilladelsespligtig
En virksomhed, der ikke skal ansøge om tilladelse for at udøve aktiviteten, skal være opmærksom på, at den ikke har retskrav på at få adgang til at iværksætte betalingsordrer fra brugerens betalingskonto hos den kontofø- rende betalingstjenesteudbyder. Den kontoførende betalingstjenesteudbyder har derfor mulighed for at nægte adgang, jf. § 83 i lov om betalinger modsæt- ningsvist.
9. Kontakt
Finanstilsynets fintech-team tilbyder virksomheder vejledning i den finansielle lovgivning. Finanstilsynet vil altid se på den enkelte virksomheds forretnings- model for at vurdere, hvilke regler der skal iagttages, og hvilke tilladelser virk- somheden eventuelt skal ansøge om.
Fintech-teamet kan kontaktes på xxxxxxx@xxxxx.xx og hotline + 4533558400.