Advocaat PSD2: fintechs komen er nu echt aan?

PSD2 is een nieuwe richtlijn voor innovatieve betaaldiensten en breekt de markt open voor fintecs om inzicht te krijgen in betaalgegevens van banken. De impact voor de bankensector is enorm.

De komst van PSD2 wordt dan door banken veelal met lede ogen aangezien: het openstellen van de bank infrastructuur voor fintecs (open banking) gaat gedeeltelijk ten koste van het verdienmodel van banken. Bovendien staan de meeste banken niet te springen om betaalgegevens te delen. Maar er zijn natuurlijk ook voordelen, ook voor banken.

PSD2 beoogt namelijk standaarden te ontwikkelen voor de uitwisseling van gegevens en toegang tot bestaande systemen te garanderen. De concurrentie moet dus voor betaaldiensten worden vergroot en zal tot nieuwe samenwerking van banken en fintechs leiden. Daar waar eerst de verwachting was dat Fintechs een groot deel van de taart zouden gaan opeten, is dat beeld gekanteld en hebben fintechts / startups ook hulp nodig, getuige ook wel het artikel vandaag in de FD. Hoewel de kop niet altijd de realiteit weerspiegelt (banken en verzekeraars ontfermen zich over financiele startups – omdat het soms natuurlijk ook keiharde concurrenten zijn), is het wel waar dat banken natuurlijk kapitaalkrachtiger en meer ervaren zijn.

Hieronder bespreek ik enkele aspecten van de PSD2. Twijfelt u of u een vergunning nodig hebt? Of bent u al bezig en hebt u vragen over de PSD2, neem dan vrijblijvend contact met ons als advocaat financieel recht over vragen aangaande PSD2.

Wat is de stand van de invoering van PSD2?

PSD2 is net door de Tweede Kamer heen en gaat naar de Eerste Kamer, zodat de verwachting is dat in 2018 de Wet definitief wordt ingevoerd. Veel te laat ingevoerd door Nederland (what else is new?), maar is gedeeltelijk het gevolg van de vraag hoe om te gaan met privacy onder PSD2. Punt van aandacht was bijvoorbeeld wie de toezichthouder zou gaan worden, omdat natuurlijk een groot deel van PSD2 betrekking heeft op betaalgegevens en privacygevoelige kwesties. De AVG is van toepassing en in eerste instantie zou uitsluitend DNB toezichthouder zijn, maar nu is dat stokje overgenomen door de Autoriteit Persoonsgegevens.

Wat zijn dan de mogelijkheden onder de PSD2?

Er komen verschillende soorten betaaldienstverleners. Een betaaldienstverlener is op grond van de Wet op het financieel toezicht gedefinieerd als een onderneming die zijn bedrijf maakt van het verlenen van betaaldiensten. De PSD2 maakt onderscheid tussen verschillende diensten, waaronder:

i)             rekeninginformatiedienstverleners: dit betreffen partijen die informatie van verschillende bankrekeningen samenvoegen;

ii)            betalingsinitiatiefdienstverleners: betaalopdrachten die worden uitgevoerd via een app of online omgeving; tikkie is daar het bekendste voorbeeld van. Afkomstig van, jawel, ABN AMRO.

Het goede nieuws is dat, ondanks dat de Wet nog niet volledig in werking is gegaan, er wel de mogelijkheid bestaat om een concept aanvraag vergunning in te dienen bij DNB. Dan kan DNB alvast aanvangen met het beoordelen van de aanvraag en kan de vergunning meteen worden verleend op het moment dat de Eerste Kamer de Wet heeft goedgekeurd.

Wat zijn de risico’s dan? Weer fraude en business boven compliance zoals bij ING?

Van belang bij de vergunningsaanvraag is dat weliswaar banken nu gegevens moeten delen (waarbij de toegang niet meer belemmerd mag worden), maar dat er ook een aantal regels is verscherpt, bijvoorbeeld op het gebied van controle op mogelijke fraude.

Zeker met de problematiek van ING en de grootschalige incidenten met betrekking tot witwassen, valt te verwachten dat hier de nodige problemen zullen plaatsvinden. Natuurlijk zijn er weer de mooie woorden, maar compliance zijn betekent geld uitgeven in plaats van geld verdienen, zodat mijn verwachting is dat de geschiedenis zich zal herhalen. DNB zal te maken krijgen met (veel) meer partijen, waar vaker handhaving zal moeten volgen. Bovendien voorzie ik dat de AVG tot de nodige handhaving zal leiden. De vraag is of de samenwerking tussen DNB en Autoriteit Persoonsgegevens zo is, dat beide toezichthouders precies weten welke problematiek er over en weer kan spelen.

Hoewel de hoogste boete ooit bij ING aantoont dat ING de business boven compliance plaatste (en wellicht: plaatst), hebben banken over het algemeen veel meer ervaring, kennis en kunde bij het signaleren van fraude.

De komst van PSD2 biedt weliswaar als grote voordeel de mogelijkheid aan een hele reeks aan nieuwe diensten, maar nieuwe diensten betekent ook nieuwe mogelijkheden tot fraude en wellicht ook (te goeder trouw) onderschatting van het omgaan met de privacy. Er kunnen veiligheidslekken bestaan, de mogelijkheden van phishing zullen worden onderzocht. Juist de nieuwe dienst zullen gevoelig zijn voor veiligheidslekken bevatten.

Welke vrijstellingen bestaan er onder de PSD2

Die risico’s zullen ook bestaan bij partijen die weliswaar niet vergunningplichtig zijn, maar wel onder de Wwft vallen. Onder de Wwft is zo’n beetje iedereen het verlengstuk van Openbaar Ministerie en DNB/ AFM geworden en is iedereen toezichthouder van de Wwft. Dat is wat gechargeerd gesteld, dat weet ik, maar het is natuurlijk wel zo dat er verschuiving bestaat van wie er nu (mede) toezicht moet houden.

In artikel 1:5a, tweede lid van de Wet op het financieel toezicht (Wft) staat een aantal diensten omschreven die niet worden gekwalificeerd als betaaldiensten.

Zo zijn diensten waarmee geen betaalrekening is betrokken, uitgezonderd van een PSD2 vergunning. Ook diensten waarbij contant geld (cash) wordt vervoerd zijn uitgezonderd van een vergunningplicht. Vanzelfsprekend is wel de Wwft van toepassing.

Betalingstransacties die worden verricht door een handelsagent worden niet gekwalificeerd als betaaldiensten. Een handelsagent treedt op voor rekening van de betaler of voor degene aan wie wordt betaald, en is betrokken bij (de totstandkoming) van de koop of verkoop van goederen en diensten. Let op: de handelsagent kan wel onder de Wwft vallen.

Een technisch dienstverlener (een onderneming die enkel diensten levert die betaaldiensten ondersteunen), wordt ook niet als betaaldienstverlener aangemerkt. Van belang hierbij is dat de (technische) ondersteuner zelf nooit in het bezit komt van de gelden.

Dit zijn slechts enkele vrijstellingen. Bedacht moet worden dat een vrijstelling onder de PSD2 niet betekent dat de Wwft dan niet van toepassing zou zijn.

Handhaving door DNB:

DNB heeft verschillende mogelijkheden om te handhaven, bijvoorbeeld het leggen van een last onder dwangsom, te weten dat binnen een bepaalde periode bijvoorbeeld informatie moet worden verstrekt, op straffe van een dwangsom, of andere sancties, zoals het opleggen van een bestuurlijke boete.Als advocaat gespecialiseerd in handhaving van AFM en DNB, ben ik erg benieuwd hoe de samenwerking met de Autoriteit Persoonsgegevens zal verlopen. Ook de AP heeft dergelijke vergaande handhavingsbevoegdheden, maar worden deze gelijktijdig ingezet? Ook met een vergunning met PSD2 zal de betaaldienstverlener daar rekening mee moeten houden.

Vragen over de PSD2?

Hebt u zelf vragen over de PSD2? Aarzel dan niet contact op te nemen met advocaat Jasper Hagers.