De impact van de nieuwe richtlijn betalingsdiensten (PSD II) op de Europese betaalmarkt
INHOUD
2. Toepassingsgebied 2.1. Uitbreiding van het toepassingsgebied (a) Geografische uitbreiding
2.2. Verduidelijking en beperking van de uitsluitingen (a) Algemeen
(b) Kleine betalingsinstellingen
(g) Technischedienstaanbieders
3. Toegang tot betalingssystemen en rekeningen
4. Veiligheid van betalingen 4.1. Beheersing van risico's en rapportering
4.2. Sterke cliëntauthenticatie
5. Bescherming van betalers 5.1. Algemeen
5.2. Wijziging en beëindiging raamovereenkomst
5.3. Informatie over betalingstransacties
5.4. Aanrekening van toeslagen (“surcharging”)
5.5. Blokkering van betaalinstrumenten
5.6. Aansprakelijkheid in geval van niet-toegestane betalingstransacties
5.7. Betalingstransacties waarbij het transactiebedrag niet vooraf bekend is
1. | Inleiding |
1.De richtlijn nr. 2015/2366 betreffende betalingsdiensten in de interne markt [2] (hierna PSD II) is in werking getreden op 13 januari 2016 en vervangt de richtlijn nr. 2007/64/EG betreffende betalingsdiensten in de interne markt [3] (hierna PSD I). De EU-lidstaten zullen PSD II tegen uiterlijk 13 januari 2018 moeten omzetten in nationaal recht.
PSD II maakt deel uit van het herziene juridisch kader van de Europese Unie inzake betalingsdiensten, aangenomen door de Europese Commissie op 24 juli 2013, dat ook de nieuwe verordening nr. 2015/751 betreffende afwikkelingsvergoedingen voor op kaarten gebaseerde betalingstransacties [4] (hierna de MIF-Verordening) behelst.
2.PSD II bevat een reeks nieuwe bepalingen met als gevolg dat heel wat betalingsdienstaanbieders en banken hun systemen en processen zullen moeten aanpassen. Naast een sterke uitbreiding van het toepassingsgebied is PSD II ook beter aangepast aan de technologische innovaties die het betalingslandschap de voorbije jaren significant hebben veranderd. Door de creatie van twee nieuwe types van betalingsdienstaanbieders tracht de Europese wetgever om ook de niet-traditionele spelers op de betaalmarkt, zoals “FinTechs”, telecom- en technologische ondernemingen te reguleren.
Dergelijke “nieuwe” spelers op de markt konden zich onder PSD I vaak beroepen op de uitsluiting voor zogenaamde “technische dienstverleners” [5]. Onder PSD II is dit niet langer mogelijk wanneer ze kwalificeren als betalingsinitiatie- of rekeninginformatiedienstaanbieder. Als een quid pro quo voor het onderhevig worden aan regulatoir toezicht, verkrijgen deze aanbieders toegang tot betalingssystemen en rekeningen en worden ze in de mogelijkheid gesteld om hun diensten te paspoorten in de ganse Europese Unie, wat uiteraard heel wat nieuwe mogelijkheden biedt.
3.PSD II vergemakkelijkt niet enkel technologische innovatie, maar verhoogt tevens de bescherming van consumenten dankzij een grotere transparantie en bescherming voor het aanrekenen van bepaalde kosten. Ten slotte bevat PSD II diverse bepalingen rond de veiligheid van betalingstransacties als reactie op de steeds groeiende cybercriminaliteit en onlinefraude.
4.Gelet op de hoeveelheid aan bepalingen die PSD II bevat, behoort een volledige bespreking van PSD II niet tot het bestek van deze bijdrage. Met dit artikel trachten we eerder een samenvattend overzicht weer te geven van de wijzigingen die de grootste impact zullen hebben op de huidige Europese betaalmarkt [6].
2. | Toepassingsgebied [7] |
2.1. | Uitbreiding van het toepassingsgebied |
(a) Geografische uitbreiding |
5.PSD I is van toepassing op alle types betalingsdiensten uitgevoerd in euro of in de valuta van een lidstaat buiten de eurozone (bv. Deense kroon). PSD I is bovendien enkel van toepassing indien zowel de betalingsdienstaanbieder van de betaler als de betalingsdienstaanbieder van de begunstigde, of de enige bij de betalingstransactie betrokken betalingsdienstaanbieder, in de Europese Economische Ruimte gevestigd is/zijn (het “both legs in”-principe) [8].
6.Op enkele uitzonderingen na, geldt PSD II daarentegen voor transacties in alle valuta en bovendien zelfs voor de zogenaamde “one-leg in”-transacties, waarbij slechts een van beide betalingsdienstaanbieders zich in de EER bevindt [9]. Sommige lidstaten hebben bepaalde beschermingsbepalingen uit PSD I ook reeds opgelegd aan het EER-deel van de transactie voor betalingen naar landen buiten de EER.
7.Onder PSD I valt een betalingstransactie in Amerikaanse dollars uitgevoerd door een betalingsdienstgebruiker via een betalingsdienstaanbieder van Brussel naar Frankfurt niet binnen het toepassingsgebied van de richtlijn (geen betaling in euro of in de valuta van een lidstaat binnen de eurozone). Hetzelfde geldt voor een betalingstransactie (in eender welke valuta) van Brussel naar Hong Kong (geen “both legs in”).
Beide voorbeelden bevinden zich onder PSD II wel binnen het toepassingsgebied, hoewel er in dergelijk geval een verlaagd niveau van bescherming van klanten geldt met betrekking tot de informatievereisten en de verplichtingen van betalingsdienstaanbieders [10]. In het eerste voorbeeld zijn betalingsdienstaanbieders niet verplicht om de maximale uitvoeringstermijn mee te delen, om af te zien van het inhouden van kosten op overgemaakte bedragen of om te verzekeren dat de begunstigde de gelden ontvangt op de eerstvolgende werkdag (D+1). Als er slechts een deel van de betalingstransactie binnen de EER wordt uitgevoerd (bv. van Brussel naar Hong Kong), zal de betalingsdienstaanbieder enkel verantwoordelijk zijn voor dat deel van de transactie. In dat geval wordt een verder verlaagd niveau van verplichtingen en bescherming toegepast, bijvoorbeeld m.b.t. het verstrekken van informatie, het aanrekenen van kosten, de timing van ontvangst van de gelden en de aansprakelijkheid lastens klanten voor niet-uitvoering, gebrekkige uitvoering of niet-tijdige uitvoering van de betalingstransactie. Huidige algemene voorwaarden en servicestandaarden van betalingsdienstaanbieders zullen aldus moeten worden herzien.
(b) Nieuwe betalingsdiensten |
8.PSD II definieert twee nieuwe soorten betalingsdiensten die de bestaande lijst van betalingsdiensten in de bijlage bij PSD I [11] aanvullen, namelijk betalingsinitiatiediensten en rekeninginformatiediensten. Hoewel dergelijke diensten reeds bestaan, is hun wettelijke en reglementaire status onduidelijk gelet op het stilzwijgen van PSD I en kunnen deze diensten thans aangeboden worden in een grijze zone. De ratio achter het reguleren van deze betalingsdiensten is enerzijds het verhogen van de concurrentie op de betaalmarkt door de obstakels te verwijderen waarmee niet-banken werden geconfronteerd. Anderzijds zullen de bepalingen van PSD II banken aanmoedigen om te innoveren, zodat zij niet worden opzijgeschoven door hun klanten ten voordele van andere betalingsdienstaanbieders. Ten slotte kan PSD II ook nieuwe businessmodellen en de samenwerking tussen banken en niet-banken stimuleren [12]. De aanbieders van deze nieuwe betalingsdiensten zullen een vergunning of registratie als betalingsinstelling moeten bekomen, die wel minder belastend is dan voor andere betalingsdienstaanbieders (bv. geen eigenvermogensvereisten).
9.Een betalingsinitiatiedienst wordt gedefinieerd als “een dienst voor het initiëren van een betalingsopdracht, op verzoek van de betalingsdienstgebruiker, met betrekking tot een betaalrekening die bij een andere betalingsdienstaanbieder wordt aangehouden” [13].
Betalingsinitiatiedienstaanbieders helpen dus om een betaling te initiëren van de rekening van de gebruiker naar de rekening van de begunstigde door een softwareverbinding tot stand te brengen tussen beide rekeningen of tussen een rekening en een service provider in de betaalketen, de noodzakelijke informatie in te vullen om de transactie uit te voeren (bedrag van de transactie, rekeningnummer, referte) en de begunstigde te berichten wanneer de transactie geïnitieerd is [14]. Aangezien PSD II het concept “initiëren” niet definieert, is het niet volkomen duidelijk wat hiermee bedoeld wordt.
Zo is bijvoorbeeld de vraag of men met de “digital wallet” (een elektronische portefeuille waarmee men meerdere betaalkaarten in eenzelfde applicatie kan bijhouden en daarmee betalingen kan uitvoeren) betalingen “initieert” en of de aanbieders van dergelijke “digital wallets” bijgevolg een vergunning als betalingsinitiatiedienstaanbieder moeten bekomen. Interessant is dat het Europees Parlement tijdens de onderhandelingen van PSD II een wijziging aan de tekst had voorgesteld om aanbieders van “digital wallets” van het toepassingsgebied van de richtlijn expliciet uit te sluiten [15]. Deze wijziging werd uiteindelijk echter niet weerhouden, waaruit men enerzijds zou kunnen concluderen dat dergelijke “digital wallets” inderdaad betalingsinitiatiediensten zijn of anderzijds dat de EU-organen deze expliciete uitsluiting overbodig achtten aangezien het duidelijk is dat “digital wallets” niet onder het toepassingsgebied vallen. Het valt af te wachten of hierover op nationaal niveau verduidelijking zal volgen. O.i. vallen “digital wallets” buiten het toepassingsgebied van betalingsinitiatiediensten, indien ze geen softwareverbinding met de rekening tot stand brengen en zich louter beperken tot de authenticatie van de betalingsdienstgebruiker, wat onder de toegelaten uitzondering voor technischedienstaanbieders valt [16].
Klanten zullen het recht hebben om een betalingsinitiatiedienst te gebruiken als hun rekening online toegankelijk is. Dergelijke dienst biedt consumenten en winkeliers de mogelijkheid om goedkopere betalingstransacties uit te voeren zonder het gebruik van een krediet- of debetkaart. De instemming van de klant om de transactie uit te voeren wordt gegeven via de betalingsinitiatiedienst die de identiteit en de beveiligingsinformatie van de klant zal gebruiken om toegang te krijgen tot diens rekening. Bovendien moet de rekeninghoudende betalingsdienstaanbieder de betalingsinitiatiedienst toestaan om gebruik te maken van diens authenticatieprocedures.
De toegang is niet afhankelijk van een contract tussen de rekeninghoudende betalingsdienstaanbieder en de betalingsinitiatiedienstaanbieder, aangezien PSD II voorziet in een recht op toegang tot betalingssystemen en betaalrekeningen, wat verderop in deze bijdrage aan bod komt [17]. Betalingsinitiatiedienstaanbieders zullen informatie van de rekeninghoudende betalingsdienstaanbieder kunnen verkrijgen met betrekking tot de beschikbaarheid van de middelen op de rekening - wat neerkomt op een eenvoudig ja of nee antwoord - alvorens de betaling wordt geïnitieerd, en dit met uitdrukkelijke toestemming van de betaler [18]. De nieuwe richtlijn verdeelt daarnaast de aansprakelijkheid tussen beide partijen, die ieder de verantwoordelijkheid dragen voor hun respectieve onderdelen van de transactie. In het geval van een niet-toegestane betaling zal de rekeninghoudende betalingsdienstaanbieder zijn klant moeten terugbetalen alvorens hij een schadevergoeding vordert van de betalingsinitiatiedienstaanbieder [19].
10.Een rekeninginformatiedienst wordt gedefinieerd als “een onlinedienst voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de betalingsdienstgebruiker bij een andere betalingsdienstaanbieder of bij meer dan één betalingsdienstaanbieder aanhoudt” [20].
Middels deze diensten verkrijgt de betalingsdienstgebruiker een globaal overzicht van zijn financiële situatie, bijvoorbeeld door hem/haar in staat te stellen om verschillende rekeningen-courant, aangehouden bij een of meer banken, te consolideren en om zijn/haar uitgaven te categoriseren, dit alles via één enkele gateway en login [21]. Momenteel gaat het gebruik van dergelijke diensten door klanten vaak in tegen de algemene voorwaarden van hun banken. Aangezien deze dienst geen betrekking heeft op betalingstransacties, in tegenstelling tot betalingsinitiatiediensten, zal er een verminderd autorisatie- en toezichtsregime gelden. Rekeninginformatiedienstaanbieders verkrijgen enkel toegang tot informatie waarmee de betaler uitdrukkelijk heeft ingestemd en slechts voor zover die informatie noodzakelijk is om de betrokken dienst te verlenen [22].
11.De uitbreiding van het toepassingsgebied tot deze betalingsdiensten is een van de belangrijkste ontwikkelingen van PSD II en heeft tot bezorgdheid geleid bij aanbieders van betaalrekeningen omtrent het mogelijke verlies aan inkomsten, de beveiliging van de toegang, de bescherming van persoonsgegevens en eventuele aansprakelijkheid. FinTechs bijvoorbeeld, waaronder technologiereuzen en kleinere start-ups, zouden een aanzienlijk marktaandeel van de traditionele banken kunnen inpikken, die op hun beurt met een verlies van een eerder winstgevende tak van hun business worden geconfronteerd. Klanten geraken immers steeds meer gewend aan snellere en eenvoudigere betalingen en zullen wellicht nieuwe toepassingen gaan gebruiken als hun betalingsdienstaanbieders niet meer volgen met technologische evoluties.
Het moet echter niet steeds een “of-of”-verhaal zijn. Op de Europese betaalmarkt merkt men dat er - ter voorbereiding op de inwerkingtreding van PSD II - steeds meer initiatieven komen waarbij banken, al dan niet met medewerking van FinTechs, samenwerken om gezamenlijk tot nieuwe oplossingen te komen. FinTechs kunnen immers profiteren van het uitgebreide klantenbestand en de expertise in de complexe regelgeving van traditionele banken, terwijl de banken een graantje kunnen meepikken van de nieuwe inzichten op vlak van technologie en “consumer experience” waar FinTechs vaak sterk in zijn.
12.Wat de vergunningsverplichting van de aanbieders van betalingsinitiatie- en rekeninginformatiediensten betreft, wordt een overgangsregime voorzien: lidstaten mogen niet verbieden dat rechtspersonen die vóór 12 januari 2016 op hun grondgebied deze diensten hebben aangeboden, dezelfde activiteiten op hun grondgebied blijven uitoefenen in overeenstemming met het vigerende regelgevingskader, nl. PSD I. Deze bestaande aanbieders zullen pas vergunningsplichtig worden onder het PSD II-regime vanaf 13 januari 2018. Rechtspersonen die zulke diensten nog niet aanboden vóór 12 januari 2016 zullen bijgevolg een vergunningsaanvraag moeten indienen vanaf het ogenblik dat PSD II wordt omgezet in nationale wetgeving [23].
2.2. | Verduidelijking en beperking van de uitsluitingen |
(a) Algemeen |
13.Het “negatieve” toepassingsgebied, waardoor een aantal betalingsactiviteiten of hieraan gerelateerde activiteiten worden uitgesloten van het toepassingsgebied onder het huidige PSD I regime [24], wordt verduidelijkt en geactualiseerd. Het bleek immers dat de PSD I-uitsluitingen vaak op uiteenlopende wijzen werden omgezet en/of toegepast in de EU-lidstaten, wat heel wat rechtsonzekerheid met zich meebracht, zeker voor bedrijven die in verschillende lidstaten actief zijn.
(b) Kleine betalingsinstellingen |
14.De huidige optie onder PSD I [25] voor lidstaten om een “light” regime te voorzien voor personen met een maandelijks gemiddelde van de totale waarde van de betalingstransacties verricht in de voorgaande 12 maanden onder de 3 miljoen EUR blijft van toepassing. Betalingsinstellingen die onder deze drempel vallen, worden onderworpen aan een minder belastend vergunningsregime (bv. geen bewijs van minimum aanvangskapitaal). Kleine betalingsinstellingen zijn echter niet gerechtigd om hun betalingsdiensten te paspoorten naar andere EU-lidstaten.
PSD II [26] laat de lidstaten die gebruik maken van deze optie toe om een lagere drempel dan 3 miljoen EUR te hanteren. Dat betekent dat in voorkomend geval bedrijven die zich momenteel beroepen op deze vrijstelling hun omzet zullen moeten verminderen, hun businessmodel zullen moeten herzien of een aanvraag zullen moeten indienen om een “gewone” betalingsinstelling te worden. Alleszins valt het aan te raden dat zij hun omzet nauwlettend in het oog houden opdat zij de drempel niet overschrijden.
(c) Handelsagenten |
15.Het uitvoeren van betalingstransacties via een handelsagent, die de verkoop of aankoop van goederen of diensten onderhandelt voor een ander, wordt onder PSD I [27] niet beschouwd als een betalingsdienst. Deze vrijstelling werd al gedurende vele jaren benut door bedrijven die hun klanten betalingsdiensten aanbieden om bijvoorbeeld hun nutsvoorzieningsrekeningen te betalen [28]. Recent werd deze vrijstelling ook meer en meer ingeroepen door exploitanten van e-commerceplatformen die als intermediair optreden voor rekening van zowel kopers als verkopers om te onderhandelen over de verkoop of aankoop van goederen of diensten [29].
Er is dan ook een bezorgdheid ontstaan dat kopers op dergelijke e-commerceplatformen worden blootgesteld aan risico's die de betalingsdienstenwetgeving net wenst te beperken. De Commissie heeft bijgevolg beslist om deze uitsluiting te limiteren [30]: bedrijven worden verplicht om een formele overeenkomst op te zetten voor de verkoop of aankoop van goederen of diensten ten behoeve van hetzij de betaler, hetzij de begunstigde. Het valt te verwachten dat e-commerceplatformen in de toekomst wellicht eerder zullen verkiezen om op te treden namens de begunstigde als ontvanger van de betaling. Dergelijke platformen zullen hun businessmodel zorgvuldig moeten herzien om na te gaan of ze de regels inderdaad nog naleven en of wijzigingen haalbaar zijn moesten die nodig zijn om zich blijvend op de uitzondering te beroepen onder PSD II. Indien de exploitanten van e-commerceplatformen voor rekening van zowel de betaler als de begunstigde handelen, worden zij slechts uitgesloten van het toepassingsgebied van PSD II als ze op geen enkel ogenblik in het bezit zijn van of de controle hebben over de geldmiddelen van de cliënten.
(d) Beperkte netwerken |
16.Deze uitsluiting onder PSD I [31] wordt voornamelijk gebruikt door winkelketens voor de betaling van kleine bedragen (bv. cadeaubonnen of klantenkaarten). De precieze omvang van deze uitsluiting is onduidelijk en de verschillende EU-toezichthouders hanteren een zeer uiteenlopende aanpak van deze uitsluiting. De Commissie heeft dan ook getracht deze onzekerheid weg te nemen door de uitsluiting in te perken. Ook onder PSD II is echter niet alle onzekerheid weggenomen, meer bepaald blijft onduidelijk wat er moet worden verstaan onder de notie “beperkt”.
PSD II [32] limiteert het gebruik van deze uitsluiting tot de volgende niet-cumulatieve gevallen:
- instrumenten waarmee de houder uitsluitend in de bedrijfsgebouwen van de uitgever ervan of binnen een beperkt netwerk van dienstaanbieders die een directe handelsovereenkomst met een professionele uitgever hebben, goederen of diensten kan aanschaffen. De verwijzing naar een “directe” handelsovereenkomst suggereert een afwezigheid van tussenpersonen tussen de dienstaanbieder en de uitgever. De eis van een “professionele” uitgever is nieuw en niet gedefinieerd, maar verwijst wellicht naar een entiteit die gespecialiseerd is in die bepaalde activiteit;
- instrumenten waarmee uitsluitend goederen of diensten uit een zeer beperkt gamma kunnen worden aangeschaft. Wat er verstaan wordt onder “zeer” beperkt wordt niet verduidelijkt;
- uitsluitend in één lidstaat geldende instrumenten voor de aankoop van specifieke goederen of diensten door een publieke entiteit voor sociale of belastinggerelateerde doeleinden. Dit gebruik zou elektronische maaltijd- en dienstencheques kunnen omvatten [33].
Voor de eerste twee gevallen wordt ook een nieuwe kennisgevingsplicht in hoofde van diegene die zich erop beroept in het leven geroepen wanneer de totale waarde aan tijdens de voorgaande 12 maanden uitgevoerde betalingstransacties het bedrag van 1 miljoen EUR overschrijdt, zodat nationale toezichthouders het gebruik van deze uitsluiting kunnen controleren [34].
(e) Telecom |
17.Deze uitsluiting onder PSD I [35] is relevant voor aanbieders van elektronischecommunicatienetwerken of -diensten, zoals exploitanten van mobiele telefonie, en wordt voornamelijk ingeroepen om een zeer ruim gamma aan diensten te dekken die gebruikers toestaan om “echte” goederen en diensten aan te kopen via hun mobiele telefoon. PSD II [36] tracht deze (te) ruime uitsluiting in te perken. De uitsluiting geldt nu specifiek voor de aankoop van digitale inhoud en spraakgestuurde diensten, zoals ringtones, muziek, games, video's of apps aangeboden aan abonnees. Deze moeten worden aangekocht via een digitaal apparaat (bv. een mobiele telefoon) ter aanvulling op de elektronischecommunicatiediensten en moeten worden aangerekend via dezelfde factuur. De uitsluiting werd wel uitgebreid tot de aankoop van elektronische tickets of donaties aan goede doelen.
Dergelijke betalingen zijn enkel vrijgesteld mits zij onder de drempel van 50 EUR per transactie en 300 EUR per maand vallen. Aanbieders moeten bovendien op jaarlijkse basis aan de toezichthouder melden dat zij deze financiële drempels naleven.
(f) Geldautomaten |
18.Deze uitsluiting onder PSD I [37] is van toepassing wanneer geldautomaten worden geëxploiteerd, onafhankelijk van de betalingsdienstaanbieders die betaalrekeningen aanbieden. De Commissie is van oordeel dat deze vrijstelling het bereik van geldautomaten over de hele EU heeft verbeterd, voornamelijk in de meer landelijke gebieden. In dat licht wordt de vrijstelling gehandhaafd, maar operatoren van geldautomaten zullen in de toekomst wel moeten voldoen aan de bepalingen van PSD II inzake kostentransparantie, zodat klanten informatie verkrijgen over de eventuele kosten die worden aangerekend voor een geldopname [38].
(g) Technischedienstaanbieders |
19.De zogenaamde technischedienstaanbiederuitsluiting onder PSD I [39] heeft betrekking op diensten uitgevoerd ter ondersteuning van het aanbieden van betalingsdiensten zonder dat de betrokken aanbieder in het bezit komt van de over te maken geldmiddelen. Enkele voorbeelden zijn bijvoorbeeld diensten van verwerking en opslag van gegevens, authenticatiediensten en de levering van IT- en communicatienetwerken. Deze uitsluiting werd zeer vaak ingeroepen door de niet-traditionele spelers op de markt, zoals FinTechs. PSD II [40] bepaalt nu echter expliciet dat de uitsluiting niet langer kan worden gebruikt door aanbieders van betalingsinitiatiediensten en rekeninginformatiediensten.
3. | Toegang tot betalingssystemen en rekeningen |
20.PSD II voorziet dat de toegang tot betalingssystemen en betaalrekeningen op een objectieve, niet-discriminerende en evenredige basis moet worden verleend [41].
21.Daarenboven mogen de regels die de toegang tot betalingssystemen belemmeren niet verder gaan dan nodig is voor het beschermen tegen specifieke risico's, zoals het afwikkelingsrisico, het exploitatierisico en het bedrijfsrisico, en voor het beschermen van de financiële en operationele stabiliteit van het betalingssysteem.
Regels die effectieve deelneming aan andere betalingssystemen belemmeren en regels die discrimineren tussen betalingsdienstaanbieders zijn verboden. Betalingssystemen die uitsluitend zijn samengesteld uit betalingsdienstaanbieders die tot een groep behoren, zoals driepartijenbetaalkaartsystemen, zijn vrijgesteld van deze verplichting aangezien zij veelal in concurrentie treden met betalingssystemen of functioneren in een marktsegment dat niet afdoende door betalingssystemen wordt bestreken [42].
22.Wat betaalrekeningen betreft, moet de mate van toegang uitgebreid genoeg zijn om betalingsinstellingen in staat te stellen om op onbelemmerde en efficiënte wijze betalingsdiensten aan te bieden [43]. De toegang tot betaalrekeningen mag enkel worden geweigerd door een rekeningaanbieder aan andere dienstenaanbieders op basis van objectief gerechtvaardigde redenen die verband houden met niet-toegestaan of frauduleus gebruik van het betaalinstrument.
4. | Veiligheid van betalingen |
4.1. | Beheersing van risico's en rapportering |
23.Zoals uiteengezet in de overwegingen van PSD II [44], zijn de veiligheidsrisico's met betrekking tot elektronische betalingen de laatste jaren enorm toegenomen. Dit is deels te wijten aan de toenemende technische complexiteit, het steeds groeiende volume aan elektronische betalingen en de ontwikkeling van nieuwe types betalingsdiensten. PSD II [45] legt de verantwoordelijkheid voor veiligheidsrisico's bij betalingsdienstaanbieders en heeft als doelstelling om deze risico's in te perken middels een duidelijk en geharmoniseerd regelgevingskader.
24.Betalingsdienstaanbieders dienen een beschrijving van hun beveiligingsbeleid uit te werken, met inbegrip van een gedetailleerde risicoanalyse en een beschrijving van de maatregelen op het gebied van beveiliging en risicobeperking [46]. Zij moeten ook een regeling treffen om operationele en beveiligingsrisico's te beheersen die verbonden zijn aan de door hen aangeboden betalingsdiensten. Daarbij moeten er doelmatige procedures voor het beheersen van incidenten worden opgezet, waaronder detectie en classificatie van grote operationele en veiligheidsincidenten [47].
25.Betalingsdienstaanbieders dienen overigens jaarlijks, zo niet op meer frequente basis, te rapporteren aan de nationale toezichthouders over de operationele en beveiligingsrisico's die aan de door hen aangeboden betalingsdiensten verbonden zijn, alsook van de toereikendheid van de in reactie op deze risico's getroffen risicobeperkende maatregelen en ingevoerde controlemechanismen [48]. De Europese Bankautoriteit (hierna EBA) wordt belast met het uitvaardigen van richtsnoeren over de vaststelling, implementatie en monitoring van de beveiligingsmaatregelen, waaronder, waar van toepassing, certificeringsprocedures [49]. Deze richtsnoeren zullen wellicht midden 2017 beschikbaar zijn.
26.Betalingsdienstaanbieders zullen ook grote operationele of beveiligingsincidenten moeten melden aan hun nationale toezichthouder. Moeilijker te implementeren is wellicht de bepaling [50] die erin voorziet om klanten (“betalingsdienstgebruikers') “onverwijld” in kennis te stellen en mee te delen welke maatregelen zij kunnen treffen om mogelijke schadelijke gevolgen te beperken wanneer dergelijke incidenten gevolgen (kunnen) hebben voor de financiële belangen van klanten. Het is namelijk onduidelijk hoe die impact op “de financiële belangen van betalingsdienstgebruikers” moet geïnterpreteerd worden.
4.2. | Sterke cliëntauthenticatie |
27.Een andere nieuwigheid die zou moeten bijdragen tot de vermindering van onlinefrauderisico's en tot de bescherming van de financiële (m.i.v. persoonlijke) gegevens van betalingsdienstgebruikers, is de introductie van het begrip “sterke cliëntauthenticatie” onder PSD II [51]. Dit is een authenticatiemiddel met gebruikmaking van twee of meer van de volgende elementen:
- kennis - iets wat alleen de gebruiker weet (bv. een paswoord of PIN-code);
- bezit - iets wat alleen de gebruiker heeft (bv. een kaart of token);
- inherente eigenschap - iets wat de gebruiker is (bv. een vingerafdruk of stemherkenning).
28.Betalingsdienstaanbieders moeten onder PSD II [52] in sterke cliëntauthenticatie voorzien, indien een betaler zich online toegang tot zijn betaalrekening verschaft, een elektronische betalingstransactie initieert en via een communicatiemiddel op afstand een handeling van eender welke aard uitvoert die een risico op betalingsfraude of andere vormen van misbruik met zich mee kan brengen. Wat het initiëren van elektronische betalingstransacties betreft, dienen betalingsdienstaanbieders bovendien te voorzien in een dynamische link tussen een specifiek bedrag en een specifieke begunstigde [53].
29.EBA wordt in PSD II [54] gemandateerd om een ontwerp van technische reguleringsnormen aan de Commissie voor te leggen met betrekking tot dit begrip, alsook met betrekking tot mogelijke vrijstellingen, gebaseerd op het aan de betalingsdienst verbonden risico, bedrag, betalingskanaal en de herhaaldelijkheid van een transactie.
Op 12 augustus 2016 heeft EBA een discussienota (“consultation paper”) gepubliceerd met betrekking tot de vereisten van sterke cliëntauthenticatie, die een zicht geeft op de richting waarin EBA met deze technische reguleringsnormen wil gaan. Zo wordt er bijvoorbeeld een vrijstelling voorzien voor betalingen van kleine bedragen op het punt van verkoop, zoals contactloze en mobiele betalingen. De consultatieperiode werd afgesloten op 12 oktober 2016 en EBA zal de ontvangen antwoorden bestuderen en de discussienota aanpassen waar nodig. Het finale ontwerp van technische reguleringsnormen werd verwacht tegen 12 januari 2017, maar is op heden nog niet gepubliceerd. PSD II voorziet echter dat de technische reguleringsnormen pas in werking treden 18 maanden na hun aanname door de Commissie, dus wellicht ten vroegste tegen oktober 2018.
30.Deze overgangsperiode zou de betalingsindustrie voldoende tijd moeten bieden om normen en/of technologische oplossingen te ontwikkelen die voldoen aan de technische reguleringsnormen van EBA, al zal dit voor een groot aantal bedrijven een moeilijke uitdaging worden en mogelijks ten koste van de klantvriendelijkheid van betaaloplossingen gaan. Belangrijk hierbij is dat PSD II [55] bepaalt dat wanneer een betalingsdienstaanbieder geen sterke cliëntauthenticatie verlangt, de betaler geen financiële verliezen draagt voor niet-toegestane betalingstransacties behoudens wanneer de betaler frauduleus heeft gehandeld.
5. | Bescherming van betalers |
5.1. | Algemeen |
31.Naast de geografische uitbreiding van de regelgeving en de inperking van bepaalde uitsluitingen van het toepassingsgebied worden consumentenrechten verder versterkt onder PSD II [56]. Professionele klanten mogen nog steeds afzien van de meeste beschermingsbepalingen, zoals bijvoorbeeld het verbod om kosten aan te rekenen voor het verschaffen van informatie. Hierna volgt een overzicht van de meest relevante wijzigingen op het vlak van de bescherming van betalers.
5.2. | Wijziging en beëindiging raamovereenkomst |
32.PSD II [57] verduidelijkt dat de betalingsdienstgebruiker wijzigingen in de voorwaarden van de raamovereenkomst (bv. de algemene voorwaarden die de bankrekening beheersen) te allen tijde mag verwerpen vóór de beoogde datum van inwerkingtreding van de wijzigingen en de raamovereenkomst zelf ook te allen tijde mag beëindigen vóór dat moment. Het recht van de betalingsdienstgebruiker om de raamovereenkomst te beëindigen wordt overigens uitgebreid tot alle overeenkomsten en is niet langer beperkt tot de contracten die voor een termijn van meer dan 12 maanden werden gesloten. In ruil voor de beëindiging mogen aan de betalingsdienstgebruiker enkel kosten worden aangerekend wanneer de overeenkomst gedurende minder dan 6 maanden liep en bovendien wordt de aanrekening beperkt tot kosten die passend zijn en in overeenstemming zijn met de feitelijke kosten.
5.3. | Informatie over betalingstransacties |
33.Een andere nieuwigheid onder PSD II [58] is dat de raamovereenkomst moet bepalen dat de betaler kan vragen dat de informatie over zijn uitgevoerde betalingstransacties op gezette tijden en ten minste eenmaal per maand kosteloos wordt verstrekt of ter beschikking wordt gesteld. De opname van deze bepaling in overeenkomsten met begunstigden is niet verplicht. Lidstaten mogen echter verder gaan door voor te schrijven dat betalingsdienstaanbieders deze informatie ten minste eenmaal per maand kosteloos op papier of op een andere duurzame drager moeten verstrekken aan betalers en/of begunstigden.
5.4. | Aanrekening van toeslagen (“surcharging”) |
34.De flexibiliteit geboden door PSD I [59], die handelaars toelaat om de betaler een toeslag aan te rekenen en lidstaten toelaat om zulke toeslagen te verbieden of in te perken op hun grondgebied, heeft tot een zeer heterogene EU-betaalmarkt geleid. 13 lidstaten hebben gebruik gemaakt van de optie om toeslagen te verbieden. De uiteenlopende nationale regimes creëren allerhande problemen en zijn een bron van verwarring voor consumenten en handelaars, met name in het kader van elektronische handel en grensoverschrijdende situaties.
35.Onder PSD II [60] zijn toeslagen niet langer toegelaten voor betaalinstrumenten gereguleerd door de MIF-Verordening, die meer dan 95 procent van de markt vertegenwoordigen. Voor de andere betaalinstrumenten worden toeslagen aanvaard, maar dan wel strikt beperkt tot de door de begunstigde werkelijk gedragen kosten. Deze bepaling hangt rechtstreeks samen met de ingevoerde aftopping van afwikkelingsvergoedingen voor debet- en kredietkaarttransacties onder de MIF-Verordening.
5.5. | Blokkering van betaalinstrumenten |
36.PSD I [61] verplicht betalingsdienstaanbieders om de veiligheidskenmerken van het betaalinstrument te waarborgen en te verzekeren dat het betaalinstrument 24/7 kan worden geblokkeerd. In België wordt deze dienst verstrekt door “Card Stop”, dat momenteel 30 eurocent per minuut aanrekent voor een telefoongesprek. Onder PSD II [62] zal de blokkering van betaalinstrumenten kosteloos moeten worden verstrekt.
5.6. | Aansprakelijkheid in geval van niet-toegestane betalingstransacties |
37.Bij niet-toegestane betalingstransacties gebeurt de betaling door iemand anders, zonder instemming van de gebruiker, bijvoorbeeld in geval van verlies, diefstal en fraude van/met het betaalinstrument. PSD I [63] voorziet dat de gebruiker dan “onverwijld” en uiterlijk 13 maanden na de debitering/creditering van zijn rekening de betalingsdienstaanbieder of de door de betalingsdienstaanbieder aangeduide instelling (bv. Card Stop) in kennis moet stellen van de niet-toegestane betalingstransactie. In geval van tijdige kennisgeving is de betalingsdienstaanbieder ertoe gehouden, na een prima facie-onderzoek van fraude door de betaler, onmiddellijk het bedrag van de niet-toegestane betalingstransactie terug te betalen [64].
Deze algemene regel geldt echter niet indien een betaalinstrument onrechtmatig werd gebruikt doordat de betaler heeft nagelaten om de veiligheid van de gepersonaliseerde veiligheidskenmerken [65] te waarborgen, wat bijvoorbeeld veelal het geval zal zijn bij “phishing” [66]. In dat geval geldt een bijzondere aansprakelijkheidsverdeling, die erop neerkomt dat de klant aansprakelijk is voor maximum 150 EUR tot op het ogenblik van de verplichte aangifte [67]. Na het ogenblik van aangifte, wordt de aansprakelijkheid volledig gedragen door de betalingsdienstaanbieder [68].
38.PSD II voert aan deze bepalingen enkele belangrijke wijzigingen door, waarmee betalingsdienstaanbieders best reeds zoveel mogelijk rekening trachten te houden:
- aan de verplichting tot “onmiddellijke” terugbetaling door de betalingsdienstaanbieder wordt toegevoegd dat die uiterlijk aan het einde van de eerstvolgende werkdag nadat hij zich rekenschap heeft gegeven van de transactie of daarvan in kennis is gesteld, tot terugbetaling moet overgaan [69];
- bij het crediteren van een betaalrekening ten gevolge van een niet-toegestane betalingstransactie mag de valutadatum van de creditering niet later vallen dan de datum waarop het bedrag was gedebiteerd [70]. Deze bepaling is ingevoerd om te verzekeren dat de gebruiker geen financieel verlies zal lijden;
- de franchise van 150 EUR die de betaler tot aan de kennisgeving in principe zelf dient te dragen, wordt verlaagd naar 50 EUR [71];
Hieruit zou men o.i. kunnen afleiden dat de bijzondere regeling steeds geldt bij onrechtmatig gebruik, bijvoorbeeld ten gevolge van oplichting, zelfs wanneer er géén gepersonaliseerde veiligheidskenmerken werden meegedeeld/ontfutseld. Men dient echter de omzetting in nationaal recht af te wachten teneinde hier meer duidelijkheid over te bekomen;
Punt (i) zou in de toekomst een bepaling kunnen worden die de betaler die slachtoffer wordt van oplichting (zoals “phishing”) kan inroepen, teneinde volledige terugbetaling te krijgen ook voordat hij tot kennisgeving is over gegaan. Ook hier valt de omzetting en verduidelijking in nationaal recht af te wachten;
- als nieuwe uitzondering op de bijzondere aansprakelijkheidsverdeling, reeds aangehaald in randnr. 37, draagt de betaler ook vóór kennisgeving geen financiële verliezen (tenzij hij frauduleus heeft gehandeld) wanneer zijn betalingsdienstaanbieder geen “sterke cliëntauthenticatie” verlangt. Indien sterke cliëntauthenticatie door de begunstigde of diens betalingsdienstaanbieder niet wordt aanvaard, wordt de door de betalingsdienstaanbieder van de betaler geleden financiële schade door hen vergoed [74];
- wanneer een niet-toegestane betalingstransactie wordt uitgevoerd via een betalingsinitiatiedienstaanbieder, zal de rekeninghoudende betalingsdienstaanbieder instaan voor de financiële gevolgen ten aanzien van de betaler. De rekeninghoudende betalingsdienstaanbieder kan op zijn beurt financiële vergoeding eisen van de betalingsinitiatiedienstaanbieder [75].
5.7. | Betalingstransacties waarbij het transactiebedrag niet vooraf bekend is |
39.PSD II bepaalt dat betalers hun instemming moeten verlenen alvorens bedragen op hun rekeningen “geblokkeerd” kunnen worden door begunstigden. Dit is een vaak voorkomende praktijk bij exploitanten van bijvoorbeeld tankstations, hotels en autoverhuringsmaatschappijen, teneinde te verzekeren dat de betaler voldoende geldmiddelen zal hebben wanneer het exacte bedrag van de transactie gekend is (nl. nadat de betaler gebruik heeft gemaakt van de diensten in kwestie). Het bekomen van de instemming van de betaler brengt uiteraard met zich mee dat hij/zij a priori geïnformeerd moet worden over het exacte bedrag dat geblokkeerd zal worden. Als we het voorbeeld van tankstations nemen, zullen de geautomatiseerde brandstofpompen bijvoorbeeld moeten vermelden dat er 150 EUR geblokkeerd wordt op de rekening van de betaler en dat de betaler daarmee instemt door tot betaling over te gaan, alvorens de PIN-code werd ingegeven.
Het is daarbij onduidelijk wat verstaan moet worden onder “geblokkeerd”. Men zou o.i. kunnen argumenteren dat, wanneer de periode tussen de “blokkering” van de gelden en de vrijgave ervan nadat het exacte bedrag gekend is, dermate kort is dat de betaler geen negatieve effecten kan ondervinden ten gevolge van de blokkering, er ook geen voorafgaande toestemming vereist is. Dit zal echter afhankelijk zijn van de tijdspanne waarin de gelden geblokkeerd blijven. Wanneer de betaler bijvoorbeeld geen nieuwe betalingstransactie kan uitvoeren binnen de minuut na de eerste betalingstransactie, aangezien zijn/haar kaartlimiet zou overschreden worden, kan men moeilijk ontkennen dat er geen voorafgaande toestemming nodig is. Wanneer deze vrijgave reeds binnen enkele seconden gebeurt, kan men volgens ons moeilijk van een “blokkering” spreken.
5.8. | Terugbetalingen |
40.PSD I [76] bepaalt dat - zelfs indien de transactie werd toegestaan - de betaler financieel herstel kan vragen als (i) het precieze bedrag van de betalingstransactie niet is gespecificeerd wanneer de transactie werd toegestaan; en (ii) het bedrag van de betalingstransactie hoger ligt dan wat de betaler, op grond van zijn eerdere uitgavenpatroon, de voorwaarden van zijn raamcontract en relevante aspecten van de zaak redelijkerwijs had kunnen verwachten.
41.PSD II [77] voorziet dat deze beide voorwaarden niet langer van toepassing zijn voor automatische afschrijvingen (domiciliëringen) gereguleerd door de verordening nr. 206/2012 van 14 maart 2012 tot vaststelling van de technische en bedrijfsmatige vereisten voor overmaking en automatische afschrijvingen [78] (de SEPA-end-dates-verordening). In geval van “SEPA”-domiciliëring heeft de betaler bijgevolg een onvoorwaardelijk recht op terugbetaling door zijn betalingsdienstaanbieder.
5.9. | Klachten van klanten |
42.Betalingsdienstaanbieders dienen op grond van PSD II [79] alle mogelijke inspanningen te leveren om schriftelijk (of op een andere duurzame drager indien dat zo werd overeengekomen) te reageren op klachten van klanten en dit uiterlijk binnen 15 werkdagen na ontvangst van de klacht of, in uitzonderlijke omstandigheden, binnen 35 werkdagen. Lidstaten mogen bovendien strengere regels in het leven roepen ten voordele van de betalingsdienstgebruiker.
6. | Conclusie |
Bovenstaande wijzigingen maken duidelijk dat de impact van PSD II op de Europese betaalmarkt groot is en dat betalingsdienstaanbieders zich grondig moeten voorbereiden op de inwerkingtreding ervan, reeds in januari 2018.
Onder meer volgende zaken zouden o.i. moeten worden bestudeerd door bedrijven die actief zijn op de Europese betaalmarkt om zich voor te bereiden om PSD II:
- het uitgebreide geografische toepassingsgebied en de meer beperkte uitsluitingen wat met zich meebrengt dat bepaalde bedrijven die nu niet gereguleerd zijn wellicht vergunde betalingsinstellingen zullen moeten worden of hun businessmodel zullen moeten herzien;
- het herzien van systemen en procedures teneinde te identificeren wat de impact op de business is en welke veranderingen moeten worden doorgevoerd, bijvoorbeeld aan IT-infrastructuur, documentatie (precontractuele informatie en algemene voorwaarden), processen en de opleiding van personeel;
- de impact op de business ingevolge de nieuwe regelgeving inzake betalingsinitiatie- en rekeninginformatiediensten (meer bepaald toegangsverschaffing aan derden, verhoogde concurrentie, het uitdenken van nieuwe winstmodellen, technologische superioriteit en transactievolumes als onderscheidende factor, etc.);
- een aanpassing van de beveiligingsmaatregelen met betrekking conform PSD II (en de nieuwe EBA-standaarden); en
- de opportuniteiten om zich verder te ontwikkelen in een veranderende regelgevende en technische omgeving.
[1] | Advocaten Baker McKenzie. |
[2] | Pb.L. 23 december 2015, afl. 337, 35-127. |
[3] | Pb.L. 5 december 2007, afl. 319, 1-36. |
[4] | Pb.L. 19 mei 2015, afl. 123, 1-15. |
[5] | Art. 3, j) PSD I. |
[6] | Voor een summiere bespreking van de wijzigingen onder PSD II, zie R. Steennot,“Nieuwe Richtlijn Betalingsdiensten”, RW 2015, afl. 28, 1082 en P.E. Berger, I. Van Biesen en S. Liebaert, “PSD II - Nieuwe Richtlijn Betalingsdiensten - 23 december 2015”, Bank Fin.R. 2016, afl. 1, 52. |
[7] | Voor een uitgebreide bespreking van het toepassingsgebied van PSD I, zie P. Berger en S. Landuyt, “Toepassingsgebied van de wet betalingsdiensten en de wet betalingsinstellingen” in IFR (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, 99-156 en Y. Lauwers en I. Vanweddingen, “Toepassingsgebied Richtlijn betreffende betalingsdiensten in de interne markt”, Bank Fin.R. 2008, afl. 6, 372. |
[8] | Art. 2 PSD I. |
[9] | Art. 2 PSD II; voor een duidelijke uiteenzetting over het geografische toepassingsgebied van PSD II en meer bepaald de afbakening van “one leg in” -transacties, zie de Europese Bankenfederatie (EBF), PSD 2 Guidance Paper (EBF_020819), september 2016, beschikbaar op www.betaalvereniging.nl/wp-uploads/2016/09/EBF_PSD2_guidance_september2016.pdf. |
[10] | Art. 2, 3. en 4. PSD II. |
[11] | Dit zijn (i) diensten waarbij de mogelijkheid wordt geboden contanten op een betaalrekening te plaatsen alsook alle verrichtingen die voor het exploiteren van een betaalrekening vereist zijn; (ii) diensten waarbij de mogelijkheid wordt geboden contanten van een betaalrekening op te nemen alsook alle verrichtingen die voor het beheren van een betaalrekening vereist zijn; (iii) uitvoering van betalingstransacties, met inbegrip van geldovermakingen, op een betaalrekening bij de betalingsdienstaanbieder van de gebruiker of bij een andere betalingsdienstaanbieder: uitvoering van automatische debiteringen, met inbegrip van eenmalige automatische debiteringen; uitvoering van betalingstransacties via een betaalkaart of een soortgelijk instrument; uitvoering van overmakingen, met inbegrip van automatische betalingsopdrachten; (iv) uitvoering van betalingstransacties waarbij de geldmiddelen zijn gedekt door een kredietlijn die aan de betalingsdienstgebruiker wordt verstrekt: uitvoering van automatische debiteringen, met inbegrip van eenmalige automatische debiteringen; uitvoering van betalingstransacties via een betaalkaart of een soortgelijk instrument; uitvoering van overmakingen, met inbegrip van doorlopende opdrachten; (v) uitgifte en/of aanvaarding van betaalinstrumenten; (vi) geldtransfers; (vii) uitvoering van betalingstransacties waarbij de instemming van de betaler met een betalingstransactie wordt doorgegeven met behulp van een telecommunicatie-, digitaal of IT-instrument en de betaling rechtstreeks geschiedt aan de exploitant van de telecommunicatiediensten, het IT-systeem of het netwerk, die louter optreedt als intermediair tussen de betalingsdienstgebruiker en de persoon die de goederen levert of de diensten verricht. |
[12] | Y. Mersch, “Challenges of retail payments innovation”, Rev.banc.fin. 2015, afl. 6, 410. |
[13] | Art. 4, 15. PSD II. |
[14] | Overw. 27 PSD II. |
[15] | Amendement 14, www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0280+0+DOC+XML+V0//EN. |
[16] | Art. 3, j) PSD II. |
[17] | Zie sectie 3 van deze bijdrage; art. 35-36 PSD II. |
[18] | Art. 65-66 PSD II; FAQ Europese Commissie, vragen 21 en 23, beschikbaar op www.europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en. |
[19] | Art. 73, 2. PSD II. |
[20] | Art. 4, 16. PSD II. |
[21] | Overw. 28 PSD II. |
[22] | Art. 66 PSD II; FAQ Europese Commissie, vragen 21 en 23, beschikbaar op www.europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en. |
[23] | Art. 115, 5. PSD II; FAQ Europese Commissie, vraag 26, beschikbaar op www.europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en. |
[24] | Voor een bespreking van deze uitsluitingen, zie P. Berger en S. Landuyt, “Toepassingsgebied van de wet betalingsdiensten en de wet betalingsinstellingen” in IFR (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, 99-156. |
[25] | Art. 26, 1. PSD I. |
[26] | Art. 32, 1. PSD II. |
[27] | Art. 3, b) PSD I. |
[28] | P. Berger en S. Landuyt, “Toepassingsgebied van de wet betalingsdiensten en de wet betalingsinstellingen” in IFR (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, 110. |
[29] | T. Bonneau, “La directive sur les services de paiement '2': révolution ou évolution?”, JDE 2016, afl. 230, 216. |
[30] | Art. 3, b) PSD II. |
[31] | Art. 3, k) PSD I. |
[32] | Art. 3, k) PSD II. |
[33] | Sommige auteurs stellen zich echter vragen bij het ressorteren van dergelijke elektronische cheques onder de uitzondering voor beperkte netwerken; zie R. Steennot, “Commentaar bij artikel VII.3, § 1, 11° WER” in X, Financieel recht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, IV, Bankverrichtingen, C. Betalingsdiensten, 2-3 en P. Berger en S. Landuyt, “Toepassingsgebied van de wet betalingsdiensten en de wet betalingsinstellingen” in IFR (ed.), Financiële regulering in de kering, Antwerpen, Intersentia, 2012, 128. |
[34] | Art. 37, 2. PSD II. |
[35] | Art. 3, l) PSD I. |
[36] | Art. 3, l) PSD II. |
[37] | Art. 3, o) PSD I. |
[38] | Art. 3, o) PSD II. |
[39] | Art. 3, j) PSD I. |
[40] | Art. 3, j) PSD II. |
[41] | Art. 35 en 36 PSD II. |
[42] | Art. 35 PSD II. |
[43] | Art. 36 PSD II; wat de toegang tot rekeningen door betalingsinitiatie- en rekeninginformatiedienstaanbieders betreft, zie FAQ Europese Commissie, vraag 23, beschikbaar op www.europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en. |
[44] | Overw. 7 PSD II. |
[45] | Overw. 91 PSD II. |
[46] | Art. 5, 1., j) PSD II. |
[47] | Art. 95, 1. PSD II. |
[48] | Art. 95, 2. PSD II. |
[49] | Art. 95, 3. PSD II. |
[50] | Art. 96 PSD II. |
[51] | Art. 4, 30. PSD II. |
[52] | Art. 97, 1. PSD II. |
[53] | Art. 97, 2. PSD II. |
[54] | Art. 98 PSD II. |
[55] | Art. 74, 2. PSD II. |
[56] | Titel III-IV PSD II. |
[57] | Art. 54-55 PSD II. |
[58] | Art. 57 PSD II. |
[59] | Art. 52 PSD I. |
[60] | Art. 62 PSD II. |
[61] | Art. 57 PSD I. |
[62] | Art. 70, 1. PSD II. |
[63] | Art. 58 PSD I. |
[64] | Art. 60 PSD I. |
[65] | Gepersonaliseerde veiligheidskenmerken laten toe om de gebruiker te authentiseren en betreffen bv. het paswoord of de PIN-code gekoppeld aan het betaalinstrument, maar niet het kaartnummer of de vervaldatum van een kredietkaart, aangezien die voor iedereen zichtbaar zijn; R. Steennot, “Commentaar bij artikel I.9, 23° WER” in X, Financieel recht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, IV, Bankverrichtingen, C. Betalingsdiensten. |
[66] | Onder “phishing” wordt de tegenwoordig vaak voorkomende praktijk verstaan waarbij men per e-mail of telefoon gelokt wordt naar een vervalste (bank)website die een kopie is van een echte website, zodat de oplichter persoonlijke gegevens kan ontfutselen (bv. inlognaam, wachtwoord, PIN-code, kaartnummer) om daarmee betalingstransacties uit te voeren. |
[67] | De klant is echter volledig aansprakelijk indien hij met opzet of bedrieglijk heeft gehandeld of met grove nalatigheid een of meer van de volgende verplichtingen niet is nagekomen: (i) het betaalinstrument gebruiken overeenkomstig de toepasselijke voorwaarden, (ii) de onverwijlde kennisgeving van het niet-toegestane gebruik en (iii) alle redelijke maatregelen nemen om de veiligheid van het betaalinstrument en de gepersonaliseerde veiligheidskenmerken ervan te waarborgen. De betalingsdienstaanbieder zal daarentegen volledig aansprakelijk zijn, tenzij in geval van bedrog of opzet door de gebruiker, indien (i) het betaalinstrument werd gebruikt zonder fysieke voorlegging en zonder elektronische identificatie (bv. onlinebetaling door het enkel opgeven van het nummer van de kaart, zonder kaartlezer) of (ii) het betaalinstrument werd nagemaakt door een derde of werd onrechtmatig gebruikt voor zover de klant op het ogenblik van de transactie in het bezit was van het betaalinstrument (bv. “hacking” van het betaalsysteem, “skimming” van het betaalinstrument). |
[68] | Art. 61 PSD I; de gebruiker is echter volledig aansprakelijk indien hij bedrieglijk heeft gehandeld. Voor een bespreking van de aansprakelijkheidsverdeling onder PSD I, zie o.a.: E. Jacobs, “De verdeling van de aansprakelijkheid in geval van frauduleus gebruik van een betaalinstrument. Situering van de Richtlijn Betalingsdiensten”, Bank Fin.R. 2009, afl. 1, 22. |
[69] | Art. 73 PSD II. |
[70] | Art. 73 PSD II. |
[71] | Art. 74, 1. PSD II. |
[72] | Art. 74, 1. PSD II; art. 61, 1. PSD I luidt echter als volgt: “(…) of, indien de betaler heeft nagelaten de veiligheid van de gepersonaliseerde veiligheidskenmerken ervan te waarborgen, uit onrechtmatig gebruik van een betaalinstrument”. |
[73] | Art. 74, 1. PSD II. |
[74] | Art. 74, 2. PSD II. |
[75] | Art. 71, 2. en art. 73, 2. PSD II. |
[76] | Art. 62 PSD I. |
[77] | Art. 76 PSD II. |
[78] | Pb.L. 10 maart 2012, afl. 72, 7-27. |
[79] | Art. 101, 2. PSD II. |