Maksu
Lasku ja erämaksu – joustavaa asiakkaille ja vaivatonta verkkokaupalle
22 elokuuta 2024
Julkaistu keskiviikko, 30 tammikuuta 2019 23.00Maksu
EU:n uusi maksupalveludirektiivi PSD2 tuli voimaan 13.1.2016 ja se oli pantava täytäntöön 13.1.2018 mennessä. 18 kuukauden siirtymäaika loppuu 14.9.2019 eikä ole vieläkään täysin selvää, miten se tulee vaikuttamaan verkkopalveluihin tai verkossa maksamiseen. Pankit toteuttavat uusia rajapintoja ja PSD2-direktiivin odotetaan tuovan kuluttajille parempia palveluita ja uusia vaihtoehtoja maksutilien käyttöön. Maksupalveludirektiivi on kuitenkin aiheuttanut sekä kuluttajien että palveluntarjoajien keskuudessa hämmennystä. Kerromme tässä blogissa PSD2-maksupalveludirektiivin aiheuttamista keskeisimmistä muutoksista.
PSD2-maksupalveludirektiivin luvataan yhtenäistävän Euroopan maksuliikennemarkkinoita, tekevän verkossa maksamisesta helpompaa ja turvallisempaa sekä suojelevan kuluttajia petoksilta ja väärinkäytöksiltä. Uusi maksupalveludirektiivi näkyy kuluttajalle siinä, että jatkossa kolmannella osapuolella voi olla pääsy kuluttajan tilitietoihin tilin omistajan luvalla. Näin ollen kolmas osapuoli pääsisi katsomaan ja käyttämään henkilöiden tilejä.
Etuna uudessa maksupalveludirektiivissä on muun muassa se, että kolmannet osapuolet voivat liittää vaikkapa maksupalveluita, mobiilipankkeja tai talouden hallintasovelluksia asiakkaiden pankkitileihin. Tämä voi tehdä maksamisesta entistäkin sujuvampaa ja helpompaa (hs.fi). Jatkossa asiakkaan ei välttämättä tarvitse enää ottaa esiin luottokorttiaan tai kirjautua omaan verkkopankkiin hyväksyäkseen maksun, vaan maksun voi kuitata nopeasti yhdellä klikkauksella tai pyyhkäisyllä. Ostosten tekemisestä tulee siis yksinkertaisempaa. Toisaalta ostajat on verkkomaksun yhteydessä jatkossa aina tunnistettava vahvasti, mikä tuo maksuprosessin sujuvuuteen omat haasteensa. Muun muassa pankit kehittävät parhaillaan uusia tapoja ostajan vahvaan sähköiseen tunnistamiseen.
Kolmas osapuoli on ulkopuolinen yhtiö, kuten vaikkapa maksupalveluntarjoaja. Kolmannen osapuolen pääsy asiakkaan tilitietoihin saattaa kuulostaa monien mielestä epäilyttävältä, mutta turvallisuudesta on yritetty tässäkin pitää kiinni: lain mukaan kolmannen osapuolen tulee tunnistautua aina, kun se käyttää henkilön tiliä. Pankin täytyy siis tietää, mikä palveluntarjoaja tilin tietoja käyttää. Luotettava kolmas osapuoli eli esimerkiksi maksupalveluntarjoaja löytyy Finanssivalvonnan rekisteristä.
Maksupalvelulainsäädäntöön PSD2-maksupalveludirektiivi vaikuttaa siten, että nämä kolmannet osapuolet tuodaan sääntelyn ja valvonnan piiriin, jolloin uusia palveluntarjoajia ovat:
perinteisten maksupalveluntarjoajien (Payment Service Providers, PSP) lisäksi.
PIS-toimijat tarvitsevat toimiluvan Finassivalvonnalta PSP-toimijoiden tapaan, mutta AIS-toimijoille riittää rekisteröityminen Finanssivalvontaan. Pankkien on siis mahdollistettava kaikkien näiden palveluntarjoajien pääsy asiakkaiden pankkitileille asiakkaan pyynnöstä. Pankit eivät myöskään enää voi veloittaa kuluttajia kolmansien osapuolien käytöstä. Direktiivin myötä perinteisen verkkopankkimaksun odotetaan jollain aikavälillä häviävän verkkokauppojen maksutapavalikoimasta, kun sille ei enää sellaisenaan ole tarvetta – asiakas voi jaktossa TUPAS-tunnistautumalla antaa luvan kolmannelle osapuolelle veloittaa maksun tililtään.
Koska tilitietoja voidaan jatkossa käyttää yli pankkien rajojen ja eri pankkien tilejä yhdistää saman palvelun alle, erilaiset talouden hallintasovellukset voivat toimia tehokkaammin ja automatisoidummin muun muassa analysoimalla kulutuskäyttäytymistä ja tekemällä ehdotuksia talouden hallintaan. Maksupalveluntarjoajat, myös muut kuin pankit, voivat esimerkiksi käynnistää maksutoimeksiantoja, tarjota tilitietopalveluja tai laskea liikkeelle kortteihin pohjautuvia maksuvälineitä (Finanssiala.fi), mikä voi lisätä kilpailua maksunvälittäjien kesken. Kilpailu voi lisääntyä myös esimerkiksi rahoituspalveluita tarjoavien tahojen kesken, kun erilaiset sovellukset voivat automaattisesti vaikkapa kilpailuttaa asiakkaan lainat.
PSD2-direktiivin myötä asiakkaan vahvan tunnistautumisen vaatimukset kasvavat. Käytännössä tämä koskee verkkomaksamista sekä erilaisten verkkopalveluiden käyttöä ja velvoittaa kolmannet osapuolet ottamaan käyttöön asiakkaan vahvan tunnistautumisen maksujen yhteydessä. Asiakkaan vahva tunnistautuminen tarkoittaa tällä hetkellä esimerkiksi sitä, että asiakas tunnistautuu sähköisesti verkkopankkitunnuksillaan TUPAS-palvelussa. Kolmannen osapuolen tulee aina vaatia asiakkaaltaan, eli tilin omistajalta, vahvaa tunnistautumista, jotta voidaan varmistua siitä, että tilin omistaja todella on antanut kolmannelle osapuolelle luvan käyttää pankkitiliään. Tästä on kuitenkin tehty eri EU-maissa erilaisia tulkintoja ja tilanteesta tekee yhä epäselvemmän se, että standardit, jotka määrittävät tilitietojen käytön ja tietoihin pääsyn teknisen toteutuksen, tulevat voimaan vasta nyt syksyllä 2019, 18 kuukauden siirtymäajan jälkeen.
Jotkut palveluntarjoajat ovat tulkinneet lakia niin, että se mahdollistaa verkkopankkitunnusten luovuttamisen palveluntarjoajien käyttöön. Verkkopankkitunnusten luovuttaminen kolmansille osapuolille kuitenkin kielletään sekä pankkien sopimusehdoissa että Suomen laissa, mikä ei tule muuttumaan uuden direktiivin myötä. Käytännössä kolmannen osapuolen tulee käyttää asiakkaan tiliä ainoastaan pankkien tarjoamien rajapintojen kautta, eikä asiakkaan verkkopankkitunnusten kautta.
Finanssivalvonta (FIVA) vahvisti 10.1.2018 entisen tiukan linjanvetonsa, jonka mukaan pankkitilin omistajan ei edelleenkään tule syöttää pankkitunnuksiaan mihinkään muualle, kuin pankin omaan tunnistautumispalveluun, ollen näin asiassa samoilla linjoilla. Pankkien tulee kehittää tileille pääsyä varten erillinen ohjelmistorajapinta.
Direktiivin osa, joka määrittelee vaatimukset henkilön vahvaan sähköiseen tunnistamiseen astuu siis voimaan 14.9.2019. Vahva sähköinen tunnistautuminen on käytännössä Suomessa tähän asti tarkoittanut henkilön tunnistamista verkkopankkitunnuksilla, eli henkilökohtaisella tunnuskoodilla, salasanalla ja avainlukulistalla. Maksupalveludirektiivi asettaa nyt uudet vaatimukset tunnistamiselle, eikä avainlukulista välttämättä enää täytä niitä.
Direktiivin mukaan henkilön vahva sähköinen tunnistaminen on tehtävä kahden tekijän varmennuksella, mikä tarkoittaa, että kolmesta asetetusta ehdosta kahden on täytyttävä. Ehdot määrittävät miten tunnistaminen on tehtävä ja mitä sitä varten vaaditaan. Jatkossa tunnistamisen ehdot edellyttävät, että tunnistaminen vaatii kahden varmennuksen kombinaation seuraavista:
1. jotain mitä tunnistettava henkilö tietää, kuten salasana tai turvakoodi
2. jonkin välineen mikä vain tunnistettavalla henkilöllä on hallussaan, esim. avainlukulistan korvaava sovellus
3. jotain mikä tunnistettava henkilö itse on, eli käytännössä sormenjälkitunnistus tai kasvojentunnistus. (Yle.fi)
Suomessa on perinteisesti käytetty paperista avainlukulistaa, joka ei tässä muodossa välttämättä enää täytä asetettuja vaatimuksia, sillä se on helppo kopioida ja voi näin ollen olla myös jonkun muun henkilön hallussa. Avainlukulistan sijalle pankit kaavailevat mobiilisovelluksia ja avainlukulaitteita. Paperisen avainlukulistan käytön tuomiota saamme kuitenkin vielä odotella, sillä lopullista linjausta asiaan ei ole vielä saatu pankeilta eikä Finannsivalvonnalta.
Tunnistamiselle asetetut vaatimukset eivät vaikuta pelkästään yksityishenkilöihin, vaan myös verkkokauppaan. Aiemmin verkko-ostoksia on voinut tehdä ilman vahvaa sähköistä tunnistamista esimerkiksi suoraan maksukortilta - jatkossa verkkokauppaan vaaditaan aina vahva tunnistaminen, mikä saattaa hidastuttaa ostamista ja huolestuttaa siten kauppiaita. Suomalaiset ostajat suosivat edelleen maksamista verkkopankin kautta, ja ovat siten tottuneita kaivamaan esiin tunnuslukulistan kun sille on tarvetta. Mutta mikäli tunnuslukulistaa ei enää hyväksytä paperisena, tarkoittaa tämä mahdollisesti sitä, ettei avainlukulistaa hyväksytä yksinään mutta että sen ja tunnuskoodin + salasanan rinnalle vaaditaan lisäksi jokin muu varmiste, mikä taas tuo ostoprosessiin yhden lisävaiheen. Tämä on tuskin verkkokauppiaan taikka ostajan mieleen.
Onneksi pankit ovat jo pidemmän aikaa kehittäneet, ja jo tuoneet markkinoille mobiilimaksutapoja, joissa henkilön vahva sähköinen tunnistautuminen tapahtuu uusien vaatimusten mukaisesti maksutavan käyttöönoton yhteydessä. Mobiilimaksuissa ostotapahtuma hyväksytään mobiilisovelluksessa. Hyväksyminen tapahtuu niin, että ostaja kirjautuu mobiilisovellukseen esim. tunnuskoodilla tai sormenjälkitunnistuksella, minkä jälkeen maksupyynnön voi hyväksyä tai hylätä. Näin ostotapahtuma täyttää tunnistamisen vaatimukset: henkilö on tunnistettu maksutavan käyttöönoton yhteydessä, maksu tapahtuu henkilön hallitsemassa sovelluksessa ja itse maksu hyväksytään esim. sormenjälkitunnistuksella. Uudistuksien myötä ja verkkokaupankäynnin kasvaessa on myös luontevaa pankeilta ohjata asiakkaitaan käyttämään turvallisia ja helppokäyttöisiä mobiiliratkaisuja, varsinkin nyt kun tunnistaminenkin saattaa tapahtua mobiilisovelluksen avulla jo ihan piakkoin. Verkkokaupan näkökulmasta paras mahdollinen tapa valmistautua syksyllä tapahtuviin muutoksiin, on aktivoida mobiilimaksutavat verkkokauppaan jo tässä vaiheessa.
Direktiivin aiheuttamat muutokset hakevat siis edelleenkin muotoaan. Maksupalveludirektiiviin liittyvästä hämmennyksestä huolimatta PSD2-direktiivin tavoitteena on tehdä verkossa maksamisesta helpompaa ja turvallisempaa sekä parantaa kuluttajansuojaa esimerkiksi pienentämällä luottokorttien omavastuuosuutta petosten tai väärinkäytösten yhteydessä. Omavastuu esimerkiksi kadonneen tai varastetun maksuvälineen kohdalla alenee nykyisestä 150 eurosta 50 euroon, mikäli kuluttaja ei ole toiminut petollisesti tai törkeän huolimattomasti.
PSD2-maksupalveludirektiivi pyrkii yhdenmukaistamaan ja tehostamaan EU:n maksuliikemarkkinoita, kannustamaan innovatiivisten mobiili- ja verkkomaksutapojen kehittämistä sekä parantamaan EU:n kilpailukykyä maailmanlaajuisesti (europa.eu). Pankit, kuten OP ja Nordea, ovat uutisoineet, että uusi maksupalveludirektiivi tulee hyödyttämään asiakkaita ja tarjoamaan parempia ja monipuolisempia palveluita. Vaikka PSD2-maksupalveludirektiivi voikin tällä hetkellä vielä vaikuttaa hieman sekavalta, tulee siitä jatkossa siis olemaan kuluttajille hyötyä.
Maksu
22 elokuuta 2024
Maksu
29 helmikuuta 2024
Maksu
15 joulukuuta 2023
Maksu
21 syyskuuta 2023
Maksu
06 syyskuuta 2023
Maksu
08 elokuuta 2023
Maksu
04 heinäkuuta 2023
Maksu
07 kesäkuuta 2023
Maksu
10 toukokuuta 2023
Maksu
08 toukokuuta 2023