Hämmennystä aiheuttava maksupalveludirektiivi PSD2 – mistä on kyse?

Svea Payments Oy | Tuotepäällikkö
Viivi Ahlqvist

Publicerad keskiviikko 30 tammikuuta 2019 11.00Maksu

EU:n uusi maksupalveludirektiivi PSD2 tuli voimaan 13.1.2016 ja se oli pantava täytäntöön 13.1.2018 mennessä. 18 kuukauden siirtymäaika loppuu 14.9.2019 eikä ole vieläkään täysin selvää, miten se tulee vaikuttamaan verkkopalveluihin tai verkossa maksamiseen. Pankit toteuttavat uusia rajapintoja ja PSD2-direktiivin odotetaan tuovan kuluttajille parempia palveluita ja uusia vaihtoehtoja maksutilien käyttöön. Maksupalveludirektiivi on kuitenkin aiheuttanut sekä kuluttajien että palveluntarjoajien keskuudessa hämmennystä. Kerromme tässä blogissa PSD2-maksupalveludirektiivin aiheuttamista keskeisimmistä muutoksista.

PSD2-maksupalveludirektiivin luvataan yhtenäistävän Euroopan maksuliikennemarkkinoita, tekevän verkossa maksamisesta helpompaa ja turvallisempaa sekä suojelevan kuluttajia petoksilta ja väärinkäytöksiltä. Uusi maksupalveludirektiivi näkyy kuluttajalle siinä, että jatkossa kolmannella osapuolella voi olla pääsy kuluttajan tilitietoihin tilin omistajan luvalla. Näin ollen kolmas osapuoli pääsisi katsomaan ja käyttämään henkilöiden tilejä.

PSD2 lisää kilpailua ja tarjoaa parempia palveluja

Etuna uudessa maksupalveludirektiivissä on muun muassa se, että kolmannet osapuolet voivat liittää vaikkapa maksupalveluita, mobiilipankkeja tai talouden hallintasovelluksia asiakkaiden pankkitileihin. Tämä voi tehdä maksamisesta entistäkin sujuvampaa ja helpompaa (hs.fi). Jatkossa asiakkaan ei välttämättä tarvitse enää ottaa esiin luottokorttiaan tai kirjautua omaan verkkopankkiin hyväksyäkseen maksun, vaan maksun voi kuitata nopeasti yhdellä klikkauksella tai pyyhkäisyllä. Ostosten tekemisestä tulee siis yksinkertaisempaa. Toisaalta ostajat on verkkomaksun yhteydessä jatkossa aina tunnistettava vahvasti, mikä tuo maksuprosessin sujuvuuteen omat haasteensa. Muun muassa pankit kehittävät parhaillaan uusia tapoja ostajan vahvaan sähköiseen tunnistamiseen.

Kolmas osapuoli on ulkopuolinen yhtiö, kuten vaikkapa maksupalveluntarjoaja. Kolmannen osapuolen pääsy asiakkaan tilitietoihin saattaa kuulostaa monien mielestä epäilyttävältä, mutta turvallisuudesta on yritetty tässäkin pitää kiinni: lain mukaan kolmannen osapuolen tulee tunnistautua aina, kun se käyttää henkilön tiliä. Pankin täytyy siis tietää, mikä palveluntarjoaja tilin tietoja käyttää. Luotettava kolmas osapuoli eli esimerkiksi maksupalveluntarjoaja löytyy Finanssivalvonnan rekisteristä.

Maksupalvelulainsäädäntöön PSD2-maksupalveludirektiivi vaikuttaa siten, että nämä kolmannet osapuolet tuodaan sääntelyn ja valvonnan piiriin, jolloin uusia palveluntarjoajia ovat:

  • maksutoimeksiantopalvelun tarjoajat (Payment Initiation Service Providers, PIS), kuten mobiilimaksusovelluksia tarjoavat yritykset
  • tilitietopalvelun tarjoajat (Account Information Service Providers, AIS) kuten analytiikkapalveluja tarjoavat toimijat

perinteisten maksupalveluntarjoajien (Payment Service Providers, PSP) lisäksi.

Maksutapojen merkitys

PIS-toimijat tarvitsevat toimiluvan Finassivalvonnalta PSP-toimijoiden tapaan, mutta AIS-toimijoille riittää rekisteröityminen Finanssivalvontaan. Pankkien on siis mahdollistettava kaikkien näiden palveluntarjoajien pääsy asiakkaiden pankkitileille asiakkaan pyynnöstä. Pankit eivät myöskään enää voi veloittaa kuluttajia kolmansien osapuolien käytöstä. Direktiivin myötä perinteisen verkkopankkimaksun odotetaan jollain aikavälillä häviävän verkkokauppojen maksutapavalikoimasta, kun sille ei enää sellaisenaan ole tarvetta – asiakas voi jaktossa TUPAS-tunnistautumalla antaa luvan kolmannelle osapuolelle veloittaa maksun tililtään.

Koska tilitietoja voidaan jatkossa käyttää yli pankkien rajojen ja eri pankkien tilejä yhdistää saman palvelun alle, erilaiset talouden hallintasovellukset voivat toimia tehokkaammin ja automatisoidummin muun muassa analysoimalla kulutuskäyttäytymistä ja tekemällä ehdotuksia talouden hallintaan. Maksupalveluntarjoajat, myös muut kuin pankit, voivat esimerkiksi käynnistää maksutoimeksiantoja, tarjota tilitietopalveluja tai laskea liikkeelle kortteihin pohjautuvia maksuvälineitä (Finanssiala.fi), mikä voi lisätä kilpailua maksunvälittäjien kesken. Kilpailu voi lisääntyä myös esimerkiksi rahoituspalveluita tarjoavien tahojen kesken, kun erilaiset sovellukset voivat automaattisesti vaikkapa kilpailuttaa asiakkaan lainat.

PSD2 edellyttää yhä tarkempaa asiakkaan tuntemista

PSD2-direktiivin myötä asiakkaan vahvan tunnistautumisen vaatimukset kasvavat. Käytännössä tämä koskee verkkomaksamista sekä erilaisten verkkopalveluiden käyttöä ja velvoittaa kolmannet osapuolet ottamaan käyttöön asiakkaan vahvan tunnistautumisen maksujen yhteydessä. Asiakkaan vahva tunnistautuminen tarkoittaa tällä hetkellä esimerkiksi sitä, että asiakas tunnistautuu sähköisesti verkkopankkitunnuksillaan TUPAS-palvelussa. Kolmannen osapuolen tulee aina vaatia asiakkaaltaan, eli tilin omistajalta, vahvaa tunnistautumista, jotta voidaan varmistua siitä, että tilin omistaja todella on antanut kolmannelle osapuolelle luvan käyttää pankkitiliään. Tästä on kuitenkin tehty eri EU-maissa erilaisia tulkintoja ja tilanteesta tekee yhä epäselvemmän se, että standardit, jotka määrittävät tilitietojen käytön ja tietoihin pääsyn teknisen toteutuksen, tulevat voimaan vasta nyt syksyllä 2019, 18 kuukauden siirtymäajan jälkeen.

Jotkut palveluntarjoajat ovat tulkinneet lakia niin, että se mahdollistaa verkkopankkitunnusten luovuttamisen palveluntarjoajien käyttöön. Verkkopankkitunnusten luovuttaminen kolmansille osapuolille kuitenkin kielletään sekä pankkien sopimusehdoissa että Suomen laissa, mikä ei tule muuttumaan uuden direktiivin myötä. Käytännössä kolmannen osapuolen tulee käyttää asiakkaan tiliä ainoastaan pankkien tarjoamien rajapintojen kautta, eikä asiakkaan verkkopankkitunnusten kautta.

Finanssivalvonta (FIVA) vahvisti 10.1.2018 entisen tiukan linjanvetonsa, jonka mukaan pankkitilin omistajan ei edelleenkään tule syöttää pankkitunnuksiaan mihinkään muualle, kuin pankin omaan tunnistautumispalveluun, ollen näin asiassa samoilla linjoilla. Pankkien tulee kehittää tileille pääsyä varten erillinen ohjelmistorajapinta.

Asiakas on tunnistettava aina, myös verkkokaupassa

Direktiivin osa, joka määrittelee vaatimukset henkilön vahvaan sähköiseen tunnistamiseen astuu siis voimaan 14.9.2019. Vahva sähköinen tunnistautuminen on käytännössä Suomessa tähän asti tarkoittanut henkilön tunnistamista verkkopankkitunnuksilla, eli henkilökohtaisella tunnuskoodilla, salasanalla ja avainlukulistalla. Maksupalveludirektiivi asettaa nyt uudet vaatimukset tunnistamiselle, eikä avainlukulista välttämättä enää täytä niitä.

Direktiivin mukaan henkilön vahva sähköinen tunnistaminen on tehtävä kahden tekijän varmennuksella, mikä tarkoittaa, että kolmesta asetetusta ehdosta kahden on täytyttävä. Ehdot määrittävät miten tunnistaminen on tehtävä ja mitä sitä varten vaaditaan. Jatkossa tunnistamisen ehdot edellyttävät, että tunnistaminen vaatii kahden varmennuksen kombinaation seuraavista:

1. jotain mitä tunnistettava henkilö tietää, kuten salasana tai turvakoodi

2. jonkin välineen mikä vain tunnistettavalla henkilöllä on hallussaan, esim. avainlukulistan korvaava sovellus

3. jotain mikä tunnistettava henkilö itse on, eli käytännössä sormenjälkitunnistus tai kasvojentunnistus. (Yle.fi)

Suomessa on perinteisesti käytetty paperista avainlukulistaa, joka ei tässä muodossa välttämättä enää täytä asetettuja vaatimuksia, sillä se on helppo kopioida ja voi näin ollen olla myös jonkun muun henkilön hallussa. Avainlukulistan sijalle pankit kaavailevat mobiilisovelluksia ja avainlukulaitteita. Paperisen avainlukulistan käytön tuomiota saamme kuitenkin vielä odotella, sillä lopullista linjausta asiaan ei ole vielä saatu pankeilta eikä Finannsivalvonnalta.

Tunnistamiselle asetetut vaatimukset eivät vaikuta pelkästään yksityishenkilöihin, vaan myös verkkokauppaan. Aiemmin verkko-ostoksia on voinut tehdä ilman vahvaa sähköistä tunnistamista esimerkiksi suoraan maksukortilta - jatkossa verkkokauppaan vaaditaan aina vahva tunnistaminen, mikä saattaa hidastuttaa ostamista ja huolestuttaa siten kauppiaita. Suomalaiset ostajat suosivat edelleen maksamista verkkopankin kautta, ja ovat siten tottuneita kaivamaan esiin tunnuslukulistan kun sille on tarvetta. Mutta mikäli tunnuslukulistaa ei enää hyväksytä paperisena, tarkoittaa tämä mahdollisesti sitä, ettei avainlukulistaa hyväksytä yksinään mutta että sen ja tunnuskoodin + salasanan rinnalle vaaditaan lisäksi jokin muu varmiste, mikä taas tuo ostoprosessiin yhden lisävaiheen. Tämä on tuskin verkkokauppiaan taikka ostajan mieleen. 

Onneksi pankit ovat jo pidemmän aikaa kehittäneet, ja jo tuoneet markkinoille mobiilimaksutapoja, joissa henkilön vahva sähköinen tunnistautuminen tapahtuu uusien vaatimusten mukaisesti maksutavan käyttöönoton yhteydessä. Mobiilimaksuissa ostotapahtuma hyväksytään mobiilisovelluksessa. Hyväksyminen tapahtuu niin, että ostaja kirjautuu mobiilisovellukseen esim. tunnuskoodilla tai sormenjälkitunnistuksella, minkä jälkeen maksupyynnön voi hyväksyä tai hylätä. Näin ostotapahtuma täyttää tunnistamisen vaatimukset: henkilö on tunnistettu maksutavan käyttöönoton yhteydessä, maksu tapahtuu henkilön hallitsemassa sovelluksessa ja itse maksu hyväksytään esim. sormenjälkitunnistuksella. Uudistuksien myötä ja verkkokaupankäynnin kasvaessa on myös luontevaa pankeilta ohjata asiakkaitaan käyttämään turvallisia ja helppokäyttöisiä mobiiliratkaisuja, varsinkin nyt kun tunnistaminenkin saattaa tapahtua mobiilisovelluksen avulla jo ihan piakkoin. Verkkokaupan näkökulmasta paras mahdollinen tapa valmistautua syksyllä tapahtuviin muutoksiin, on aktivoida mobiilimaksutavat verkkokauppaan jo tässä vaiheessa.

Hämmennyksestä hyötyyn

Direktiivin aiheuttamat muutokset hakevat siis edelleenkin muotoaan. Maksupalveludirektiiviin liittyvästä hämmennyksestä huolimatta PSD2-direktiivin tavoitteena on tehdä verkossa maksamisesta helpompaa ja turvallisempaa sekä parantaa kuluttajansuojaa esimerkiksi pienentämällä luottokorttien omavastuuosuutta petosten tai väärinkäytösten yhteydessä. Omavastuu esimerkiksi kadonneen tai varastetun maksuvälineen kohdalla alenee nykyisestä 150 eurosta 50 euroon, mikäli kuluttaja ei ole toiminut petollisesti tai törkeän huolimattomasti.

PSD2-maksupalveludirektiivi pyrkii yhdenmukaistamaan ja tehostamaan EU:n maksuliikemarkkinoita, kannustamaan innovatiivisten mobiili- ja verkkomaksutapojen kehittämistä sekä parantamaan EU:n kilpailukykyä maailmanlaajuisesti (europa.eu). Pankit, kuten OP ja Nordea, ovat uutisoineet, että uusi maksupalveludirektiivi tulee hyödyttämään asiakkaita ja tarjoamaan parempia ja monipuolisempia palveluita. Vaikka PSD2-maksupalveludirektiivi voikin tällä hetkellä vielä vaikuttaa hieman sekavalta, tulee siitä jatkossa siis olemaan kuluttajille hyötyä.

Muutokset tiivistettynä:

  • Kolmannet osapuolet, esim. palveluntarjoajat, pääsevät käyttämään pankin asiakkaiden pankkitilejä asiakkaan luvalla
  • Maksupalvelulainsäädännön piiriin tulee uusia toimijoita, kuten mobiilimaksusovellusten ylläpitäjiä ja analytiikkapalvelujen tarjoajia
  • Tilitietoja voidaan käyttää yli pankkien rajojen ja yhdistää saman palvelun alle – esimerkiksi talouden hallinta ja lainojen kilpailuttaminen helpottuu
  • Asiakkaan tunnistamisen vaatimukset kasvavat: kolmannen osapuolen on tunnistettava pankkitilin omistaja ja pankin on tunnistettava kolmas osapuoli eli esimerkiksi palveluntarjoaja
  • Kuluttajansuoja paranee: esimerkiksi kortinhaltijan omavastuuosuus pienenee 150 eurosta 50 euroon, jos maksukortti vaikkapa katoaa tai varastetaan
  • Maksuliikennemarkkinat toimivat yhtenäisesti ja samalla tavalla koko EU:n alueella
  • Paperiset avainlukulistat eivät välttämättä enää täytä vaatimuksia, vaan nämä on korvattava esimerkiksi sovelluksilla tai laitteilla 
  • Verkkokaupassa vaaditaan aina vahva sähköinen tunnistaminen
Svea Payments Oy | Tuotepäällikkö
Viivi Ahlqvist

Miten myydä ulkomaille? Kansainvälisen verkkokaupan haasteet

Myynti verkossa on yleisesti ottaen aina kansainvälistä. Verkossa ei ole selkeitä maiden rajoja ja suurtenkin asiakasryhmien tavoittaminen on helppoa, riippumatta siitä missä ostajat fyysisesti sijaitsevat. Myynti ulkomaille sisältää kuitenkin omat haasteensa, kuten esimerkiksi kohdemaata koskevan lainsäädännön huomioimisen, verkkokaupan toimivuuden varmistamisen muissa maissa, sekä ihan yksinkertaisuudessaan tilausten toimittamisen ja mahdollisten palauttamisen aiheuttamat haasteet. Haasteista huolimatta, myyntiä ulkomaille kannattaa aina harkita, eikä sen toteuttaminen useimmiten ole lainkaan hankalaa.

Postilakon vaikutukset verkkokauppaan

Suomessa verkkokaupan aikakautena ennennäkemätön työnseisaus, Postin ja logistiikka-alan unioni PAU:n lakko päättyi 27.11.2019. Lakko kesti kaksi viikkoa ja vaikutti sinä aikana suoraan, välillisesti ja tukilakkojen kautta moniin yhteiskunnan eri osa-alueisiin. Myös verkkokauppa kärsi lakosta, ja jotkin verkkokaupat ovat raportoineet myynnin jopa puolittuneen, kun yleensä marraskuu on yksi verkkokaupan vilkkaimmista kuukausista.

PSD2 lupailee helpompaa maksamista – mikä muuttuu verkkokaupassa?

Alkuvuodesta keskustelua verkkoliiketoiminnan parissa toimivien keskuudessa aiheutti EU:n uusi PSD2-maksupalveludirektiivi. Kevään edetessä PSD2-keskustelu jäi GDPR-lakiuudistuksen varjoon, mutta nyt kun GDPR:n alkuvaiheista on selvitty, niin on syytä vielä palata PSD2-maksupalveludirektiiviin ja erityisesti yhteen verkkokauppiaita koskettavaan asiaan, johon on tullut muutos PSD2-maksupalveludirektiivin myötä; nimittäin maksutapalisään.