Tretji ponudniki storitev

Predlogu nove direktive o plačilnih storitvah na notranjem trgu (PSD2) je področje uporabe razširjeno na trenutno neregulirane t. i. tretje ponudnike storitev (angl. third party service providers) ter njihove storitve odrejanja plačil in zagotavljanja podatkov o računih. Evropska komisija se je odločila za ta korak ob dejstvu, da ponudba in povpraševanje po tovrstnih storitvah na evropskem trgu naraščata, ob tem pa njihova nereguliranost povzroča pravno negotovost glede varstva potrošnikov, varnosti tovrstnih storitev, razmejitve odgovornosti med tretjimi ponudniki storitev in reguliranimi ponudniki plačilnih storitev, enakih konkurenčnih pogojev za tretje ponudnike storitev in regulirane ponudnike plačilnih storitev ter varstva osebnih podatkov.

Tretji ponudniki storitev (izraz "tretji" se uporablja, ker gre za tretjo osebo, ki se pojavi kot vmesni člen v informacijskem toku med imetnikom računa in ponudnikom plačilnih storitev, ki mu ta račun vodi) ponujajo dva osnovna tipa storitev, ki ju opredeljuje tudi predlog PSD2. Pri prvem tipu storitve gre za zagotavljanje podatkov o računih (to pomeni, da se uporabniku plačilnih storitev v strnjeni in uporabniku prijazni obliki zagotovijo podatki o enem ali več plačilnih računih, ki jih ima pri enem ali več ponudnikih plačilnih storitev, ki vodijo račune), medtem kot drugi tip predstavlja storitev odrejanja plačil (to pomeni, da tretji ponudnik storitev na zahtevo plačnika odredi plačilno transakcijo, in sicer v breme plačilnega računa, ki ga ima ta plačnik odprtega pri svojem ponudniku plačilnih storitev).

Navedeni storitvi nudijo tretji ponudniki storitev bodisi samostojno bodisi v okviru organizirane sheme (v sodelovanju s ponudniki plačilnih storitev, ki vodijo plačilne račune).

Srž problema pri opravljanju navedenih storitev, ki povzroča pravno negotovost, predstavlja dostop tretjih ponudnikov storitev do plačilnih računov. V obstoječi okvir določb veljavne direktive o plačilnih storitvah namreč te storitev ne zapadejo, saj tretji ponudniki storitev pri tem v nobenem trenutku ne posedujejo denarnih sredstev svojih uporabnikov.

Pomembno vlogo pri vključitvi tretjih ponudnikov storitev v obseg predloga PSD2 je imel tudi Evropski forum za varnost plačil malih vrednosti (ang. European Forum on the Security of Retail Payments – SecuRe Pay), ki je bil vzpostavljen leta 2011 na pobudo Evropske centralne banke. Omenjeni forum je namreč v skladu s svojim mandatom izvedel analizo varnostnih tveganj iz naslova storitev tretjih ponudnikov storitev ter oblikoval niz priporočil za varnost storitev dostopa do plačilnih računov.

SecuRe Pay je ugotovil, da obravnavane storitve spremljajo številna dodatna varnostna tveganja (poleg tistih, ki obstajajo v okviru običajnih storitev spletnega bančništva), ki so bila tudi ključni razlog za umestitev teh storitev in njihovih ponudnikov v predlog PSD2, predvsem pa:

  • tveganje neavtoriziranih plačilnih transakcij s strani nereguliranih tretjih ponudnikov, saj ti razpolagajo z osebnimi varnostnimi elementi plačnika,
  • tveganje nejasnosti za ponudnike plačilnih storitev, ki vodijo plačilni račun, glede vpletenosti tretjih ponudnikov storitev v odreditev plačilne transakcije,
  • tveganje iz naslova šibkejših ali neustreznih dostopnih kontrol v sistemu oziroma uporabe občutljivih podatkov o plačilih,
  • tveganje izgube nadzora nad potekom seje v okviru spletne banke ali pri plačilu s strani uporabnika ali ponudnika plačilnih storitev, ki vodi njegov plačilni račun,
  • tveganje alokacije odgovornosti v primeru zlorabe zaradi izgube sledi morebitnih izvedenih aktivnosti v okviru plačilnega računa,
  • tveganje neustrezne varnosti iz naslova dodatnih komunikacijskih sej ali neustreznih postopkov avtentikacije pri različnih deležnikih v tej plačilni verigi in ne nazadnje tudi
  • tveganje zmanjšane učinkovitosti varnostnih ukrepov ponudnika plačilnih storitev, ki vodi plačilni račun.

Glede na to, da predlog PSD2 podeljuje mandat Evropskemu bančnemu organu za oblikovanje smernic o varnostnih ukrepih tudi na področju zadevnih storitev dostopa do plačilnih računov, je bil dokument s priporočili posredovan Evropskemu bančnemu organu v uporabo pri pripravi omenjenih smernic. Zaradi pomanjkanja pristojnosti za nadzor nad tretjimi ponudniki storitev namreč priporočila niso zavezujoča, jih je pa Evropska centralna banka objavila na svoji spletni strani predvsem za namene osveščanja relevantnih deležnikov.