Update van eerdere blog van 17 juli 2018
De sterke opkomst van financial technology bedrijven – ook wel Fintechs – leidt tot een “revolutie” in de financiële sector. Dankzij slimme innovaties op het gebied van onder andere kunstmatige intelligentie, machine learning, blockchain, mobiel betalen en identiteit- en toegangsbeheer, zijn deze bedrijven in staat om diensten relatief goedkoop, makkelijk en snel te leveren. Om de concurrentie tussen traditionele banken en Fintechs op het gebied van alternatieve en innovatieve betaaldiensten te stimuleren, beoogt herziende Europese regelgeving de traditionele “bankinfrastructuur” (nader) te reguleren. Deze blog gaat in op de uitbreiding van economische regulering van retailbetalingen en bijbehorende data, en de toepassing van het nieuwe reguleringskader door nationale mededingingsautoriteiten.
Opmars van Fintechs
De beursgang van de Nederlandse betalingsverwerker Adyen toont dat Fintechs een steeds prominentere rol spelen in het financiële landschap. De gevestigde financiële instellingen, zoals grootbanken, verzekeraars en pensioenfondsen zijn zich maar al te bewust van deze ontwikkeling. Steeds vaker wordt de samenwerking met Fintech-startups opgezocht en komen de traditionele grootbanken met eigen initiatieven. Enkele voorbeelden hiervan zijn de lancering van drie startups – Franx, New10 en Prospery – door ABN Amro, de oprichting van Peaks door Rabobank en de introductie van Kandoor door Pensioenfonds APG. Ook hebben de grootbanken gezamenlijk Payconiq, een alternatief voor iDeal, in de markt gezet.
Ondanks de explosieve groei aan Fintech-bedrijven, ervaren nieuwkomers in de financiële dienstverlening veelal barrières bij hun toetreding tot de markt. Banken hoeven op basis van bestaande financiële regulering geen betaalrekeninggegevens van hun klanten te delen met derde partijen. In verschillende studies heeft de Autoriteit Consument & Markt (“ACM”) de mogelijkheden geanalyseerd om de bijdrage van Fintechs aan concurrentie te vergroten en gewaarschuwd voor de risico’s van uitsluiting van Fintechs.
Het Europese juridisch kader voor retailbetalingen is onlangs herzien met de komst van de Payment Service Directive 2 (de “PSD2-richtlijn”). Deze richt zich op het openstellen van de bankinfrastructuur voor derde partijen, ook wel “open banking” genoemd. Door op korte termijn standaarden te ontwikkelen voor uitwisseling van gegevens en toegang tot bestaande systemen te garanderen, beoogt de Europese wetgever de concurrentie op de markt voor (alternatieve) betaaldiensten te vergroten.
Reikwijdte van de PSD2-richtlijn
Waar Fintech-bedrijven aanvankelijk niet onder het begrip “betalingsdienstaanbieder“ zoals opgenomen in de PSD1-richtlijn vielen, is deze definitie in de PSD2-richtlijn verruimd met twee nieuwe, niet-bancaire spelers. De twee nieuwe categorieën van betalingsdienstaanbieders zijn;
- Rekeninginformatiedienstverleners: zij kunnen op verzoek van een rekeninghouder informatie van diens verschillende betaalrekeningen van verschillende banken samenvoegen. Het grote voorbeeld is het Amerikaanse Mint.com, onderdeel van boekhoudsoftwarebedrijf Intuit. Door bankrekeningen samen te voegen wordt het voor de rekeninghouder in één klap duidelijk of er voldoende saldo is om een betaalopdracht uit te voeren, wat de hoogte van het banksaldo is en wat het verloop in zijn financiën is.
- Betalingsinitiatiedienstverleners: zij kunnen in opdracht van een particuliere of zakelijke rekeninghouder en met diens uitdrukkelijke toestemming betaalopdrachten opstarten via online toegankelijke betaalrekeningen (inclusief vrij opneembare spaarrekeningen) van de rekeninghouder. Een bekend voorbeeld hiervan is Tikkie, een app die door ABN Amro is gelanceerd. Het initiëren van betaalopdrachten door een derde partij is onderworpen aan strenge klantauthenticatie-eisen.
Partijen die deze diensten willen leveren, dienen zich te registreren en een vergunning aan te vragen bij een centrale bank, bijvoorbeeld De Nederlandsche Bank (“DNB”). Partijen die louter rekeninginformatiediensten aanbieden, zijn vrijgesteld van de vergunningsplicht (artikel 33 PSD2-richtlijn).
Toegangsvoorwaarden voor derde partijen
Op grond van artikel 35 van de PSD2-richtlijn dienen banken vergunninghoudende of geregistreerde betalingsdienstaanbieders toegang te verlenen tot hun online betalingssystemen. Daarbij dient de toegang objectief, niet-discriminerend en evenredig te zijn en wordt de toegang niet meer belemmerd dan nodig is. Daarnaast dienen betalingsinstellingen, waaronder betalingsinitiatiedienstverleners, toegang te hebben tot de betaalrekeningdiensten van kredietinstellingen (artikel 36 PSD2-richtlijn).
De regels betreffende de toegang tot en het gebruik van (gegevens van) online betaalrekeningen zijn verder uitgewerkt in artikelen 66 en 67 PSD2-richtlijn. Zo dienen gebruikers van betalingsdiensten uitdrukkelijk toestemming te geven voor het gebruik van hun betaalrekening(gegevens) door derde partijen. Derde partijen, de betalingsdienstaanbieders, moeten zich onder meer richting gebruikers identificeren en mogen geen verdergaande betalingsgegevens opvragen of opslaan dan noodzakelijk is voor het uitvoeren van de specifieke betalingsdienst. Banken dienen op hun beurt onverwijld mee te werken aan betalingsopdrachten en informatieverzoeken van derde partijen en mogen toegang tot betaalrekening(gegevens) bijvoorbeeld niet afhankelijk stellen van het bestaan van een contractuele relatie tussen de bank en de derde partij.
De PSD2-richtlijn legt daarbij een non-discriminatieverplichting op aan banken. Banken mogen derde partijen niet anders behandelen – bijvoorbeeld qua termijn, kosten en voorrang – dan wanneer de klant zelf om deze informatie of dienst zou vragen. Toegang tot (de gegevens van) online betaalrekeningen kan alleen worden ontzegd op basis van objectieve redenen (artikel 68 PSD2-richtlijn). Een bank die toegang ontzegt, dient hiervan melding te maken bij de bevoegde autoriteit die deze zal beoordelen en, indien noodzakelijk, passende maatregelen zal nemen.
De Regulatory Technical Standards (“RTS”) van de Europese Commissie geven nadere invulling aan de PSD2-regels. Zo heeft de Europese Commissie bepaald dat banken gecompenseerd mogen worden voor ten hoogste de efficiënte kosten die zij moeten maken om toegang voor derde partijen te realiseren. De PSD2-richtlijn laat echter ruimte voor verschillende interpretaties van de wijze waarop toegang verleend dient te worden. Recentelijk heeft de Berlin Group, een Europees initiatief van financiële instellingen, een Access to Account Framework ontwikkeld bestaande uit een interoperabel systeem voor gegevensuitwisseling. Uiteindelijk zal pas duidelijkheid komen over de precieze toegangscondities wanneer de richtlijn in nationale regelgeving is geïmplementeerd en het nationale juridisch kader nader is uitgewerkt.
Implementatie van de richtlijn
Na herhaaldelijk uitstel en discussies in de politiek over onder meer privacy kwesties, is de PSD2-richtlijn eind 2018 geïmplementeerd in de Nederlandse wetgeving. Door de Implementatiewet herziene richtlijn betaaldiensten zijn artikelen 35, 36 en 68 van de PSD2-richtlijn nu verankerd in artikelen 5:88 (toegang tot betalingssystemen) en 5:88a (toegang tot betaalrekeningdiensten) van de Wet op het financieel toezicht (“Wft”).
Fintech bedrijven, maar bijvoorbeeld ook grote Amerikaanse en Chinese techbedrijven, kunnen vanaf het moment van inwerkingtreding een vergunning aanvragen bij DNB en toegang afdwingen tot betaalrekeninggegevens van banken. Dit zal naar verwachting grote gevolgen gaan hebben voor de innovatie in betaalsystemen en de onderlinge concurrentieverhouding tussen traditionele banken, Fintechs en techgiganten. Waar Fintechs stellen dat er lange tijd een concurrentievoordeel bestond voor traditionele banken die reeds beschikken over de benodigde data om alternatieve betaaldiensten aan te bieden, hebben traditionele banken hun zorgen geuit over oneerlijke concurrentie door het gebrek aan regulering van Fintechs en techreuzen. Zij zijn momenteel niet gebonden aan dezelfde regels inzake klantbescherming, beveiliging, aansprakelijkheden en dergelijke als banken. Bovendien vrezen banken en sommige politici dat grote technologiebedrijven zoals Google, Amazon en Alibaba zullen profiteren van het op grote schaal aanbieden van betaaldiensten om zo bankdata te verzamelen.
Toezicht en handhaving door de ACM
Naast DNB, de Autoriteit Financiële Markten (“AFM”) en de Autoriteit Persoonsgegevens (“AP”), is ook ACM verantwoordelijk voor het toezicht op naleving van de PSD2-regels. De ACM is namelijk op grond van artikel 1:25a Wft belast met het toezicht op artikelen 5:88 en 5:88a Wft. In meerdere toespraken eind 2018, benadrukte de ACM dat de technische standaarden die banken zullen ontwikkelen met het oog op de PSD2-regels er niet toe mogen leiden dat bepaalde derde partijen worden uitgesloten van toegang. De ACM sprak daarbij haar voornemen uit om aankomende tijd Fintechs actief te ondersteunen bij het wegnemen van mogelijke toegangsdrempels.
ACM kan in dat kader nadere zienswijzen geven over de (gerechtvaardigde) gronden voor weigering van toegang en in bepaalde gevallen handhavend optreden. Zo kan de ACM bijvoorbeeld op basis van artikel 1:25a Wft in het geval van een overtreding van de toegangsbepalingen een bindende aanwijzing geven (artikelen 1:59 en 1:75 Wft). Wel geldt dat ACM de verplichting heeft om in voorkomend geval de AFM en DNB om hun zienswijze te vragen (artikelen 1:25a lid 3 jo 1:47 lid 1 Wft), zodat de ACM sectorspecifieke kennis van DNB en de AFM kan meenemen in haar besluitvorming. Andersom dient de AFM vertrouwelijke gegevens en inlichtingen te verstrekken aan de ACM, voor zover nodig voor de uitvoering van haar toezichtstaken (zie artikel 1:93c Wft en artikel 3.3 Wet handhaving consumentenbescherming).
De uitbreiding van ACM’s toezichtstaken op basis van de Wft doet niet af aan de mogelijkheden voor de ACM om op basis van het generieke mededingingsrecht te handhaven. De ACM kondigde in haar studie naar Fintechs in het betalingsverkeer uit december 2017 reeds aan proactief het gedrag van banken te zullen monitoren en te onderzoeken of sprake is van overtredingen van de Mededingingswet (“Mw”). Zo kan de ACM op grond van artikel 24 Mw bijvoorbeeld handhavend optreden indien dominante banken op oneigenlijke gronden weigeren om essentiële informatie te leveren aan Fintechs. Ook kan de ACM bij niet-naleving een bestuurlijke boete of een last onder dwangsom opleggen.
Nieuwe reguleringstrend?
De bankensector lijkt niet de enige markt te zijn waarbij regulering van data-uitwisseling beoogt bij te dragen aan de marktwerking. Zo bracht de ACM in mei 2018 een advies uit over regulering van de OV-betaalmarkt waarin de ACM de mogelijkheid beschreef om reisdata en reizigersinformatie van OV-bedrijven op een vergelijkbare wijze als in de PSD2-richtlijn open te stellen voor mobiliteitsdienstverleners. De digitale economie ontketent mogelijk een nieuwe trend in het mededingingstoezicht waarbij toegang tot inputs en netwerken steeds vaker wordt afgedwongen met ex ante regulering.