PSD2 Toezichtraamwerk PISP & AISP
-
Upload
holland-fintech -
Category
Economy & Finance
-
view
72 -
download
3
Transcript of PSD2 Toezichtraamwerk PISP & AISP
Innovatiebijeenkomst Betaalvereniging & Holland Fintech
PSD2 Toezichtraamwerk PISP & AISP
Cees Rensen, 4 april 2017
DNB benadering Fintech en innovatie
Toezichtaanpak laten aansluiten op de nieuwe werkelijkheid
1. InnovationHub (juni 2016)
2. Maatwerk voor innovatie (jan 2017)
- Regulatory Sandbox
- Deelvergunning
- Opt-in vergunning
Waarom?
- Vergroten kennis, vroeg betrokken
- Juiste afweging maken
- Cultuuromslag, nieuwe mindset
2
InnovationHub
3
156vragen
9
3
Maatwerk voor innovatie (Regulatory sandbox)
1. Doel: time-to-market verkorten, ruimte bieden aan innovatie
2. Doelgroep: innovatieve marktpartijen die tegen onnodig knellende regelgeving aanlopen
3. Aanpak: bekijken of op een alternatieve wijze aan regels kan worden voldaan
4. Achterliggende toezichtnormen moeten worden nageleefd
5. Casus-specifieke beoordeling en voorwaarden, beperkt in de tijd
6. Een proeftuin, geen speeltuin: zonder [beperkte] vergunning geen toegang
4
Fintech companies in the regulatory landscape
Bankregulation
PSPregulation
Consumercredits regulationincl. non-equity
based crowdfunding
Securitiesregulation
5
PSP Banks
ING
BuckarooEquity based crowdfunding
Specializedinvestment banks
PSP withcredit lines
APG Asset Management
Bunq
5
Doorontwikkeling Crowdfunding platformen naar complexere
structuren
Crowdfunding
platform
Exploitant CF
platform
Geldaanbieders
- Crowd
geldvrager
Stichting
derdengelden Inve
ste
erd
ers
co
öp
era
tie U
.A. / a
an
de
elh
oude
r
in / s
ch
uld
eis
er va
n d
e g
eld
vra
ger
Geldmarktfonds / substituut
rekening courant
/ MTF
6
Implementatie PSD2
7
Tijdlijnen implementatie PSD2
2017 2018 2019
8
13-01-2018 Implementatie-wet PSD2
13-01-2018 GL 96(3) en 100(6) en RTS 15(4), 28(5) en 29(6)
▪ 5(4) GL: criteria vaststelling beroeps-aansprakelijkheids-verzekering
▪ 29(5) RTS aanwijzing centraal contactpunt
▪ 96(3) GL: criteria voor melding incidenten ▪ 100(6) GL: in overweging te nemen klachtenprocedures▪ 15(4) RTS: regels centraal EBA register▪ 28(5) RTS: samenwerking toezichthouders i.v.m. notificaties▪ 29(6) RTS: informatieuitwisseling toezichthouders
December 2018 *RTS art. 98 PSD2
▪ Strenge beveiliging klantauthenticatie & communicatie
▪ In de periode tussen het van kracht worden van de Implementatiewet PSD2 en de datum van toepassing van de RTS art. 98 PSD2is het nationaal recht van toepassing
▪ 115(6) PSD2: het niet-voldoen mag niet worden misbruikt om PISP en AISP te blokkeren of te hinderen
* 18 maanden na inwerkingtreding van de RTS
13-01-2017 GL 5(4) en RTS 29(5)
13-07-2018 GL 5(5), 95(3)
▪ 5(5) GL: de bij een vergunning-aanvraag te verstrekken gegevens
▪ 95(3) GL: beveiligingsmaatregelen
Reikwijdte betaaldiensten
PSD PSD2
9
1. Storten van contanten op een betaalrekening
2. Opnemen van contanten van een betaalrekening
3. Uitvoering van betalingstransacties4. Uitvoering van betalingstransacties met
kredietlijn5. Uitgifte van betaalinstrumenten en/of
acceptatie van betalingstransacties
6. Geldtransfers
7. elektronische Betalingstransacties door een aanbieder van communicatie-netwerken of -diensten
1. Storten van contanten op een betaalrekening
2. Opnemen van contanten van een betaalrekening
3. Uitvoering van betalingstransacties4. Uitvoering van betalingstransacties met
kredietlijn5. Uitgifte van betaalinstrumenten en/of
acceptatie van betalingstransacties
7. Betalingsinitiatiediensten8. Rekeninginformatiediensten
6. Geldtransfers
Uitsluiting art. 3(l) PSD2 voor aankopen van digitale inhoud en spraakgestuurde diensten tot max €50 per transactie en totaal max €300 per maand
Nieuwe betaaldienstverleners – PISP & AISP
10
PISP
AISP
PISP én AISP
▪ Initieert betaalopdrachten m.b.t. betaalrekeningen van betaaldienstgebruikers bij andere betaaldienstverleners
▪ Moet over een vergunning beschikken, verleend door DNB *
▪ Verstrekt geconsolideerde online informatie aan betaaldienstgebruikers over een of meer betaalrekeningen die de betaaldienstgebruikers bij een of meer andere betaaldienstverleners aanhouden
▪ Moet over een vergunning beschikken ingevolge art. 2:3a Wft – dus niet een registratie met vrijstelling van de vergunningplicht als bedoeld in art. 33 PSD2
* Komt overeen met een vergunning om betaaldienst nr. 3 van de bijlage bij PSD2 te verrichten
als authenticatie exclusief plaats blijft vinden tussen de betaaldienstgebruiker en de betaaldienstverlener waar deze zijn of haar betaalrekening(en) aanhoudt
▪ Mogen alleen data opvragen van de betaaldienstgebruiker op diens uitdrukkelijk verzoek en uitsluitend voor het verrichten van hun PIS/AIS
▪ Mogen geen gevoelige betalingsgegevens van betaaldienstgebruikers opslaan
▪ Moeten zich bij elke dienstverrichting identificeren bij de rekening houdende betaaldienstverlener
Toezichtraamwerk betaaldienstverleners (1)
Toezichtnorm Bankenbetaaldiensten 1-8
Betaalinstellingen betaaldiensten 1- 8
PISP & AISP
1. Geschiktheid & betrouwbaarheid bestuurders +ingevolge CRD + +
2. Beleid integere bedrijfsvoering +ingevolge CRD + +
3. Min aantal beleidsbepalers +ingevolge CRD + +
4. Zeggenschapsstructuur + +
5. Inrichting bedrijfsvoeringa. Algemeenb. Integriteitc. Soliditeitd. Gedrage. Goede werking
betalingsverkeer
+a. CRD en PSD2 vereisten: o.a
beveiligingsbeleid gevoelige betalingsgegevens en toegang daartoe voor PISP & AISP
b. CRD, MiFID etc vereistenc. CRD en PSD2 vereisten: m.b.t.
PSD2 art. 95 – 98 beheersen van operationele risico’s en beveiligingsrisico’s
d. CRD, MiFID etc vereisten én PSD (Titel III & IV)
e. Wft – Regeling oversight goede werking betalingsverkeer
+a. ingevolge PSD2: art. 5 inzake
vergunningvereisten, inclusief vereisten m.b.t. algemene aspecten bedrijfsvoering & governance enbeveiligingsbeleid gevoelige betalingsgegevens, en art. 66 en 67 inzake toegang tot gevoelige betalingsgegevens bij banken
b. Ingevolge PSD2: art. 5 inzake vergunningvereisten m.b.t. integriteit)
c. Ingevolge PSD2: art. 5 inzake beheerste bedrijfsvoering en art. 95 –98 inzake beheersen van operationele risico’s en beveiligingsrisico’s
d. ingevolge PSD (Titel III & IV)e. Wft - Regeling oversight goede
werking betalingsverkeer
+a. ingevolge PSD2: art. 5 inzake
vergunningvereisten inclusief vereisten m.b.t. algemene aspecten bedrijfsvoering & governance en beveiligingsbeleid gevoelige betalingsgegevens, en art. 67 inzake toegang tot gevoelige betalingsgegevens bij banken
b. Ingevolge PSD2: art. 5 inzake vergunningvereisten m.b.t. integriteit
c. Ingevolge PSD2: art. 5 inzake beheerste bedrijfsvoering en art. 95 – 98 m.b.t. beheersen van operationele risico’s en beveiligingsrisico’s
d. informatievereisten ingevolge art. 41, 45 en 52 Titel III PSD2
6. Veiligstellen geldmiddelen - + -
7. RvC +ingevolge 3:19 Wft +ingevolge 3:17 Wft + op basis van proportionaliteit
8. Minimum eigen vermogen +ingevolge CRD + -
9. Solvabiliteit / liquiditeit +ingevolge CRD/CRR + - beroepsaansprakelijkheidverzekering
10. Kapitaalbuffers +ingevolge CRD - -
12. Geconsolideerd toezicht +ingevolge CRD/CRR - -/+ (vvgb gekwalificeerde deelnemingen)
5
Toezichtraamwerk betaaldienstverleners (2)Inrichting bedrijfsvoering PISP & AISP
1. Toegang tot betaalrekeningen (art. 66 & 67 PSD2): De PISP/AISP▪ is op geen enkel moment in het bezit van geldmiddelen van de betaaldienstgebruiker▪ Draagt zorg voor de beveiliging van de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker en communicatie ervan via
veilige en efficiënte kanalen▪ identificeert zich bij elke PIS/AIS▪ slaat geen gevoelige betalingsgegevens van de betaaldienstgebruiker op ▪ vraagt en gebruikt alleen gegevens van de betaaldienstgebruiker voor het verstrekken van PIS/AIS.
2. Beveiligingsbeleid m.b.t. gevoelige betalingsgegevens (art. 5(1j) PSD2:De PISP/AISP:▪ voert ter bescherming van de betaaldienstgebruiker een beveiligingsbeleid gericht op de analyse en mitigatie van de
beveiligingsrisico’s inzake fraude en illegaal gebruik van persoonlijke betalingsgegevens van de betaaldienstgebruiker
3. Authenticatie & communicatie (art. 97 en 98 PSD2): De PISP/AISP voorziet in overeenstemming met de technische reguleringsnormen, bedoeld in artikel 98(1):▪ In de vereiste procedure voor sterke cliëntauthenticatie;▪ de maatregelen en procedures om te voldoen aan de eisen die zijn gesteld aan de beveiligingsmaatregelen ter bescherming van de
vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van betaaldienstgebruikers;▪ De maatregelen en procedures om te voldoen aan de voorschriften voor gemeenschappelijke en beveiligde open
communicatienormen ten behoeve van in het bijzonder de identificatie, authenticatie, kennisgeving en informatieverstrekking,
4. Beheersing van de operationele risico’s en beveiligingsrisico’s (art. 5(1h,j), 95 en 96 PSD2): De PISP/AISP voorziet in:▪ passende – in de bedrijfsprocessen vervatte - maatregelen en controlemechanismen ter beheersing van de operationele en
beveiligingsrisico’s met betrekking tot de aangeboden betaaldiensten;▪ procedures voor detectie, classificatie en beheersing van incidenten;▪ Bedrijfscontinuiteitsregelingen.
5. Eigen beoordeling van de risico’s – operationeel en beveiliging - en rapportage aan de toezichthouder (95 PSD2): De PISP/AISP:▪ Verricht tenminste jaarlijks een eigen beoordeling van de operationele risico’s en van de beveiligingsrisico’s, en rapporteert
daarover, met inbegrip van de genomen risicobeheersingmaatregelen, aan de toezichthouder;▪ Rapporteert tenminste jaarlijks aan de toezichthouder statistische data over fraude m.b.t. de verschillende betalingsmethoden.
10
Aanvullend voor PISP & AISP?
Welke van de volgende (gangbare) prudentiële vereisten zijn relevant voor AISP?
1. De WWFT-vereisten of separate KYC/CDD bepalingen?
2. Integriteitsbeleid of volstaan met beveiligingsbeleid ex art. 5(1j) PSD2?
3. Overall risicomanagement beleid of volstaan met maatregelen gericht op de beheersing van operationele risico’s en beveiligingsrisico’s ex art. 95 PSD2?
4. Een RvC of een daarmee vergelijkbaar orgaan?
11