PSD2: de rol van mededingingsautoriteiten bij het openstellen van de bankinfrastructuur

De sterke opkomst van fintechs leidt tot een revolutie in de financiële sector. Dankzij slimme innovaties op het gebied van onder andere kunstmatige intelligentie, machine learning, blockchain, mobiel betalen en identiteit- en toegangsbeheer, zijn deze bedrijven in staat om diensten relatief goedkoop, makkelijk en snel te leveren. Maar hoe krijgen ze te maken met regulering?

Om de concurrentie tussen traditionele banken en Fintechs op het gebied van alternatieve en innovatieve betaaldiensten te stimuleren, beoogt herziene Europese regelgeving de traditionele “bankinfrastructuur” (nader) te reguleren. Deze blog gaat in op de uitbreiding van economische regulering van retailbetalingen en bijbehorende data, en de toepassing van het nieuwe reguleringskader door nationale mededingingsautoriteiten.

Opmars van Fintechs

De beursgang van de Nederlandse betalingsverwerker Adyen toont dat fintechs een steeds prominentere rol spelen in het financiële landschap. De gevestigde financiële instellingen, zoals grootbanken, verzekeraars en pensioenfondsen zijn zich maar al te bewust van deze ontwikkeling. Steeds vaker wordt de samenwerking met fintech-startups opgezocht en komen de traditionele grootbanken met eigen initiatieven. Enkele voorbeelden hiervan zijn de lancering van drie startups – Franx, New10 en Prospery – door ABN Amro, de oprichting van Peaks door Rabobank en de introductie van Kandoor door Pensioenfonds APG. Ook hebben de grootbanken onlangs gezamenlijk Payconiq, een alternatief voor iDeal, in de markt gezet.

Ondanks de explosieve groei aan fintechbedrijven, ervaren nieuwkomers in de financiële dienstverlening veelal barrières bij hun toetreding tot de markt. Banken hoeven op basis van bestaande financiële regulering geen betaalrekeninggegevens van hun klanten te delen met derde partijen. In verschillende studies heeft de Autoriteit Consument & Markt (“ACM”) de mogelijkheden geanalyseerd om de bijdrage van fintechs aan concurrentie te vergroten en gewaarschuwd voor de risico’s van uitsluiting van fintechs.

Het Europese juridisch kader voor retailbetalingen is onlangs herzien met de komst van de Payment Service Directive 2 (de “PSD2-richtlijn”). Deze richt zich op het openstellen van de bankinfrastructuur voor derde partijen, ook wel “open banking” genoemd. Door op korte termijn standaarden te ontwikkelen voor uitwisseling van gegevens en toegang tot bestaande systemen te garanderen, beoogt de Europese wetgever de concurrentie op de markt voor (alternatieve) betaaldiensten te vergroten.

Reikwijdte van de PSD2-richtlijn

Waar fintechbedrijven aanvankelijk niet onder het begrip “betalingsdienstaanbieder“ zoals opgenomen in de PSD1-richtlijn vielen, is deze definitie in de PSD2-richtlijn verruimd met twee nieuwe, niet-bancaire spelers. De twee nieuwe categorieën van betalingsdienstaanbieders zijn;

1. Rekeninginformatiedienstverleners: zij kunnen op verzoek van een rekeninghouder informatie van diens verschillende betaalrekeningen van verschillende banken samenvoegen. Het grote voorbeeld is het Amerikaanse Mint.com, onderdeel van boekhoudsoftwarebedrijf Intuit. Door bankrekeningen samen te voegen wordt het voor de rekeninghouder in één klap duidelijk of er voldoende saldo is om een betaalopdracht uit te voeren, wat de hoogte van het banksaldo is en wat het verloop in zijn financiën is.
2. Betalingsinitiatiedienstverleners: zij kunnen in opdracht van een particuliere of zakelijke rekeninghouder en met diens uitdrukkelijke toestemming betaalopdrachten opstarten via online toegankelijke betaalrekeningen van de rekeninghouder. Een bekend voorbeeld hiervan is Tikkie, een app die door ABN Amro is gelanceerd.

Partijen die deze diensten willen leveren, dienen zich te registreren en een vergunning aan te vragen bij een centrale bank, bijvoorbeeld De Nederlandsche Bank (“DNB”). Partijen die louter rekeninginformatiediensten aanbieden, zijn vrijgesteld van de vergunningsplicht (artikel 33 PSD2-richtlijn).

Toegangsvoorwaarden voor derde partijen

Op grond van artikel 35 van de PSD2-richtlijn dienen banken vergunninghoudende of geregistreerde betalingsdienstaanbieders toegang te verlenen tot hun online betalingssystemen. Daarbij dient de toegang objectief, niet-discriminerend en evenredig te zijn en wordt de toegang niet meer belemmerd dan nodig is. Daarnaast dienen betalingsinstellingen, waaronder betalingsinitiatiedienstverleners, toegang te hebben tot de betaalrekeningdiensten van kredietinstellingen (artikel 36 PSD2-richtlijn).

De regels betreffende de toegang tot en het gebruik van (gegevens van) online betaalrekeningen zijn verder uitgewerkt in artikelen 66 en 67 PSD2-richtlijn. Zo dienen gebruikers van betalingsdiensten uitdrukkelijk toestemming te geven voor het gebruik van hun betaalrekening(gegevens) door derde partijen. Derde partijen, de betalingsdienstaanbieders, moeten zich onder meer richting gebruikers identificeren en mogen geen verdergaande betalingsgegevens opvragen of opslaan dan noodzakelijk is voor het uitvoeren van de specifieke betalingsdienst. Banken dienen op hun beurt onverwijld mee te werken aan betalingsopdrachten en informatieverzoeken van derde partijen en mogen toegang tot betaalrekening(gegevens) bijvoorbeeld niet afhankelijk stellen van het bestaan van een contractuele relatie tussen de bank en de derde partij.

De PSD2-richtlijn legt daarbij een non-discriminatieverplichting op aan banken. Banken mogen derde partijen niet anders behandelen – bijvoorbeeld qua termijn, kosten en voorrang – dan wanneer de klant zelf om deze informatie of dienst zou vragen. Toegang tot (de gegevens van) online betaalrekeningen kan alleen worden ontzegd op basis van objectieve redenen (artikel 68 PSD2-richtlijn). Een bank die toegang ontzegt, dient hiervan melding te maken bij de bevoegde autoriteit die deze zal beoordelen en, indien noodzakelijk, passende maatregelen zal nemen.

De Regulatory Technical Standards (“RTS”) van de Europese Commissie geven nadere invulling aan de PSD2-regels. Zo heeft de Europese Commissie bepaald dat banken gecompenseerd mogen worden voor ten hoogste de efficiënte kosten die zij moeten maken om toegang voor derde partijen te realiseren. De PSD2-richtlijn laat echter ruimte voor verschillende interpretaties van de wijze waarop toegang verleend dient te worden. Recentelijk heeft de Berlin Group, een Europees initiatief van financiële instellingen, een Access to Account Framework ontwikkeld bestaande uit een interoperabel systeem voor gegevensuitwisseling. Uiteindelijk zal pas duidelijkheid komen over de precieze toegangscondities wanneer de richtlijn in nationale regelgeving is geïmplementeerd en het nationale juridisch kader nader is uitgewerkt.

Vertraagde implementatie van de richtlijn

De implementatie van de PSD2-richtlijn is meermaals uitgesteld ten opzichte van de voorgeschreven implementatiedatum van 13 januari 2018. Naar verwachting wordt de richtlijn op zijn vroegst eind 2018 in Nederlandse wetgeving verankerd. In het wetsvoorstel dat momenteel door de Tweede Kamer wordt behandeld, zijn artikelen 35, 36 en 68 van de PSD2-richtlijn geïmplementeerd in respectievelijk artikelen 5:88(toegang tot betalingssystemen) en 5:88a (toegang tot betaalrekeningdiensten) van de Wet op het financieel toezicht (“Wft”).

Nu de PSD2-richtlijn geen directe werking heeft, kunnen fintechbedrijven door de vertraagde implementatie nog geen vergunning aanvragen en evenmin toegang tot betaalrekeninggegevens afdwingen van banken. Fintechs stellen daarom dat er een concurrentievoordeel bestaat voor traditionele banken die reeds beschikken over de benodigde data om alternatieve betaaldiensten aan te bieden. Traditionele banken menen daarentegen dat het gebrek aan regulering van fintechs een concurrentievoordeel voor fintechs creëert. Zij zijn momenteel niet gebonden aan dezelfde regels inzake klantbescherming, beveiliging, aansprakelijkheden en dergelijke als banken. Kortom, zowel banken als fintechs dringen aan op zo snel mogelijke inwerkingtreding van de implementatiewet. Tot die tijd zien sommige marktpartijen zich genoodzaakt om op eigen initiatief betaalrekeninggegevens met elkaar te delen,

Het uitstellen van implementatie van Europese wetgeving gaat niet zonder slag of stoot. De Europese Commissie kan Nederland daarvoor in gebreke stellen en een inbreukprocedure starten die uiteindelijk kan leiden tot het opleggen van een boete door het Hof van Justitie.

Toezicht en handhaving door de ACM

Naast DNB, de Autoriteit Financiële Markten (“AFM”) en de Autoriteit Persoonsgegevens (“AP”), is de ACM mede verantwoordelijk voor het toezicht op naleving van de PSD2-regels. De ACM kondigde in haar studie naar fintechs in het betalingsverkeer uit december 2017 reeds aan proactief te zullen onderzoeken of sprake is van overtredingen van de Mededingingswet (“Mw”).

De ACM kan in bepaalde gevallen handhavend optreden. In tegenstelling tot ex ante regulering in andere sectoren (telecom, energie, zorg etc), heeft de ACM geen aanvullend instrumentarium gekregen vanuit de PSD2-richtlijn. De toezichthouder kan op grond van artikel 24 Mw handhavend optreden indien dominante bedrijven weigeren om essentiële informatie te leveren aan Fintechs op basis van oneigenlijke gronden.

Op basis van artikelen 5:88 en 5:88a Wft (nieuw) krijgt de ACM de mogelijkheid om nadere zienswijzen te geven over de (gerechtvaardigde) gronden voor weigering van toegang. Ook kan de ACM een bestuurlijke boete of een last onder dwangsom opleggen bij niet-naleving van deze toegangsbepalingen of een bindende aanwijzing geven op basis van 1:59 en 1:75 Wft. Voor de ACM geldt wel de verplichting om in voorkomend geval de AFM en DNB om hun zienswijze te vragen (artikelen 1:25a lid 3 jo 1:47 lid 1 Wft), zodat de ACM sectorspecifieke kennis van DNB en de AFM kan meenemen. De exacte verdeling van toezichtstaken tussen de verschillende autoriteiten zal zich nog moeten uitkristalliseren komende maanden tijdens de parlementaire behandeling van de PSD2-implementatiewet.

Nieuwe reguleringstrend?

De bankensector lijkt niet de enige markt te zijn waarbij regulering van data-uitwisseling beoogt bij te dragen aan de marktwerking. Zo bracht de ACM in mei 2018 een advies uit over regulering van de OV-betaalmarkt waarin de ACM de mogelijkheid beschreef om reisdata en reizigersinformatie van OV-bedrijven op een vergelijkbare wijze als in de PSD2-richtlijn open te stellen voor mobiliteitsdienstverleners. De digitale economie ontketent mogelijk een nieuwe trend in het mededingingstoezicht waarbij toegang tot inputs en netwerken steeds vaker wordt afgedwongen met ex ante regulering.

Dit artikel is mede geschreven door Bas Braeken