PSD2 muutti maksamista

Paljon puhuttu PSD2 – mikä se on?

PSD2 eli EU:n toinen maksupalveludirektiivi muutti myös Suomessa lainsäädäntöä maksamisen osalta. Uusi lainsäädäntö tuli voimaan osin jo tammikuussa 2018, mutta se etenee vaiheittain, ja kokonaisuudessaan uudet maksamista koskevat säädökset ovat voimassa 14.9.2019 lähtien. PSD2 vaikuttaa muun muassa seuraavasti:

• Ns. kolmannet palveluntarjoajat voivat tulla markkinoille. Pankkien on mahdollistettava kolmansille palveluntarjoajille pääsy asiakkaiden maksutileille. Pääsy asiakkaan maksutilille on mahdollista ainoastaan, jos asiakas on itse antanut siihen suostumuksensa. Näin poistuu pankkien yksinoikeus esimerkiksi siihen, että asiakas voi nähdä omat tilitietonsa vain pankin verkkopalvelun kautta.
• Verkkopankkitunnusten ja muiden vahvan tunnistamisen menetelmien käyttö yleistyy. Maksaminen verkossa vaatii lähtökohtaisesti aina asiakkaan vahvan tunnistamisen, eli käytännössä usein maksutapahtuman vahvistamisen verkkopankkitunnuksilla. Pelkästään maksukortin tiedot antamalla ei enää pysty maksamaan verkossa kuin poikkeustilanteissa.
• Maksamisen turvallisuutta pyritään parantamaan. Väärinkäytösten määrää pyritään vähentämään verkkomaksamisen uusilla turvallisuusvaatimuksilla. Tämä näkyy asiakkaille muun muassa siinä, että verkkopankkitunnusten tunnuslukulistoja ei voi enää entiseen tapaan käyttää maksamisen yhteydessä, mikäli niiden käyttöä ei täydennetä muilla menetelmillä. 
• Kuluttajansuoja väärinkäytöstilanteissa paranee. Pankki korvaa asiakkaalle täysimääräisesti oikeudettomat maksutapahtumat eli ne maksutapahtumat, jotka on tehty ilman asiakkaan suostumusta. Pankin korvausvastuun edellytyksenä on, että asiakas on toiminut maksuvälineen säilyttämisessä ja käyttämisessä normaalia huolellisuutta noudattaen ja ilmoittanut maksuvälineen katoamisesta tai joutumisesta ulkopuolisen haltuun välittömästi asian huomattuaan.
  
  Niissä tapauksissa joissa asiakas on toiminut huolimattomasti, asiakkaan omavastuuosuus on alentunut aikaisemmasta 150 eurosta 50 euroon. Tämä ei kuitenkaan koske tilanteita, joissa asiakas on menetellyt törkeän huolimattomasti tai tahallisesti. Tällöin asiakas on itse kokonaan vastuussa väärinkäytöksen aiheuttamasta taloudellisesta menetyksestä.
  
  Edellä mainittujen tilanteiden lisäksi asiakas ei vastaa väärinkäytöksistä niissä tilanteissa, joissa palveluntarjoaja ei ole edellyttänyt asiakkaan vahvaa tunnistamista.
  
  Maksuvälineen väärinkäytöstilanteissa pankin on palautettava rahamäärä asiakkaalle entistä nopeammin, 24 tunnin sisällä reklamaation tekemisestä.

Mitä tarkoitetaan vahvalla tunnistamisella maksamisen yhteydessä?

Vahvalla tunnistamisella tarkoitetaan sitä menetelmää, jolla asiakas tunnistetaan esimerkiksi maksutapahtuman yhteydessä tai maksutilille kirjautumisessa. Tunnistaminen toteutetaan yhdistämällä toisiinsa vähintään kaksi seuraavista kolmesta vaihtoehdosta:

• tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (kuten salasana, PIN-koodi)
• hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (kuten matkapuhelin, tunnuslukulaite, kaupan maksupäätteellä maksettaessa kortti)
• maksupalvelun käyttäjän yksilöivä ominaisuus (kuten sormenjälki, kasvokartasto)

Pankkien tarjoamia tunnistusvälineitä käytetään maksamisen lisäksi myös muissa sellaisissa palveluissa, joissa vaaditaan asiakkaan vahvaa sähköistä tunnistamista. Tällaisia palveluita ovat muun muassa viranomaisen sähköiset palvelut (esim. Kela, poliisi, verottaja) ja vakuutusyhtiöiden sähköiset palvelut. Näissä palveluissa tunnistusvälineeksi käy yleensä pankkien tarjoamien tunnistusvälineiden lisäksi teleoperaattoreiden tarjoamat mobiilivarmenteet ja Väestörekisterikeskuksen kansalaisvarmenne.

Mikä on kolmas palveluntarjoaja?

PSD2:n yhteydessä kuulee usein puhuttavan myös termistä "kolmas palveluntarjoaja". Tällä tarkoitetaan uusia palveluntarjoajia, joiden toiminnan uusi sääntely mahdollistaa. Näitä ovat:

• maksutoimeksiantopalvelun tarjoajat (palvelu, jonka kautta voi maksaa suoraan tililtä)
• tilitietopalvelun tarjoajat (palvelu, jonka kautta pääsee katsomaan omien maksutilien tietoja)
• korttipohjaisen maksuvälineen liikkeeseenlaskijat (uudet palveluntarjoajat saavat tarjota asiakkaille maksukortteja, jotka liitetään asiakkaan pankissa olevaan tiliin)

PSD2:n myötä pankkien on mahdollistettava kolmansille palveluntarjoajille pääsy asiakkaiden maksutileille asiakkaan itsensä antaman suostumuksen perusteella, ja tätä hyödyntäen uusia palveluita voi syntyä. Tällainen kolmas palveluntarjoaja voisi esimerkiksi kehittää palvelun, josta asiakas pääsee katsomaan kerralla eri pankeissa olevien maksutiliensä saldot ja tilitapahtumat. Kolmansien palveluntarjoajien palveluissa käytetään asiakkaan tilipankin tarjoamaa tunnistamisratkaisua.

Valvooko kukaan uusien palveluntarjoajien toimintaa?

Kaikki maksupalveluja tarjoavat toimijat ovat Suomessa Finanssivalvonnan valvonnassa. Ennen toiminnan aloittamista kolmansien palveluntarjoajien on haettava toimilupaa tai rekisteröintiä Finanssivalvonnasta. Finanssivalvonta ylläpitää valvottavaluetteloa palveluntarjoajista sekä notifikaatioluetteloa ulkomaisista palveluntarjoajista, jotka ovat tehneet ilmoituksen palvelujen tarjoamisesta Suomessa. Luetteloista voi tarkistaa sen, että toimijalla on asianmukaisen lupa tarjota finanssisektorin palveluja Suomessa.

Täytyykö näitä uusia palveluita käyttää?

Asiakas valitsee jatkossakin itse mitä palveluita hän haluaa käyttää. Toisaalta kauppiaat valitsevat jatkossakin itse, mitä maksutapoja ne asiakkaille tarjoavat hyödykkeiden ostamiseen.

Kuka näkee tilitietoni?

Vaikka PSD2:n myötä pankkien on mahdollistettava kolmansille palveluntarjoajille pääsy asiakkaiden tileille, varsinainen pääsy tietoihin tapahtuu vain asiakkaan itsensä antaman nimenomaisen suostumuksen perusteella. Mikään pankin ulkopuolinen toimija ei uuden sääntelyn myötä saa muilla tavoin oikeutta nähdä asiakkaiden tilitietoja. Nimenomainen oikeus käyttää tilitietopalveluja koskee asiakasta itseään eikä muita tahoja. 

Vaikeutuuko maksaminen?

PSD2:n tavoitteena on lisätä maksamisen turvallisuutta. Jotta turvallisuutta saadaan lisättyä, on myös maksamisen tapojen muututtava, ja sääntely tuo mukaan joitakin muutoksia päivittäiseen maksamiseen asiakkaan vahvan tunnistamisen tiukempien turvallisuusvaatimusten myötä. Toisaalta sääntely antaa mahdollisuuden tehdä maksuja ilman asiakkaan vahvaa tunnistamista tietyissä vähäriskisissä maksuissa.

Voinko edelleen maksaa maksukortin tiedoilla netissä?

Aiemmin monessa verkkokaupassa on ollut mahdollista maksaa syöttämällä palveluun maksukortin tiedot. 14.9.2019 alkaen pelkästään maksukortin tiedot verkkokauppaan syöttämällä ei voi enää maksaa, vaan asiakas tulee myös tunnistaa vahvasti maksun yhteydessä.¹ Tietyissä poikkeustapauksissa, kuten pienissä enintään 30 euron ostoksissa, vahvaa tunnistusta ei välttämättä vaadita. Pienissäkin verkkomaksuissa vahva tunnistaminen vaaditaan kuitenkin, kun ostokerroille tai ostojen yhteismäärälle asetetut turvarajat tulevat täyteen.

Voinko edelleen käyttää tunnuslukulistaa?

PSD2 vaikuttaa verkkopankkitunnusten osana olevien tunnuslukulistojen käyttöön. Nykyiset pankkien tarjoamat paperiset tunnuslukulistat ovat helposti kopioitavissa, minkä takia ne eivät sellaisenaan enää vastaa maksamisen turvallisuutta lisääviä vaatimuksia. Pankit luovat itse vaihtoehtoiset, sääntelyn vaatimuksia vastaavat menetelmät tunnuslukulistan tilalle tai täydentämään tunnuslukulistojen käyttöä. Finanssivalvonta on antanut kannanoton tunnuslukulistojen käytöstä.

Kun verkkopankkitunnuksia käytetään asiakkaan vahvaan tunnistamiseen muissa kuin maksamiseen ja maksutilin käyttöön liittyvissä palveluissa, kuten esimerkiksi viranomaisten (Kela, poliisi, verottaja) palveluissa, sovelletaan maksupalvelusääntelyn sijaan tunnistuspalveluja koskevaa sääntelyä, jota valvoo Liikenne- ja viestintävirasto Traficom. PSD2 ei tuo muutosta verkkopankkitunnusten käyttöön näissä muissa palveluissa. Pankki voi päättää, tarjoaako se asiakkailleen näissä palveluissa edelleen tunnuslukulistaa vai jotakin uutta tunnistamismenetelmää.

Miten maksaminen onnistuu jatkossa, jos en omista älypuhelinta?

Finanssivalvonta edellyttää, että pankit ottavat huomioon uusia tunnistamisen menetelmiä tarjotessaan kaikkien eri asiakasryhmien tarpeet. Kaikille asiakasryhmille tulisi olla saatavilla helppokäyttöinen menetelmä, jolla asiakkaan vahva tunnistaminen pystytään toteuttamaan. Uuden menetelmän edellytys ei siis voi olla ainoastaan se, että asiakas omistaa älypuhelimen, vaan myös muita tapoja on tarjottava. Finanssivalvonta on korostanut, että pankkien tulee tarjota asiakkaille tarvittaessa riittävästi opastusta ja henkilökohtaista neuvontaa uusien tunnistusvälineiden ja menetelmien käyttöönotossa.

Miten tunnistan huijauksen?

Maksamiseen liittyy aina myös väärinkäytöksen vaara. On tärkeää olla tietoinen huijausten mahdollisuudesta ja olla tarkkana esimerkiksi erilaisten puhelimitse tai sähköpostitse tulevien yhteydenottojen kanssa. On erittäin tärkeää pitää mielessä, että pankki, poliisi tai muu viranomainen ei koskaan pyydä kertomaan maksukorttien tietoja tai pankkitunnuksia puhelimitse, sähköpostilla tai sosiaalisessa mediassa.

Lisätietoa huijauksista on löydettävissä muiden viranomaisten palveluista:

• https://www.kyberturvallisuuskeskus.fi/fi/
• https://www.poliisi.fi/rikokset/kyberrikokset
• https://www.kuluttajaliitto.fi/kampanjat/huijausinfo

Miten toimin, jos epäilen tulleeni huijatuksi?

Jos korttitiedot tai verkkopankkitunnusten tiedot on syöttänyt epäilyttävälle sivustolle tai ne ovat joutuneet toisen henkilön haltuun, on ne välittömästi suljettava soittamalla pankin sulkupalvelunumeroon. Ilmoituksen tekemisessä ei saa viivytellä, ja sulkupalveluun on hyvä ottaa yhteyttä myös silloin, kun kyse on vasta epäilystä. Pankkien sulkupalvelu on auki 24h/vrk jokaisena viikonpäivänä. Tarkista sulkupalvelun puhelinnumero pankiltasi.

Ilmoita huijauksesta lisäksi palveluntarjoajalle, pankin asiakaspalveluun ja tarvittaessa poliisille tai muille viranomaisille. Lisätietoa huijauksista ilmoittamiseen löytyy Kilpailu- ja kuluttajaviranomaisen verkkosivustolta Ilmoita huijauksesta.

Muita linkkejä:

Lisää kysymyksiä ja vastauksia PSD2:teen liittyen on julkaistu Finanssiala ry:n verkkosivuston Uutismajakka -palvelussa.

Kilpailu- ja kuluttajaviraston tiedote (12.9.) Verkko-ostoksilla vaaditaan jatkossa vahvaa tunnistautumista.

Katso EBAn laatima vinkkilista (pdf) kuluttajien turvalliseen asiointiin ja tuotteiden hankintaan verkossa tai mobiilissa.

¹ Finanssivalvonta on 5.9.2019 antamassa tiedotteessa todennut havainneensa, että verkkokaupan osapuolet eivät ole valmiudessa toteuttamaan vahvan tunnistamisen vaatimuksia verkkokaupan korttimaksamisessa. Finanssivalvonta on antanut toimialalle sääntelyn voimaantulosta huolimatta lisäaikaa toteuttaa vahvan tunnistamisen vaatimat muutokset verkkokaupan korttimaksamiseen.