PSD2 stelt regels in het kader van de beheerste en integere bedrijfsvoering en introduceert ook nieuwe verplichtingen voor vergunninghouders.
De belangrijkste wijzigingen die voortvloeien uit de PSD2, EBA RTS en GL, zijn:
Vereisten voor Operations en IT
(PSD2 art. 95 t/m 98 en RTS 4 GL 3 en 5)
Een betaalinstelling zal in verdergaande mate in staat moeten zijn om bedrijfsprocessen en de operationele- en beveiligingsrisico’s effectief te beheersen en te voorzien in interne- en externe informatiebehoeften. In dat kader is onder meer van belang dat een betaalinstelling waarborgen heeft dat de gegevens beschermd zijn tegen onrechtmatig inzien en/of verwerken, een zorgvuldige authenticatie (Strong Customer Authentication) wordt gebruikt en een veilige communicatie en gegevensopslag plaatsvindt. De beschikbaarheid van gegevens en de geautomatiseerde gegevensverwerking moet gewaarborgd zijn. Een betaalinstelling moet een systeem voor classificatie en melding van operationele- en beveiligingsincidenten hebben en een proces hebben om majeure incidenten te melden aan DNB.
Rapportagevereisten
(PSD2 art 96 en GL 1 en 5)
Er gelden uitgebreidere rapportageverplichtingen voor betaalinstellingen. Deze omvatten onder andere de verplichting te rapporteren over majeure incidenten. Deze moeten tevens door DNB aan ECB en EBA worden gerapporteerd. Daarnaast moet een betaalinstelling periodiek en minstens jaarlijks statistische gegevens over fraude verstrekken aan de toezichthouder.
Notificaties
(PSD art. 15, RTS 1, 2, 3 en 5)
EBA houdt een register met notificaties bij. De notificaties van een betaalinstelling moeten actueel zijn. Indien een betaalinstelling per lidstaat gebruik maakt van meerdere agenten moet door de betaalinstelling een Central Point of Contact (CCP) aangewezen en georganiseerd worden. De host toezichthouder heeft verdergaande bevoegdheden om bij de genotificeerde entiteit informatie op te vragen. Zie hiervoor ook de factsheet over uitgaande notificaties.
Gekwalificeerde deelneming
(PSD2 art. 6)
PSD2 stelt regels voor de deelnemingen in een betaalinstelling. Bij de implementatie in de Nederlandse wetgeving is zoveel mogelijk aansluiting gezocht bij de bestaande verklaring van geen bezwaar (vvgb) verplichtingen in de Wft (art 3:95, 3:102 eerste lid, 3:103 eerste lid). Hierdoor moeten in ieder geval houders van een directe of indirecte gekwalificeerde deelneming in een vergunninghoudende betaalinstelling in het bezit zijn van een vvgb. Dit betekent dat de houders van deelnemingen in aandelen of zeggenschap van 10% of groter, een vvgb van DNB moeten hebben.
Definitie betalingstransactie en berekening van het toetsingsvermogen
Voor alle onderdelen onder titel II van de PSD2 blijft de definitie van een betalingstransactie ongewijzigd, inclusief de berekeningsmethode voor het vereiste toetsingsvermogen onder methode B.
Op termijn zal in Europees verband gesproken worden over de berekeningswijze van het vereiste toetsingsvermogen en de definitie van de parameter betalingsvolume hierbij. De uitkomsten hiervan kunnen ertoe leiden dat het benodigde toetsingsvermogen toeneemt. DNB zal hier meer informatie over verstrekken zodra deze beschikbaar is.