Innovatiebijeenkomst Betaalvereniging & Holland Fintech

PSD2 Toezichtraamwerk PISP & AISP

Cees Rensen, 4 april 2017

DNB benadering Fintech en innovatie

Toezichtaanpak laten aansluiten op de nieuwe werkelijkheid

1. InnovationHub (juni 2016)

2. Maatwerk voor innovatie (jan 2017)

- Regulatory Sandbox

- Deelvergunning

- Opt-in vergunning

Waarom?

- Vergroten kennis, vroeg betrokken

- Juiste afweging maken

- Cultuuromslag, nieuwe mindset

2

InnovationHub

3

156vragen

9

3

Maatwerk voor innovatie (Regulatory sandbox)

1. Doel: time-to-market verkorten, ruimte bieden aan innovatie

2. Doelgroep: innovatieve marktpartijen die tegen onnodig knellende regelgeving aanlopen

3. Aanpak: bekijken of op een alternatieve wijze aan regels kan worden voldaan

4. Achterliggende toezichtnormen moeten worden nageleefd

5. Casus-specifieke beoordeling en voorwaarden, beperkt in de tijd

6. Een proeftuin, geen speeltuin: zonder [beperkte] vergunning geen toegang

4

Fintech companies in the regulatory landscape

Bankregulation

PSPregulation

Consumercredits regulationincl. non-equity

based crowdfunding

Securitiesregulation

5

PSP Banks

ING

BuckarooEquity based crowdfunding

Specializedinvestment banks

PSP withcredit lines

APG Asset Management

Bunq

5

Doorontwikkeling Crowdfunding platformen naar complexere

structuren

Crowdfunding

platform

Exploitant CF

platform

Geldaanbieders

- Crowd

geldvrager

Stichting

derdengelden Inve

ste

erd

ers

co

öp

era

tie U

.A. / a

an

de

elh

oude

r

in / s

ch

uld

eis

er va

n d

e g

eld

vra

ger

Geldmarktfonds / substituut

rekening courant

/ MTF

6

Implementatie PSD2

7

Tijdlijnen implementatie PSD2

2017 2018 2019

8

13-01-2018 Implementatie-wet PSD2

13-01-2018 GL 96(3) en 100(6) en RTS 15(4), 28(5) en 29(6)

▪ 5(4) GL: criteria vaststelling beroeps-aansprakelijkheids-verzekering

▪ 29(5) RTS aanwijzing centraal contactpunt

▪ 96(3) GL: criteria voor melding incidenten ▪ 100(6) GL: in overweging te nemen klachtenprocedures▪ 15(4) RTS: regels centraal EBA register▪ 28(5) RTS: samenwerking toezichthouders i.v.m. notificaties▪ 29(6) RTS: informatieuitwisseling toezichthouders

December 2018 *RTS art. 98 PSD2

▪ Strenge beveiliging klantauthenticatie & communicatie

▪ In de periode tussen het van kracht worden van de Implementatiewet PSD2 en de datum van toepassing van de RTS art. 98 PSD2is het nationaal recht van toepassing

▪ 115(6) PSD2: het niet-voldoen mag niet worden misbruikt om PISP en AISP te blokkeren of te hinderen

* 18 maanden na inwerkingtreding van de RTS

13-01-2017 GL 5(4) en RTS 29(5)

13-07-2018 GL 5(5), 95(3)

▪ 5(5) GL: de bij een vergunning-aanvraag te verstrekken gegevens

▪ 95(3) GL: beveiligingsmaatregelen

Reikwijdte betaaldiensten

PSD PSD2

9

1. Storten van contanten op een betaalrekening

2. Opnemen van contanten van een betaalrekening

3. Uitvoering van betalingstransacties4. Uitvoering van betalingstransacties met

kredietlijn5. Uitgifte van betaalinstrumenten en/of

acceptatie van betalingstransacties

6. Geldtransfers

7. elektronische Betalingstransacties door een aanbieder van communicatie-netwerken of -diensten

1. Storten van contanten op een betaalrekening

2. Opnemen van contanten van een betaalrekening

3. Uitvoering van betalingstransacties4. Uitvoering van betalingstransacties met

kredietlijn5. Uitgifte van betaalinstrumenten en/of

acceptatie van betalingstransacties

7. Betalingsinitiatiediensten8. Rekeninginformatiediensten

6. Geldtransfers

Uitsluiting art. 3(l) PSD2 voor aankopen van digitale inhoud en spraakgestuurde diensten tot max €50 per transactie en totaal max €300 per maand

Nieuwe betaaldienstverleners – PISP & AISP

10

PISP

AISP

PISP én AISP

▪ Initieert betaalopdrachten m.b.t. betaalrekeningen van betaaldienstgebruikers bij andere betaaldienstverleners

▪ Moet over een vergunning beschikken, verleend door DNB *

▪ Verstrekt geconsolideerde online informatie aan betaaldienstgebruikers over een of meer betaalrekeningen die de betaaldienstgebruikers bij een of meer andere betaaldienstverleners aanhouden

▪ Moet over een vergunning beschikken ingevolge art. 2:3a Wft – dus niet een registratie met vrijstelling van de vergunningplicht als bedoeld in art. 33 PSD2

* Komt overeen met een vergunning om betaaldienst nr. 3 van de bijlage bij PSD2 te verrichten

als authenticatie exclusief plaats blijft vinden tussen de betaaldienstgebruiker en de betaaldienstverlener waar deze zijn of haar betaalrekening(en) aanhoudt

▪ Mogen alleen data opvragen van de betaaldienstgebruiker op diens uitdrukkelijk verzoek en uitsluitend voor het verrichten van hun PIS/AIS

▪ Mogen geen gevoelige betalingsgegevens van betaaldienstgebruikers opslaan

▪ Moeten zich bij elke dienstverrichting identificeren bij de rekening houdende betaaldienstverlener

Toezichtraamwerk betaaldienstverleners (1)

Toezichtnorm Bankenbetaaldiensten 1-8

Betaalinstellingen betaaldiensten 1- 8

PISP & AISP

1. Geschiktheid & betrouwbaarheid bestuurders +ingevolge CRD + +

2. Beleid integere bedrijfsvoering +ingevolge CRD + +

3. Min aantal beleidsbepalers +ingevolge CRD + +

4. Zeggenschapsstructuur + +

5. Inrichting bedrijfsvoeringa. Algemeenb. Integriteitc. Soliditeitd. Gedrage. Goede werking

betalingsverkeer

+a. CRD en PSD2 vereisten: o.a

beveiligingsbeleid gevoelige betalingsgegevens en toegang daartoe voor PISP & AISP

b. CRD, MiFID etc vereistenc. CRD en PSD2 vereisten: m.b.t.

PSD2 art. 95 – 98 beheersen van operationele risico’s en beveiligingsrisico’s

d. CRD, MiFID etc vereisten én PSD (Titel III & IV)

e. Wft – Regeling oversight goede werking betalingsverkeer

+a. ingevolge PSD2: art. 5 inzake

vergunningvereisten, inclusief vereisten m.b.t. algemene aspecten bedrijfsvoering & governance enbeveiligingsbeleid gevoelige betalingsgegevens, en art. 66 en 67 inzake toegang tot gevoelige betalingsgegevens bij banken

b. Ingevolge PSD2: art. 5 inzake vergunningvereisten m.b.t. integriteit)

c. Ingevolge PSD2: art. 5 inzake beheerste bedrijfsvoering en art. 95 –98 inzake beheersen van operationele risico’s en beveiligingsrisico’s

d. ingevolge PSD (Titel III & IV)e. Wft - Regeling oversight goede

werking betalingsverkeer

+a. ingevolge PSD2: art. 5 inzake

vergunningvereisten inclusief vereisten m.b.t. algemene aspecten bedrijfsvoering & governance en beveiligingsbeleid gevoelige betalingsgegevens, en art. 67 inzake toegang tot gevoelige betalingsgegevens bij banken

b. Ingevolge PSD2: art. 5 inzake vergunningvereisten m.b.t. integriteit

c. Ingevolge PSD2: art. 5 inzake beheerste bedrijfsvoering en art. 95 – 98 m.b.t. beheersen van operationele risico’s en beveiligingsrisico’s

d. informatievereisten ingevolge art. 41, 45 en 52 Titel III PSD2

6. Veiligstellen geldmiddelen - + -

7. RvC +ingevolge 3:19 Wft +ingevolge 3:17 Wft + op basis van proportionaliteit

8. Minimum eigen vermogen +ingevolge CRD + -

9. Solvabiliteit / liquiditeit +ingevolge CRD/CRR + - beroepsaansprakelijkheidverzekering

10. Kapitaalbuffers +ingevolge CRD - -

12. Geconsolideerd toezicht +ingevolge CRD/CRR - -/+ (vvgb gekwalificeerde deelnemingen)

5

Toezichtraamwerk betaaldienstverleners (2)Inrichting bedrijfsvoering PISP & AISP

1. Toegang tot betaalrekeningen (art. 66 & 67 PSD2): De PISP/AISP▪ is op geen enkel moment in het bezit van geldmiddelen van de betaaldienstgebruiker▪ Draagt zorg voor de beveiliging van de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker en communicatie ervan via

veilige en efficiënte kanalen▪ identificeert zich bij elke PIS/AIS▪ slaat geen gevoelige betalingsgegevens van de betaaldienstgebruiker op ▪ vraagt en gebruikt alleen gegevens van de betaaldienstgebruiker voor het verstrekken van PIS/AIS.

2. Beveiligingsbeleid m.b.t. gevoelige betalingsgegevens (art. 5(1j) PSD2:De PISP/AISP:▪ voert ter bescherming van de betaaldienstgebruiker een beveiligingsbeleid gericht op de analyse en mitigatie van de

beveiligingsrisico’s inzake fraude en illegaal gebruik van persoonlijke betalingsgegevens van de betaaldienstgebruiker

3. Authenticatie & communicatie (art. 97 en 98 PSD2): De PISP/AISP voorziet in overeenstemming met de technische reguleringsnormen, bedoeld in artikel 98(1):▪ In de vereiste procedure voor sterke cliëntauthenticatie;▪ de maatregelen en procedures om te voldoen aan de eisen die zijn gesteld aan de beveiligingsmaatregelen ter bescherming van de

vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van betaaldienstgebruikers;▪ De maatregelen en procedures om te voldoen aan de voorschriften voor gemeenschappelijke en beveiligde open

communicatienormen ten behoeve van in het bijzonder de identificatie, authenticatie, kennisgeving en informatieverstrekking,

4. Beheersing van de operationele risico’s en beveiligingsrisico’s (art. 5(1h,j), 95 en 96 PSD2): De PISP/AISP voorziet in:▪ passende – in de bedrijfsprocessen vervatte - maatregelen en controlemechanismen ter beheersing van de operationele en

beveiligingsrisico’s met betrekking tot de aangeboden betaaldiensten;▪ procedures voor detectie, classificatie en beheersing van incidenten;▪ Bedrijfscontinuiteitsregelingen.

5. Eigen beoordeling van de risico’s – operationeel en beveiliging - en rapportage aan de toezichthouder (95 PSD2): De PISP/AISP:▪ Verricht tenminste jaarlijks een eigen beoordeling van de operationele risico’s en van de beveiligingsrisico’s, en rapporteert

daarover, met inbegrip van de genomen risicobeheersingmaatregelen, aan de toezichthouder;▪ Rapporteert tenminste jaarlijks aan de toezichthouder statistische data over fraude m.b.t. de verschillende betalingsmethoden.

10

Aanvullend voor PISP & AISP?

Welke van de volgende (gangbare) prudentiële vereisten zijn relevant voor AISP?

1. De WWFT-vereisten of separate KYC/CDD bepalingen?

2. Integriteitsbeleid of volstaan met beveiligingsbeleid ex art. 5(1j) PSD2?

3. Overall risicomanagement beleid of volstaan met maatregelen gericht op de beheersing van operationele risico’s en beveiligingsrisico’s ex art. 95 PSD2?

4. Een RvC of een daarmee vergelijkbaar orgaan?

11