Co lze očekávat od nové evropské architektury platebních služeb?

Hlavním smyslem platebního balíčku je přivést platby a celý finanční sektor do digitálního věku. Návrhy nových předpisů mají tři základní cíle. Prvním cílem je zlepšení ochrany spotřebitelů a jejich údajů a zvýšení bezpečnosti transakcí v tomto dynamicky se vyvíjejícím prostředí. Druhý cílem je zlepšení fungování platebních systémů jako celku – nová regulace by měla dále více podpořit hospodářskou soutěž a inovace ve finančním odvětví. Třetím záměrem je harmonizovat rozdílnou implementaci, aplikační praxi a nejednotnou interpretaci současné PSD2[6] v členských státech EU. Evropská komise v této souvislosti konstatuje, že navrhované změny představují evoluci, nikoli revoluci platebního rámce EU.[7]

1. Tři pilíře platebního balíčku

Směrnice o platebních službách (PSD3)

Prvním pilířem platebního balíčku je nová PSD3, směrnice EU, která stanovuje pravidla pro povolování nebankovních poskytovatelů platebních služeb v EU a dohled nad nimi. Hlavním cílem směrnice PSD3 je chránit práva spotřebitelů, údaje spotřebitelů a zároveň zlepšit hospodářskou soutěž v platebním sektoru. PSD3 má umožnit spotřebitelům bezpečně sdílet své údaje a přispět k rozšíření nabídky inovativních finančních produktů a služeb v EU. Jelikož se jedná o směrnici, musí být PSD3 transponována do vnitrostátních právních předpisů jednotlivých členských států EU.

PSD3 bude mít širší rozsah než stávající PSD2. Zahrnuje většinu částí směrnice PSD2, jako je právní úprava transparentnosti, odpovědnosti a otevřeného bankovnictví. PSD3 však navíc obsahuje komplexnější pravidla pro silné ověřování klienta (Strong Customer Authentication, SCA) a přísnější pravidla pro přístup k platebním systémům a informacím o účtech. Toto hraje zásadní roli při zabezpečení transakcí a boji proti platebním podvodům. Je tak otázkou, zda nově navrhovaná směrnice PSD3 opět nepovede k přijetí nového zákona o platebním styku, stejně jako tomu bylo před 6 lety v případě PSD2 a či zda se český zákonodárce nerozhodne implementovat PSD3 prostřednictvím změn stávajícího zákona.

Reklama

Rozvod s mezinárodním prvkem (online - živé vysílání) - 17.6.2025

17.6.2025 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Nařízení o poskytování platebních služeb (PSR)

Nařízení o platebních službách (PSR) je nařízení EU, které se po přijetí a vstupu v platnost má přímo vztahovat na všechny členské státy EU. PSR má být přímo použitelné, aniž by jej členské státy musely implementovat na národní úrovni. To má přispět ke standardizovanému a jednotnému výkladu v celé EU. Účelem PSR je sjednotit pravidla v oblasti poskytování služeb v těch oblastech, které evropský zákonodárce považuje za nejpodstatnější.

Nařízení o přístupu k finančním údajům (FIDAR)

Návrh nařízení o rámci pro přístup k finančním údajům (FIDAR) stanovuje jasná práva a povinnosti pro správu sdílení údajů o zákaznících ve finančním sektoru nad rámec platebních účtů (tedy nad rámec pravidel podle PSD3 a PSR). Většina pravidel týkajících se poskytovatelů platebních služeb tak bude obsažena v přímo použitelném nařízení, právní úprava v rámci EU by tak měla být v této oblasti více unifikovaná.

I samotná pravidla podle PSD3, tedy evropské směrnice, mají podle Evropské komise představovat maximální harmonizaci, což znamená, že členské státy neponechají v platnosti ani nezavedou jiná ustanovení než ta, která jsou stanovena v této směrnici.[8] V tomto kontextu, ani forma nařízení v případě FIDAR není překvapující. Důvodem je strategický význam hladkého fungování platebních systémů pro jednotný vnitřní trh EU. Evropskému orgánu pro bankovnictví (EBA) budou v této souvislosti navíc uděleny nové intervenční pravomoci, které mají zajistit dodatečnou ochranu spotřebitelů. Je tak evidentní, že evropský zákonodárce si klade ambiciózní cíl maximálně harmonizovat a unifikovat pravidla napříč EU.

2. Dopad evropského platebního balíčku na odvětví platebního styku

Sjednocení dohledu

Směrnice PSD3 směruje k unifikaci dohledu nad platebními institucemi a institucemi elektronických peněz (EMI) do jednotného režimu.[9] Smyslem této změny je sjednotit a zjednodušit pravidla dohledu a sjednotit licenční proces. Předpokládá se tak, že instituce elektronických peněz budou zařazeny do stejného licenčního a dohledového režimu jako stávající platební instituce (oproti současnosti kdy zákon o platebním styku EMI a platební instituce a jejich licenční podmínky odděluje).

Můžeme tak očekávat zrušení stávající směrnice o institucích elektronicích peněz (případně evropský zákonodárce obě směrnice sjednotí) a lze dále očekávat, že stávající EMI budou povinny se znova licencovat podle nového režimu PSD3 jako EMI poskytující platební služby podle PSD3 (podle znění návrhu se navrhuje přechodné období 24 měsíců po jehož uplynutí bude nutné požádat o novou licenci). Působnost v oblasti licencování a dozorové pravomoci by nadále zůstaly v gesci ČNB.

Opatření proti zamezení podvodů (anti-fraud protection)

Podle právní teorie kreditní (platební) karta představuje jak peníze, tak i spotřebitelský statek.[10] Správné nastavení regulace platebních systémů by tak mělo zajistit ochranu proti měnícím se podvodným praktikám. Směrnice PSD3 obsahuje komplexnější předpisy o silném ověřování klienta (SCA) a přísnější pravidla pro přístup k platebním systémům a informacím o účtu, Evropská komise této oblasti věnuje značnou pozornost. Evropská komise se zaměřuje zejména na typy podvodů známé jako „spoofing“, tj. vydávání se podvodníka za důvěryhodnou osobu, a podvody sociálního inženýrství, tj. manipulace s obětí s cílem přesvědčit ji, aby provedla platbu nebo sdělila informace o účtu.

V této souvislosti PSD3 klade velký důraz na zabezpečení transakcí. V tomto ohledu se tak navrhuje doplnit verifikaci transakcí o dodatečné identifikační znaky (uvažuje se použít dodatečnou verifikaci podle IBAN/jména příjemce), tedy transakce bude dokončena teprve v případě, kdy je klient notifikován. Poskytovatelé platebních služeb budou navíc muset v budoucnu s vydavateli (vydávajícími bankami) sdílet více dat, aby mohli monitorovat prostředí a chování jednotlivých aktérů. To má zahrnovat polohu uživatele, čas transakcí, používaná zařízení, výdajové návyky, historii transakcí, údaje o relacích a IP zařízení. Vydavatelé tak budou informovaně rozhodovat o tom, které transakce schválit a které odmítnout.

Nová služba ověřování IBAN/jména[11]

Evropská komise v návrhu týkajícího se okamžitých plateb navrhla novou službu, která identifikuje nesrovnalosti mezi jménem a jedinečným identifikátorem příjemce u okamžitých úhrad v eurech a upozorní na ně plátce před dokončením platebního příkazu. Aby bylo dosaženo jednotného rámce pro všechny úhrady, plánuje se rozšířit tuto službu na všechny úhrady v EU. Tato služba má být spotřebitelům poskytována bezplatně.

Posun v odpovědnosti za podvody

Poskytovatelé technických služeb (např. poskytovatelé digitálních peněženek) a platební brány mají být nově odpovědni za podvody, pokud nebudou uplatňovat SCA. Tento princip má chránit plátce před technickými závadami a motivovat poskytovatele k udržování vysoké kvality těchto služeb. Poskytovatelé platebních služeb budou v této souvislosti povinni zavést podrobný systém monitoringu transakcí a budou oprávněni poskytovat informace o podvodných transakcích dalším poskytovatelům platebních služeb. Oproti PSD2, která vyžaduje, aby faktory SCA patřily do dvou z následujících tří kategorií: znalost, držení a důvěrnost. V PSD3 je možné použít dvě stejné kategorie, např. token a SMS OTP nebo dokonce dvě hesla. Delegování SCA vydavateli na třetí strany, jako je Apple Pay, má být nově kategorizováno jako outsourcing a má splňovat pravidla outsourcingu pro ověřování držitele karty. Předpokládáme, že detaily dále upraví prováděcí předpisy Evropské komise.

Vydavatelé budou rovněž odpovědní za podvody spojené se spoofingem. To je případ, kdy se podvodník vydává za zaměstnance banky, aby uživatele oklamal a přiměl ho k ověření platby. V každém případě, pokud plátce jedná podvodně nebo z hrubé nedbalosti, zůstane vůči uživateli odpovědný. V tomto ohledu se navrhuje stanovit jasnou odpovědnost poskytovatelů platebních služeb za situaci, kdy došlo ke spoofingu, klient byl takto zmanipulován a došlo k realizaci podvodné platební transakce za předpokladu, že klient toto jednání oznámil vnitrostátním orgánům činným v trestním řízení (OČTŘ) a oznámil to i samotnému poskytovateli platebních služeb. Vzhledem ke stále sofistikovanějším metodám podvodů sociálního inženýrství tento návrh vítáme.

Za jakých okolností mají mít oběti podvodu nárok na vrácení peněz?[12]

Návrh umožňuje přiznat právo na vrácení peněz ve dvou případech: spotřebitelům, kteří utrpěli škodu způsobenou tím, že služba ověření IBAN/jména nezjistila nesoulad mezi jménem a IBAN příjemce, a spotřebitelům, kteří se stali obětí podvodu „spoofing“, kdy podvodník kontaktuje spotřebitele a vydává se za zaměstnance jeho banky, čímž spotřebitele podvede a přiměje ho k provedení určitých úkonů, které mu způsobí finanční škodu. Oběti „spoofingového“ podvodu mají mít nárok požadovat od svého poskytovatele platebních služeb náhradu škody v plné výši podvodné transakce, a to za podmínek, které zahrnují podání oznámení OCTŘ a oznámení poskytovateli platebních služeb bez zbytečného odkladu. Náhrada by nebyla povolena v případech „hrubé nedbalosti“ ze strany oběti, včetně toho, kdy se obětí stejného druhu podvodu stala vícekrát (z důvodu vlastní nedbalosti).[13] V tomto případě by „spoofing“ musel být přesvědčivý, například by musel přesně kopírovat e-mailovou adresu nebo telefonní číslo banky.[14]

Zlepšení dostupnosti hotovosti

V současnosti může maloobchodník poskytnout zákazníkovi hotovost, aniž by měl licenci a byl pod dohledem jako poskytovatel platebních služeb. Toto je možné v souvislosti s nákupem („cashback“). V zájmu dalšího rozšíření přístupu k hotovosti návrh umožňuje maloobchodníkům, pokud si to přejí, nabízet službu poskytování hotovosti i v případě, že zákazník nenakoupí, aniž by museli získat licenci nebo být zástupcem platební instituce. To má být spojeno s některými podmínkami, jako je například horní hranice 50 EUR za výběr.[15]

Navrhuje se dále povolit provozovatelům bankomatů (ATMs), kteří neobsluhují platební účty, provozovat bankomaty bez licence. To by mělo podpořit větší poskytování bankomatů ze strany nelicencovaných poskytovatelů.[16]

Nová pravidla pro otevřené bankovnictví

PSR má zavést významné změny stávajícího rámce otevřeného bankovnictví. Smyslem je odstranit překážky bránící poskytování služeb otevřeného bankovnictví, tedy bezpečného sdílení finančních údajů mezi bankami a finančně technologickými firmami („FinTech“). Cílem je také zvýšit dostupnost bankovních a finančních služeb. Poskytovatelé služeb iniciování plateb (PISP) a poskytovatelé služeb informování o účtech (AISP) budou moci vyvíjet přizpůsobená rozhraní pro připojení k bankám a dalším finančním institucím. Zajímavým aspektem PSR je závazek dále podporovat prostředí, které je orientováno na API. Rozhraní API (Application Programming Interfaces) hrají klíčovou roli při usnadňování sdílení dat a podpoře inovací ve finančním sektoru.[17] Banky a finanční instituce budou povinny sdílet více informací o výkonnosti svých rozhraní API tím, že budou zveřejňovat čtvrtletní statistiky o dostupnosti a výkonnosti rozhraní. Tím se má vytvořit vyšší úroveň transparentnosti a přesnější přehled o platebních systémech. To má umožní činit informovaná rozhodnutí o tom, jakého partnera si pro zpracování plateb vybrat.[18]

V případě selhání nebo přerušení činnosti banky musí banky povolit třetím stranám (AISP a PISP) používat jejich vlastní bankovní rozhraní, což povede k efektivnějším platebním procesům pro jejich klienty. Banky budou povinny poskytnout svým zákazníkům panel (rozhraní), které umožní povolovat platební procesy. Tento panel má umožnit zákazníkům průběžně sledovat oprávnění udělená AISP a pohodlně je spravovat. Velký důraz se tak nově klade na pravidla transparentnosti platebních služeb a informační povinnosti. Konkrétně se navrhují pravidla pro informování klientů o poplatcích či slevách, měně, ve které probíhají platební služby včetně měnových konverzí, a to jak v případě jednorázových transakcí, tak i v případě platebních transakcí prováděných na základě uzavřených rámcových smluv.

Změny týkající se rámcových smluv

V oblasti samotných rámcových smluv mezi poskytovateli platebních služeb a uživateli[19] se konkrétně navrhují úpravy v oblasti popisu a změn při zadávání platebních příkazů, poplatků a směnných kurzů, pravidel pro komunikaci a ochranná a nápravná opatření a pravidla pro změny a vypovězení rámcových smluv. V případech, kdy mají být platební služby nabízeny společně s technickými službami podporujícími poskytování těchto platebních služeb, budou podléhat technické služby požadavkům rámcové smlouvy, a to včetně podmínek o poplatcích za jejich ukončení.

Nově se mají stanovit pravidla pro rozsah předem poskytovaných všeobecných informací, informací a podmínek rámcové smlouvy, změny podmínek a vypovězení rámcové smlouvy. Aby se usnadnila mobilita uživatelů platebních služeb, měli by mít uživatelé možnost bezplatně ukončit rámcovou smlouvu. V případě smluv, které uživatelé platebních služeb ukončí do šesti měsíců od jejich vstupu v platnost, by však poskytovatelé platebních služeb měli mít možnost uplatnit poplatky odpovídající nákladům, které jim v důsledku ukončení rámcové smlouvy ze strany uživatele vznikly.[20] Poskytovatelé platebních služeb by tak měli věnovat značnou pozornost navrhovaným změnám ve smluvní dokumentaci a dokumentaci novým pravidlům náležitě přizpůsobit. Členské státy budou mít navíc možnost v zájmu ochrany spotřebitele zachovat nebo zavést omezení či zákazy týkající se jednostranných změn podmínek rámcové smlouvy.

Přístup k údajům v režimu FIDAR

Cílem FIDAR je rozšířit práva přístupu k účtu zavedená směrnicí PSD2 („otevřené bankovnictví“) o další práva přístupu („otevřené finance“). Pokud jde o regulační systém, údaje o platebních účtech mají i nadále podléhat regulačnímu režimu pro platební služby (tj. v budoucnu PSR), zatímco přístup k údajům v souvislosti s jinými finančními službami má být upraven ve FIDAR. Cílem FIDAR je pak poskytnout zákazníkům možnost účinně kontrolovat využívání svých finančních údajů.

FIDAR se bude vztahovat na finanční údaje, které finanční instituce zpracovávají a uchovávají v rámci svých běžných obchodních transakcí se zákazníky bez ohledu na to, zda se jedná o spotřebitele nebo podnikatele. Vyloučeny však budou finanční údaje pro hodnocení úvěruschopnosti spotřebitelů a pro smlouvy životního, zdravotního a nemocenského pojištění.[21] Zákazníci mají mít právo na přímý elektronický přístup k údajům, které o nich finanční instituce uchovávají.[22] Zákazníci mají mít rovněž právo umožnit přístup k těmto údajům jiným poskytovatelům finančních služeb. Tito další poskytovatelé služeb však musí mít povolení jako finanční instituce nebo musí být regulováni jako poskytovatelé finančních (informačních) služeb. Zatímco přístup k údajům pro zákazníky má být poskytován bez dodatečných nákladů, plánuje se, že finanční instituce budou moci účtovat poplatky jiným poskytovatelům služeb za poskytnutí přístupu k údajům, o který zákazníci požádají.

Zatím neexistuje jasný časový plán pro implementaci a provedení PSD3 a PSR do českého právního řádu. Navrhované změny má v brzké době posoudit Evropský parlament a Rada Evropské unie. Konečná verze legislativy by tak mohla být k dispozici do konce roku 2024. Členským státům pak má být od přijetí platebního balíčku poskytnuto přechodné období (18 měsíců), což znamená, že směrnice PSD3 a nařízení PSR by mohly vstoupit v praktickou účinnost kolem roku 2026. Již nyní je nicméně vhodné se se zněním těchto norem začít seznamovat. V přechodných ustanoveních navržených předpisů se kupříkladu uvádí, že ačkoli stávající licence pro poskytování platebních služeb nebo elektronických peněz s nabytím účinnosti nových předpisů automaticky nezaniknou, poskytovatelé finančních služeb, kteří již tato povolení mají, budou muset orgánům dohledu prokázat, že splňují nové požadavky na udělení licence.[23] Poskytovatelům platebních služeb tak lze doporučit, aby se nadcházejícími změnami zabývali včas, přezkoumali jejich praktický dopad a zavedli odpovídající postupy.

Filip Michalec,
advokát

Dominik Králik,
advokátní koncipient

WOLF THEISS Rechtsanwälte GmbH & CO KG, organizační složka

Pobřežní 394/12
186 00 Praha 8

Tel.:    +420 234 765 111
Fax:    +420 234 765 110
e-mail:    praha@wolftheiss.com