PSD2 a nová platební služba: Nepřímé udělení platebního příkazu

Očekává se vznik nových aplikací, prostřednictvím kterých získají třetí osoby od svého klienta přístup k jeho internetovému bankovnictví a klient tak bude moct přímo platit za zboží a služby na internetu bez toho, aniž by se sám musel do internetového bankovnictví přihlašovat a platební příkaz vytvářet a odesílat. Svou povahou se  může tato platební metoda stát alternativou k platbě kartou.

Do právního řádu byla služba nepřímého dání platebního příkazu zavedena směrnicí Evropského parlamentu a Rady (EU) 2015/2366, která je především známá pod názvem Payment Services Directive 2 („PSD2“) a do českého právního řádu byla transponována v podobě ZoPS, který nabyl účinnosti dne 13. ledna 2018.

Významnou novinkou je povinnost banky zpřístupnit poskytovatelům služby nepřímého daní platebního příkazu klientův platební účet, v případě, že k tomuto klient udělí souhlas.

Technické způsoby zpřístupnění účtu

Regulovaný a otevřený přístup k platebním účtům klientů přináší zcela jistě významnou příležitost, a to jak pro zavedené hráče na poli platebních služeb, tak pro inovativní FinTech společnosti. Nicméně v době nabytí účinnosti ZoPS chybí některé prováděcí předpisy Evropské unie, které by měly upravovat mimo jiné technické standardy otevřeného přístupu k platebním účtům a do doby nabytí jejich účinnosti může na nově vzniklém trhu panovat určitá nejistota všech zapojených subjektů.[2]  Nabytí účinnosti technických norem, ktere vydává Evropský orgán pro bankovnictví, je očekáváno nejdříve v druhé polovině roku 2019.[3]

Obecně existují dva způsoby, jak zpřístupnit platební účet třetí osobě:

• Screen scraping - prostřednictvím tohoto řešení se třetí osoba přihlašuje k platebnímu účtu klienta tak, jako by se k účtu přihlašoval sám klient.  Před nabytím účinnosti ZoPS se jednalo o jediný způsob, jak se třetí osoby mohly dostat k platebním účtu klienta s jeho souhlasem a bez domluvy s bankou.

• API („Application Programming Interface“), které umožňuje strojovou komunikaci mezi třetí osobou a platebním účtem. Zpřístupnit API mohla banka dobrovolně již před účinností ZoPS, problém byl neexistence regulace a účet mohl být zpřístupněn i subjektu, který není regulovaný Českou národní bankou.

ZoPS bankám nepředepisuje, jakým způsobem mají platební účty klientům zpřístupnit. Ministerstvo financí České republiky a Česká národní banka doporučují zpřístupnění účtů prostřednictvím API, nicméně dodávají, že se mohou banky samy rozhodnout, jakým způsobem platební účet třetím stranám zpřístupní.[4]

Oprávněné osoby

Službu nepřímého dání platebního příkazu mohou poskytovat pouze banky, družstevní záložny, platební instituce nebo instituce elektronických peněz.[5] Zatímco banky a družstevní záložny mohou tuto službu od účinnosti ZoPS poskytovat automaticky, platební instituce a instituce elektronických peněz budou muset požádat Českou národní banku o rozšíření svého povolení k činnosti.

Vzhledem k požadované výši zakladního kapitálu u banky nebo družstevní záložny bude pro společnosti, které v současnosti nejsou ani jednou z výše uvedených oprávněných osob, nejjednodušším řešením požádat Českou národní bankou o povolení k činnosti platební instituce nebo instituce elektronických peněz. V praxi je přitom více použitelná licence platební instituce.

O licenci platební instituce může žádat jakákoliv právnická osoba, která má základní kapitál ve výši 20 000 EUR - 125 000 EUR v závislosti na rozsahu plánovaných poskytovaných platebních služeb.[6]

Dle § 3 vyhlášky č. 1/2018 Sb., o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku je k získání povolení k činnosti platební instituce nutné doložit:

• Zakladatelské právní jednání.

• Výpis z obchodního rejstříku.

• Informace o skutečném sídle, pokud se liší od sídla zapsaném v obchodním rejstříku.

• Seznam návrhů na vyslovení neplatnosti usnesení valné hromady, o kterých nebylo soudní řízení ke dni podání žádosti pravomocně ukončeno.

• Seznam vedoucích osob žadatele a informace o každé vedoucí osobě.

• Seznam vedoucích osob, které skutečně řídí činnost v oblasti poskytování platebních služeb a informace o těchto vedoucích osobách.

• Finanční výkazy za poslední 3 roky.

• Seznam osob s kvalifikovanou účastí na žadateli a graficky znázorněné vztahy mezi těmito osobami a informace o těchto osobách.

• Seznam osob, které jsou vedoucí osobou právnické osoby uvedené v seznamu osob s kvalifikovanou účastí na žadateli a informace o těchto osobách.

• Údaje o osobách s úzkým propojením.

• Obecné informace o systému regulace státu sídla osoby s kvalifikovanou účastí, je-li osobou s kvalifikovanou účastí finanční instituce se sídlem ve státě, která není členským státem EU.

• Popis struktury konsolidačního celku, jehož součástí bude žadatel, s uvedením subjektů, které v rámci skupiny budou spadat do působnosti výkonu dohledu na konsolidovaném základě.

• Dochází-li k ovládnutí, popis skutečnosti, na základě které se osoba uvedená v seznamu osob s kvalifikovanou účastí stává osobou ovládající žadatele.

• Obchodní plán (součástí obchodního plánu je mimo jiné podnikatelský plán na první tři účetní období zpracovaný ve formátu výkazů účetní závěrky).

• Popis předmětu, rozsahu a způsobu výkonu jiné podnikatelské činnosti.

• Podrobný popis řídicího a kontrolního systému a návrhy vnitřních předpisů, zejména:
  
  • postupy k rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezení rizik, systém vnitřní kontroly, řádné administrativní a účetní postupy,
  • postupy pro sledování a řešení bezpečnostních incidentů a stížností klientů, zejména pak organizační opatření a nástroje pro předcházení podvodům, stanovení osoby odpovědné za pomoc zákazníkům v případě podvodu nebo technických problémů, způsoby hlášení podvodů, kontaktní místa pro zákazníky a použité sledovací nástroje a následná opatření a postupy pro zmírnění těchto bezpečnostních rizik,
  • postupy pro podávání, sledování a zaznamenávání citlivých údajů o platbách včetně klasifikace citlivých údajů a přístupu k nim,
  • opatření k zajištění nepřetržitého provozu společnosti vycházející z provedené analýzy možného dopadu přerušení a obnovy provozu, popis způsobu obnovy, testovací plány, opatření ke zmírnění dopadů přerušení provozu, popis přípravy pohotovostních plánů a jejich pravidelného přezkumu a vyhodnocování jejich přiměřenosti a účinnosti,
  • zásady bezpečnostní politiky obsahující posouzení rizik ve vztahu k vykonávaným platebním službám, včetně rizika podvodu, bezpečnostní kontroly, opatření směřující k minimalizaci rizik a zmírnění jejich následků a účinné ochraně uživatele před zjištěným rizikem a popis informačního systému,
  • systém vnitřních kontrolních mechanismů ke splnění povinností souvisejících s opatřeními, která směřují k předcházení legalizace výnosů z trestné činnosti a financování terorismu,
  • popis zásad a definic používaných pro efektivní sběr statistických dat souvisejících s vykonávanou činností, transakcemi a zjištěnými podvody zahrnující zejména typ sbíraných dat podle klientů, typ platební služby, rozsah sbíraných dat, prostředky sběru dat, účel a četnost sběru dat a popis fungování systému sběru dat a zajištění ochrany osobních údajů,
    

• Pojistná smlouva o poskytnutí záruky, pokud se má povolení k činnosti platební instituce vztahovat na službu nepřímého dání platebního příkazu nebo na službu informování o platebním účtu.

• Zvolený způsob ochrany peněžních prostředků svěřených k provedení platební transakce.

• Návrh přístupu, který bude platební instituce uplatňovat při výpočtu kapitálové přiměřenosti.

Závěr

ZoPS zavádí do českého právního řádu novou platební službu nepřímého daní platebního příkazu, která představuje pro subjekty na trhu platebních služeb zajímavé obchodní příležitosti a lze očekávat vznik nových aplikací nebo zavedení nových funkcí do těch stávajících. 

V současnosti se stále čeká na vydání některých technických norem a na trhu tak panuje mírná nejistota. I přes tuto překážku, doporučuji všem nebankovním subjektům, kteří mají zájem poskytovat službu nepřímého udělení platebního příkazu, zahájit přípravy na získání povolení od České národní banky co nejdříve, neboť dle mých zkušeností trvá správní řízení zhruba 5 – 10 měsíců, přičemž časovou náročnost přípravy dokumentů potřebných k žádosti také nelze podcenit.

Osobně jsem zvědavá, kam se trh díky novým možnostem posune a jakou část trhu se podaří ukousnout inovativním FinTech společnostem. 

 

Michaela Mosnáková,
advokátní koncipient


Stuchlíková & Partners, advokátní kancelář, s.r.o.

Kaunický palác
Panská 890/7
110 00  Praha 1

Tel.:    +420 222 767 393
e-mail:    info@stuchlikova.com


_____________________________
[1] Srov. § 2 odst. 1 písm. k) ZoPS
[2] Česká bankovní asociace vydala pro překlenutí přechodného období tzv. Český standard pro open banking, který řeší některé otázky technického nastavení, nicméně jej nelze považovat za plnohodnotnou náhradu k normám, které má vydat Evropský orgán pro bankovnictví. Český standard pro open banking je dostupný na www, k dispozici >>> zde.
[3] Dle čl. 115 odst. 4 PSD2 budou mít členské státy Evropské unie povinnost zajistit uplatnění technických norem nejpozději po uplynutí 18 měsíců  ode dne vstupu norem v platnost. Ke dnešnímu dni (18. 1. 2018) technická norma upravující společnou a bezpečnou komunikaci, nebyla stále vydána.
[4] Sdělení Ministerstva financí a České národní banky [online]. 1. 12. 2017, , 2 str. [cit. 2018-01-18]. Dostupné na www, k dispozici >>> zde.
[5] Dle čl. 115 PSD2 mohou po přechodnou dobu službu nepřímého dání platebního příkazu poskytovat také ty osoby, které podobnou službu poskytovaly již před 12. lednem 2016.
[6] Srov. § 7 ve spojení s § 15 ZoPS


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz