Förslag till ramverk för öppna finansiella tjänster

Den 28 juni 2023 presenterade den Europeiska kommissionen ett förslag som syftar till att skapa ett ramverk för öppna finansiella tjänster. Sedan tidigare finns det ett etablerat regelverk rörande datadelning kopplade till betaltjänster i form av det andra betaltjänstdirektivet (”PSD2”). Det nya förslaget avser dels att utvidga regleringen till att omfatta finansiella tjänster i vid bemärkelse genom en ny förordning (”FiDA”), dels att revidera betaltjänstregelverket genom ett uppdaterat betaltjänstdirektiv (”PSD3”) och en ny betaltjänstförordning (”PSR”). Denna artikel syftar till att analysera kommissionens förslag avseende utvidgningen av regleringen av datadelning till att omfatta fler finansiella tjänster än betalningar samt att belysa de möjligheter och utmaningar som förslaget kan ge upphov till.

Innebörden av öppna finansiella tjänster är att en tredjepartsleverantör ges möjlighet att få tillgång till kunders finansiella information genom olika tekniska åtkomstmetoder. Genom införandet av PSD2 reglerades en åtkomstmetod som bygger på att s.k. kontoförvaltande betaltjänstleverantörer är skyldiga att tillhandahålla ett särskilt gränssnitt (”API”) som möjliggör åtkomst till finansiella data för tredjepartsleverantörer. För andra finansiella tjänster finns inga sådana krav på s.k. datainnehavare, vilket medför att eventuell datadelning sker helt oreglerat. I sådana situationer genomförs datadelningen ensamt av tredjepartsleverantören, med kundens samtycke, utan inblandning från en kontoförvaltande betaltjänstleverantör. De rättsliga förutsättningarna för dessa oreglerade metoder är oklara, vilket har medfört att kommissionens förslag på ett nytt ramverk har välkomnats av bl.a. Finansinspektionen och den svenska regeringen.[1]

 

Tillämpningsområde

FiDA är tillämplig på såväl datainnehavare som dataanvändare. Med en datainnehavare avses finansiella företag som samlar in, lagrar eller på annat sätt behandlar finansiell information som omfattas av FiDA. En dataanvändare är ett finansiellt företag som, efter samtycke från kund, har laglig tillgång till sådan finansiell information. Som utgångspunkt omfattas samtliga typer av finansiella företag av FiDA: kreditinstitut, försäkringsbolag, värdepappersbolag osv. Genom FiDA införs emellertid en ny tillståndspliktig enhet, nämligen tjänsteleverantörer av finansiell information. Leverantörer av finansiell information är dataanvändare som inte har något annat tillstånd för att bedriva finansiell verksamhet utan föreslås vara föremål för en ny auktorisationsprocess i FiDA. Arten av den verksamhet som en sådan leverantör bedriver torde likna sådan verksamhet som bedrivs av registrerade leverantörer av kontoinformationstjänster enligt PSD2.

Den finansiella information som föreslås vara föremål för FiDA är:

  • bolåneavtal, lån och konton, exklusive betalkonton (vilka kommer att regleras separat i PSD3 och PSR);
  • sparande, investeringar i finansiella instrument, försäkringsbaserade investeringsprodukter, kryptotillgångar, fastigheter och andra relaterade finansiella tillgångar liksom ekonomiska förmåner hänförliga till sådana tillgångar;
  • data som samlats in för att göra ändamålsenlighets- och lämplighetsbedömningar enligt direktivet om marknader för finansiella instrument (”MiFID”);
  • pensionsrättigheter i tjänstepensionsplaner och PEPP-produkter;
  • skadeförsäkringsprodukter med undantag för sjukdoms-, olycksfalls- eller sjukvårdsförsäkringsprodukter; och
  • data som samlats in för kreditvärdighetsbedömningar till företags låneansökningar och kreditbetyg.

 

Datainnehavares och dataanvändares skyldigheter

Datainnehavare är enligt FiDA skyldiga att tillgängliggöra finansiell information, efter kundens samtycke, till en dataanvändare utan onödigt dröjsmål, löpande och i realtid. Tillgängliggörandet ska ske i ett standardiserat format och på ett säkert sätt. En datainnehavare föreslås också vara skyldig att tillhandahålla en medgivandepanel till dess kunder. Av panelen ska det framgå bl.a. vilka samtycken som kunden har lämnat, till vilken dataanvändare och historik avseende återkallade eller utlöpta samtycken. Därutöver ska kunden ha möjlighet att återkalla samtycken direkt genom panelen.

För dataanvändaren föreslås en rad skyldigheter kopplade till, framför allt, användandet av informationen. Övergripande principer i andra unionsrättsliga regelverk ska naturligtvis följas, såsom att data inte får användas på annat sätt än vad kunden uttryckligen har samtyckt till och uppgiftsanvändningen ska ske i enlighet med det ändamål som uppgifterna samlades in för. Därutöver tillkommer krav på att det ska vidtas tekniska, legala och organisatoriska åtgärder för att tillförsäkra att ingen obehörig åtkomst förekommer. När det kommer till användningen av uppgifter som omfattas av FiDAs tillämpningsområde för att tillhandahålla finansiella tjänster som inte omfattas av FiDA, såsom att använda uppgifterna till grund för en kreditvärdighetsbedömning av en konsument eller en riskbedömning eller prissättning av liv-, olycksfalls- och sjukförsäkringar, föreslås Eba och Eiopa ges mandat att ta fram vägledande riktlinjer.

Skyldigheterna som åläggs framför allt datainnehavare kräver att det finns tekniska system på plats för att kunna hantera mängder med förfrågningar från olika tredjepartsleverantörer avseende stora mängder data. Systemen i sig måste också efterleva kraven i den nyligen antagna förordningen om digital operativ motståndskraft (”DORA”). Följaktligen är det omfattande investeringar som kommer att krävas i företagens IKT-system. Även om åtminstone kontoförvaltande betaltjänstleverantörer har viss erfarenhet från användning av API i förhållande till delning av finansiell information, innebär FiDA ett betydligt bredare tillämpningsområde. Hur tekniken för datadelningen ska se ut regleras emellertid inte i FiDA, men däremot åläggs såväl datainnehavare som dataanvändare att delta som medlemmar i en eller flera organisationer för delning av finansiella data.

 

Organisationer för delning av finansiell information

Organisationer för delning av finansiella data innebär en viss tvingande självreglering. I FiDA ställs ramarna upp i form av regler avseende organisationens uppdrag, d.v.s. att bestämma hur datadelning inom den finansiella sektorn ska gå till. Följaktligen anges i FiDA vissa övergripande frågor om organisationens funktionssätt som behöver vara föremål för organisationens regelverk, t.ex. gällande omröstningsregler, öppenhetskriterier, ändringsmekanismer, gemensamma standarder för de tekniska gränssnitten, ansvarsfrågor och tvistelösning. Dessutom ska organisationen ta fram en modell för hur ersättningen för datadelning ska se ut.

Både datainnehavare och dataanvändare blir skyldiga att ansluta sig till en sådan organisation och alla aktörer blir därigenom delaktiga i att bestämma spelreglerna för hur delningen ska fungera konkret utifrån det ramverk som anges i FiDA. Utöver datainnehavare och -användare ska även kundorganisationer delta.

Skulle branschen inte lyckas utveckla någon egen datadelningsorganisation bemyndigas i stället kommissionen att anta en delegerad akt avseende de gemensamma standarderna för gränssnitten, ersättningsmodellen och ansvarsfrågorna. I Sverige kan det konstateras att finansiella företag är relativt vana vid att delta i branschgemensamma initiativ som syftar till att etablera gemensamma spelregler, varför detta krav inte bör ses som särskilt betungande utan snarare som en välkommen kontrast till de detaljerade påbud som annars är vanligt förekommande.

 

Tjänsteleverantörer av finansiell information

Genom FiDA föreslås leverantörer som avser tillhandahålla finansiell information att underställas krav på tillstånd. Med en sådan leverantör ska förstås varje företag som avser vara en dataanvändare i den mening som anges i FiDA. Syftet med att underkasta varje tredjepartsleverantör som tillhandahåller finansiell information såsom dataanvändare en tillståndsplikt är att säkerställa att behandlingen av kundinformation genomförs på ett säkert och sunt sätt. I förlängningen är en säker behandling av kundinformation en förutsättning för kontinuiteten i det finansiella systemet liksom allmänhetens förtroende därtill.

I tillståndsansökan ska anges hur leverantören uppfyller en rad olika tekniska och operativa krav enligt bl.a. DORA, inbegripet policyer för kontinuitet, säkerhet, intern styrning och incidenthantering samt en beskrivning av hur IKT-systemen uppfyller kraven på motståndskraft. Dessutom behöver leverantörer av finansiell information ha en lämplig ansvarsförsäkring eller ett startkapital om minst EUR 50 000. Eba föreslås få ett mandat att genom tekniska standarder ytterligare precisera vilken dokumentation som ska lämnas in vid ansökan, tillsynsmyndigheters bedömningskriterier för att meddela tillstånd och detaljer för en lämplig ansvarsförsäkring. För sådana leverantörer som inte är etablerade inom EU tillkommer också krav på att utse en legal representant inom unionen som ska ansvara för kontakter med tillsynsmyndigheten. Denna representant kan dessutom hållas ansvarig för brister i tjänsteleverantörens efterlevnad av FiDA.

Jämfört med att verka i en oreglerad miljö riskerar naturligtvis de föreslagna kraven att verka betungande för tjänsteleverantörer av finansiella data. Redan etablerade företag och företag av en redan betydande omfattning kan åtnjuta fördelar av att större krav ställs på att kunna leverera ifrågavarande tjänster. En naturlig följd därav är att inträdesbarriärerna blir högre och mer kostsamma, vilket i sin tur kan ha en hämmande effekt på konkurrens och innovation. Marknaden för diverse IKT-relaterade tjänster riskerar härigenom att bli allt mer koncentrerad. Å andra sidan är de nya kraven på tjänsteleverantörer av finansiell information ett naturligt led i kommissionens uttalade strategi att stärka den digitala motståndskraften i den finansiella sektorn, något som har pekats ut som en av de mer framträdande riskerna för såväl konsumentskyddet som den finansiella stabiliteten. Det finns också fördelar med att förutsättningarna för IKT-leverantörer på förhand är tydligt reglerade i och med att det ger förutsebara spelregler för aktörer som är intresserade av att ta sig in på marknaden.

 

Processen framåt

Förslaget som har presenterats av kommissionen kommer nu att vara föremål för förhandling mellan parlamentet och rådet. För sådana förhandlingar finns ingen formell tidsfrist och tidplanen skiljer sig åt beroende på förslagets karaktär. En utgångspunkt torde dock vara att ny lagstiftning inom finansiell reglering åtminstone tar två år för att slutligen antas. När en antagen förordning väl har trätt i kraft, föreslås en period på 24 månader innan de flesta bestämmelserna börjar tillämpas. Bestämmelserna om organisationer för delning av finansiell information föreslås däremot börja tillämpas redan 18 månader efter förordningens ikraftträdande.

Lindahl följer processen med stort intresse. Vid frågor om hur förslaget eventuellt kommer att påverka er verksamhet är ni välkomna att kontakta oss.

 

[1] Se Finansinspektionens rapport Användningen av öppna finansiella tjänster i Sverige, Dnr 23–3846 och regeringens faktapromemoria 2022/23:FPM119 Förordning om ett ramverk för tillgång till finansiella data.

Financial services

Lindahl har ett erfaret team med bred och djup kunskap inom reglering kopplat till tillståndspliktiga och registreringspliktiga finansiella institut. Med djup branschinsikt och kunskap kring rådande regelverk levererar vi högkvalitativ rådgivning till klienter såsom svenska och internationella kreditinstitut (inkl. konsumentkreditinstitut), fonder, banker, betaltjänstleverantörer, kreditförmedlare, värdepappersbolag samt andra finansiella aktörer.

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse