Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Forskrift om systemer for betalingstjenester

Hjemmel: Fastsatt av Finansdepartementet 15. februar 2019 med hjemmel i lov 17. desember 1999 nr. 95 om betalingssystemer m.v. § 3-3 første ledd annet punktum og lov 10. april 2015 nr. 17 om finansforetak og finanskonsern (finansforetaksloven) § 2-10 a femte ledd.

 

§ 1. Virkeområde

Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat jf. finansforetaksloven § 2-3. Forskriften gjelder likevel ikke for betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10 fjerde ledd.

§ 2. Risikovurdering og etterlevelse av regelverk

Betalingstjenestetilbydere skal gjennomføre risiko- og sårbarhetsvurderinger før en ny betalingstjeneste lanseres og ved hendelser eller endringer av betydning for sikkerhetsnivået.

Betalingstjenestetilbydere skal ha systemer og kontrollmekanismer for operasjonell og sikkerhetsmessig risiko knyttet til ytelsen av betalingstjenester, samt effektive fremgangsmåter for å håndtere hendelser, inkludert alvorlige operasjonelle hendelser og sikkerhetshendelser. Systemene skal sikre etterlevelse av regelverk, avtaler og interne rutiner. Datatrafikk i elektroniske betalingstjenester skal overvåkes for å sikre tilstrekkelig sikkerhetsnivå og kunne avdekke og hindre uautorisert bruk av tjenesten.

Betalingstjenestetilbydere skal minst årlig gi Finanstilsynet en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester, samt om tilbyderens tiltak er tilstrekkelige.

Betalingstjenestetilbydere skal minst årlig rapportere statistikk om svindel knyttet til betalingstjenestene til Finanstilsynet, på den måten Finanstilsynet angir.

§ 3. Underretning om hendelser

Dersom hendelse som angitt i forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT) § 9 tredje ledd påvirker eller kan påvirke betalingstjenestebrukernes økonomiske interesser, skal betalingstjenestetilbyderen uten ugrunnet opphold underrette brukerne om hendelsen. Meldingen skal omtale tiltak brukeren kan iverksette.

§ 4. Krav til sikker ytelse av betalingstjenester

Betalingstjenestetilbydere skal på bakgrunn av risiko- og sårbarhetsvurderingen etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges.

Betalingstjenestetilbyderen er ansvarlig for at tjenesten i sin helhet (ende til ende) er beskyttet gjennom logiske og fysiske sikringstiltak.

§ 5. Krav til sterk kundeautentisering

En betalingstjenestetilbyder skal anvende sterk kundeautentisering når brukeren

  1. logger seg inn på sin betalingskonto via nettet,
  2. initierer en elektronisk betalingstransaksjon, eller
  3. gjennomfører handling som kan innebære risiko for svindel eller annet misbruk.

For transaksjoner som nevnt i første ledd bokstav b skal betalingstjenestetilbyderen ved elektroniske fjernbetalingstransaksjoner anvende sterk kundeautentisering som kobler transaksjonen til et spesifikt beløp og en spesifikk betalingsmottaker.

Med «sterk kundeautentisering» menes en løsning basert på bruk av to eller flere elementer, som er uavhengig av hverandre slik at kompromitteringen av ett element likevel ikke vil påvirke de andre elementene.

Betalingstjenestetilbyderen skal innføre egnede tiltak for å beskytte brukerens personlige sikkerhetsinformasjon. Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine autentiseringskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan sperre videre bruk av autentiseringskjennetegn.

Kontotilbyder skal gi betalingstjenestetilbydere som tilbyr avtale om betalingsfullmakt og kontoinformasjonstjeneste adgang til å benytte seg av autentiseringsprosedyrene kontotilbyder har gjort tilgjengelig for brukeren.

§ 6. Betalingsfullmakttjenester

I forbindelse med betalingsfullmakttjenesten skal betalingsfullmektigen

  1. ikke på noe tidspunkt ha rådighet over betalerens midler
  2. ikke endre betalingsmottaker, beløp eller noe annet kjennetegn ved transaksjonen
  3. legitimere seg overfor brukerens kontotilbyder, når de iverksetter en betaling
  4. kommunisere på sikker måte med kontotilbyder, betaleren og betalingsmottakeren,
  5. sikre at betalingstjenestebrukerens personlige sikkerhetsinformasjon (autentiseringskjennetegn) ikke er tilgjengelig for andre enn brukeren og utstederen av den personlige sikkerhetsinformasjonen, og at sikkerhetsinformasjonen overføres gjennom sikre og effektive kanaler
  6. ikke benytte, ha tilgang til eller lagre opplysninger for andre formål enn utføring av betalingsfullmakttjenesten i samsvar med betalerens uttrykkelige anmodning
  7. ikke lagre sensitive betalingsopplysninger om betaleren
  8. ikke be betalingstjenestebrukeren om opplysninger som ikke er nødvendige for å utføre betalingsfullmakttjenesten
  9. sikre at eventuelle andre opplysninger om betalingstjenestebrukeren som er innhentet om betaleren i forbindelse med betalingstjenesten, bare gis til betalingsmottakeren og bare med betalerens uttrykkelige samtykke

Betalingsfullmektigen skal gjøre betalingstransaksjonens referanse tilgjengelig for kontotilbyderen ved iverksetting av en betalingsordre.

§ 7. Kontoinformasjonstjenester

I forbindelse med kontoinformasjonstjenesten skal opplysningsfullmektigen

  1. legitimere seg overfor brukerens kontotilbyder for hver kommunikasjonsøkt
  2. kommunisere på sikker måte med kontotilbyder og brukeren
  3. sikre at brukerens personlige sikkerhetsinformasjon (autentiseringskjennetegn) ikke er tilgjengelig for andre enn brukeren og utstederen av den personlige sikkerhetsinformasjonen, og at sikkerhetsinformasjonen overføres gjennom sikre og effektive kanaler
  4. kun ha tilgang til opplysninger fra angitte betalingskontoer og tilknyttede betalingstransaksjoner
  5. ikke be om sensitive betalingsopplysninger knyttet til betalingskontoen
  6. ikke bruke, ha tilgang til eller lagre opplysninger for andre formål enn for å utføre kontoinformasjonstjenesten i samsvar med brukerens anmodning

§ 8. Kontotilbyderens plikter

I samsvar med reglene i forskrift om betalingstjenester § 5 første ledd, fastsatt med hjemmel i finansavtaleloven § 9 a, skal utføring av avtale om betalingsfullmakt eller kontoinformasjonstjeneste ikke gjøres betinget på vilkår om at det foreligger en avtale mellom kontotilbyderen og betalingsfullmektigen eller opplysningsfullmektigen om utføring av tjenesten.

Kontotilbyderen skal gi fullmaktforetaket nødvendig tilgang til brukerens egne internettbaserte betalingskontoer, med mindre det foreligger objektivt begrunnede og dokumenterte forhold som gir grunn til å tro at nødvendig autorisasjon for utføring av avtale om betalingsfullmakt eller kontoinformasjonstjeneste mangler. Kontotilbyder skal umiddelbart underrette Finanstilsynet dersom det har nektet betalings- eller opplysningsfullmektig tilgang. Underretningen skal angi begrunnelsen for at tilgangen ble nektet.

Kontotilbyder skal ikke forskjellsbehandle mellom en betalingsordre som gis av betaler gjennom tilbyder som tilbyr avtale om betalingsfullmakt og betalingsordre som gis direkte fra betaler, særlig med hensyn til tidspunkt, prioritet og gebyrer, med mindre det foreligger saklig grunn.

Kontotilbyder skal ikke forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste, med mindre det foreligger saklig grunn.

Kontotilbyderen skal umiddelbart etter mottak av betalingsordren fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt gjøre all relevant informasjon om initieringen og gjennomføringen av betalingstransaksjonen tilgjengelig for fullmektigen.

Kontotilbyder skal kommunisere på sikker måte med betalingstjenestetilbydere som tilbyr avtale om betalingsfullmakt og kontoinformasjonstjeneste.

§ 9. Kortbaserte betalingstransaksjoner

Kontotilbyder skal ved henvendelse fra en betalingstjenestetilbyder som har utstedt et kortbasert betalingsinstrument umiddelbart angi om transaksjonen knyttet til instrumentet har dekning i betalingskontoen, når denne er tilgjengelig på internett. Dette gjelder bare dersom betalingstjenestebrukeren har gitt sitt samtykke til at kontotilbyderen på anmodning fra en annen betalingstjenestetilbyder, som utsteder kortbaserte betalingsinstrumenter, kan bekrefte at det er dekning på betalingskontoen for et bestemt beløp som den kortbaserte betalingstransaksjonen gjelder.

Kontotilbyders svar på om transaksjonen har dekning i kontoen skal være et bekreftende «ja» eller avkreftende «nei». Forespørselen skal ikke gi grunnlag for å reservere midler på betalerens betalingskonto.

På forespørsel fra betalingstjenestebrukeren skal kontotilbyderen alltid gi betalingstjenestebrukeren opplysninger om identiteten til betalingstjenestetilbyder som har anmodet om slik dekningsbekreftelse og svaret som ble gitt av kontotilbyderen.

Betalingstjenestetilbyderen skal legitimere seg overfor kontotilbyder før hver anmodning om bekreftelse, og kommunisere på sikker måte med kontotilbyder.

Bestemmelsene i denne paragrafen gjelder ikke kortbaserte betalingsinstrumenter som er e-penger.

§ 11. Tilgang til brukerens sikkerhetsinformasjon

Betalingstjenestetilbydere skal sikre at brukerens personlige sikkerhetsinformasjon til elektronisk identifikasjon og signatur ikke er tilgjengelig for andre enn brukeren og utstederen, når identifikasjonen eller signaturen gir tilgang til elektroniske tjenester fra offentlig sektor og som omfattes av regler som svarer til Europaparlaments- og Rådsforordning (EU) nr. 910/2014.

Ikrafttredelse

Forskriften trer i kraft 1. april 2019. Fra samme tidspunkt oppheves forskrift 17. desember 2015 nr. 1731 om systemer for betalingstjenester.

Fra 14. september 2019 vil også regler i samsvar med delegert kommisjonsforordning (EU) 2018/389 gjelde.

Til toppen