Samlenotat vedr. betalingstjenester (PSR og PSD3)

Udenrigsministeriet
Asiatisk Plads 2
DK-1448 København K
Telefon +45 33 92 00 00
Telefax +45 32 54 05 33
E-mail: um@um.dk
http://www.um.dk
Girokonto 3 00 18 06
Medlemmerne af Folketingets Europaudvalg
Bilag Sagsnummer Kontor
1 24/05053 EUKOOR 28. februar 2024
SAMLENOTAT
Betalingstjenester
Til underretning for Folketingets Europaudvalg vedlægges Økonomimi-
nisteriets samlenotat vedrørende forslag til Europa-Parlamentets og Rå-
dets forordning om betalingstjenester (PSR) samt et tilhørende direktiv
om betalingstjenester og elektroniske penge (PSD3), KOM (2023) 0366
og KOM (2023) 0367.
Lars Løkke Rasmussen
Offentligt
KOM (2023) 0367 - Bilag 4
Europaudvalget 2023


28. februar 2024
Samlenotat
1) Mandat til forhandling om forslag vedr. betalingstjenester (PSR og PSD3)
KOM(2023)366, KOM(2023)367
Materialet er udarbejdet af Økonomiministeriet og Erhvervsministeriet 2
Offentligt
KOM (2023) 0367 - Bilag 4
Europaudvalget 2023
Side 2 af 12
Dagsordenspunkt 1: Mandat til forhandlinger om forslag
vedr. betalingstjenester (PSR og
PSD3)
1. Resume
Kommissionen præsenterede den 28. juni 2023 et forslag til en forordning om
betalingstjenester (PSR) samt et tilhørende direktiv om betalingstjenester og
elektroniske penge (PSD3).
Formålet med forslagene er bl.a. at styrke forbrugerbeskyttelsen og bekæmpe
svindel, øge innovation, ensarte implementering og håndhævelse af reglerne i
EU-landene samt styrke konkurrencen. PSR omfatter betalingsinstitutter (fx
Nets) og andre virksomheder, der udbyder betalingstjenester, herunder pen-
geinstitutter (fx Danske Bank) og e-pengeinstitutter (fx Vipps MobilePay).
PSD3 er rettet mod tilsynsmyndigheder (fx Finanstilsynet) og virksomheder
under tilsyn.
For at øge forbrugerbeskyttelsen og bekæmpe svindel vil udbydere af beta-
lingstjenester bl.a. forpligtes til at stille en løsning til verifikation af internati-
onale kontonumre til rådighed for fx almindelige bankkunder ved kontoover-
førsler, så kunden kan se eventuelle uoverensstemmelser mellem navnet på in-
dehaveren af kontoen og betalingsmodtageren, kunden ønsker at overføre til,
og dermed tjekke, om pengene overføres til den rigtige modtager. Forslaget
kan øge innovationen, bl.a. gennem nye krav til ydeevne og funktionalitet til
pengeinstitutters it-løsninger (fx løsninger til indsamling af kontooplysninger
fra brugernes online betalingskonti hos pengeinstitutterne). Forslagene ens-
arter implementering og håndhævelse af reglerne i EU-landene ved bl.a. at
muliggøre, at butikker kan tilbyde kontanthævninger på op til 50 euro uden et
køb og uden at dette kræver en tilladelse eller registrering. Herudover skal
konkurrencen mellem betalings- og pengeinstitutter styrkes gennem bl.a.
klare regler for kontooprettelser og mulighed for, at betalingsinstitutter kan
deltage i betalingssystemer (systemer til afvikling af betalinger), ligesom pen-
geinstitutter i dag kan. Gennemførsel af forslaget vil samtidig muligvis kunne
få betydning for gældende danske regler for forbrugerbeskyttelse.
Regeringen vurderes generelt at kunne støtte forslaget og formålene, men fin-
der det vigtigt, at omkostningerne for omfattede virksomheder reduceres ved,
at tiltagene videst muligt bygger på eksisterende løsninger, samt at virksom-
heder og myndigheder har tilstrækkelig tid til at tilpasse sig de nye regler.
Samtidig skal rammerne for bekæmpelse af svindel styrkes ved brug af klare,
teknologineutrale og proportionale regler. Hvis der med forslaget skal indfø-
res administrative bøder, som giver betænkeligheder i forhold til grundlovens
§ 3 om magtens tredeling, er det regeringens vurdering, at det er væsentligt,
Side 3 af 12
at Danmark ikke forpligtes til at indføre dette. Yderligere skal tiltagene ses i
sammenhæng med anden relevant EU-lovgivning.
Regeringen finder det samtidig vigtigt, at Danmark kan opretholde danske
regler, som stiller danskere bedre i forhold til forbrugerbeskyttelsen i Kommis-
sionens forslag, så længe de er forenelige med databeskyttelsesforordningen
(GDPR), samt at forslaget tager hensyn til velfungerende nationale betalings-
løsninger og eksisterende digitale infrastrukturløsninger som fx Dankortet og
Danmarks investeringer i MitID.
Regeringen vurderer ikke, at der er behov for et loft for kontanthævninger, da
det ikke vurderes at øge forbrugerbeskyttelsen. Regeringen finder det endeligt
vigtigt, at betalingsinfrastruktur omfattes af bindende regler for styring af cy-
berrisici, da betalingsinfrastrukturen er den største enkeltstående kilde til cy-
berrisici i den europæiske finansielle sektor.
2. Baggrund
Kommissionen præsenterede den 28. juni 2023 et forslag til en forordning om
betalingstjenester (PSR) samt et tilhørende direktiv om betalingstjenester og
elektroniske penge (PSD3).
PSR indeholder regler for betalingsinstitutter (fx Nets, der ejer Dankortet) og
andre virksomheder, der udbyder betalingstjenester, herunder pengeinstitutter
(fx Danske Bank) og e-pengeinstitutter (fx Vipps MobilePay), samt forbrugere,
mens PSD3 indeholder regler rettet mod tilsynsmyndigheder og virksomheder
under tilsyn og omhandler tilladelser, registreringer og tilsyn med betalings- og
e-pengeinstitutter1. Både forbrugere og erhvervsdrivende benytter sig dagligt af
betalingstjenester som Dankortet, MobilePay og kontooverførsler, fx ved handel
i fysiske og online butikker samt ved betalinger mellem hinanden.
Forslagene reviderer det gældende betalingstjenestedirektiv (PSD2) fra 2015,
som regulerer udbydere af betalingstjenester, samt ophæver det gældende e-
pengedirektiv (EMD2), som regulerer udstedere af e-penge. Revisionen inde-
bærer således, at PSD2 samt EMD2 ophæves og erstattes af PSR og PSD3.
Retsgrundlaget for PSR er artikel 114 i Traktat om Den Europæiske Unions
Funktionsmåde (TEUF), som vedrører harmonisering af bestemmelser om det
indre marked. Retsgrundlaget for PSD3 er artikel 53 og 114 i TEUF, hvor artikel
53 vedrører direktiver om gensidig anerkendelse af eksamensbeviser mv. med
henblik på at optage og udøve selvstændig erhvervsvirksomhed. Dette hænger
sammen med, at retsgrundlaget for PSD2 er artikel 114 i TEUF, mens EMD2,
der med forslaget skal indarbejdes i PSD3, har retsgrundlag i både artikel 114 og
53.
1 E-pengeinstitutter udgår som instituttype under PSR og PSD3 – fremover vil de således klassi-
ficeres som betalingsinstitutter, der udbyder e-pengetjenester. Det er fx Vipps Mobilepay.
Side 4 af 12
Europa-Parlamentet og Rådet er medlovgivere. Rådet træffer beslutning med
kvalificeret flertal.
3. Formål og indhold
Formålet med forslagene er bl.a. at styrke forbrugerbeskyttelsen og bekæmpe
svindel, øge innovation, ensarte implementering og håndhævelse af reglerne i
EU-landene samt styrke konkurrencen. Overordnet bidrager det til at moderni-
sere betalingsområdet. Der er ikke fremsat et kompromisforslag.
Hovedelementerne i forslagene kan inddeles i fire overordnede kategorier pba.
formål, jf. tabel 1. Indholdet uddybes nedenfor.
Tabel 1 Hovedelementer i Kommissionens forslag
Eksisterende regler Kommissionens forslag
Styrke forbrugerbeskyttelsen og bekæmpelse af svindel
IBAN-verifikation
(PSR)
Ingen
Betalingstjenesteudbydere skal stille en løsning til
IBAN-verifikation (internationale kontonumre) til
rådighed, hvor kunden kan se uoverensstemmelser
mellem navn på kontoindehaver og navn på beta-
lingsmodtager ved kreditoverførsler.
Tilladelsesdashboards
(PSR)
Ingen
Kontoførende betalingstjenesteudbydere (fx penge-
institutter) skal udvikle og stille et såkaldt ”tilladel-
sesdashboard” til rådighed for betalingstjenestebru-
gerne, der skal give overblik over de tredjeparter,
forbrugeren har givet adgang til sine oplysninger.
Betalingstjenesteudbyder an-
svarliggøres eksplicit over for
forbrugeren ved ”spoofing”
(PSR)
Ifølge PSD2 hæfter betalingstjenesteudbyderen i
dag overfor forbrugeren i tilfælde af svindel, med-
mindre forbrugeren har handlet svigagtigt eller
groft uagtsomt. I det tilfælde må brugeren selv
hæfte for hele eller dele af beløbet.
I Danmark er der et loft, så forbrugeren i nogle til-
fælde af svindel maksimalt hæfter for 8.000 kr.,
hvis forbrugeren har udvist grov uagtsomhed.
Det gøres eksplicit i en ny særskilt bestemmelse, at
betalingstjenesteudbyderen hæfter for det fulde be-
løb overfor forbrugeren ved en bestemt type svin-
del (såkaldt ”spoofing”), hvor svindleren udgiver
sig for at være forbrugerens betalingstjenesteudby-
der, medmindre forbrugeren har handlet svigagtigt
eller groft uagtsomt. I det tilfælde må forbrugeren
selv hæfte for hele eller dele af beløbet. Gældende
hæftelsesregler videreføres, så betalingstjenesteud-
byderen også fortsat hæfter i andre tilfælde, med-
mindre forbrugeren har handlet svigagtigt eller
groft uagtsomt.
Uddannelsesprogrammer om
svindel
(PSR)
Ingen.
Betalingstjenesteudbydere forpligtes til at lave ud-
dannelsesprogrammer om svindel, herunder om
tendenser for svindel (fx metoder), for deres an-
satte.
Oplysningskampagner
(PSR)
Ingen.
Betalingstjenesteudbydere forpligtes til at lave op-
lysningskampagner til forbrugerne for at forhindre
svindel.
Dataudveksling om svindel
(PSR)
Betalingstjenesteudbydere kan frivilligt dele data
om svindel med hinanden, men det forudsætter en
konkret vurdering fx ift. databeskyttelsesforordnin-
gen (GDPR) i hvert enkelt tilfælde.
Der skabes en konkret lovhjemmel til datadelingen,
men det vil fortsat være frivilligt.
Forpligtelser til udbydere af
kommunikationsnet
(PSR)
Ingen.
Udbydere af elektroniske kommunikationsnet, ty-
pisk teleselskaber, forpligtes til at samarbejde med
betalingstjenesteudbydere om at forebygge den
form for svindel, der kaldes ”spoofing”.
Ændring af reglerne om SCA
(PSR)
I dag skal udbydere af betalingstjenester sikre, at
der anvendes stærk kundeautentifikation (SCA) i
visse i situationer, hvilket indebærer, at der skal to
faktorer (fx kodeord og smartphone) til at god-
kende en elektronisk betaling.
Udbydere af betalingstjenester forpligtes til at gøre
SCA tilgængeligt også via andet end en smartphone
(fx ved en sms-kode og et fast kodeord).
Innovation
Minimumskrav til API
(PSR)
Pengeinstitutter skal udvikle en applikationspro-
grammeringsgrænseflade (API), hvorigennem tred-
jeparter (fx udbydere af kontooplysningstjenester)
fx kan indhente betalingsoplysninger fra brugernes
online betalingskonti.
Der indføres nye minimumskrav til API’erne, fx i
form af krav til ydeevne og funktionalitet.
Side 5 af 12
1) Styrke forbrugerbeskyttelsen og bekæmpelse af svindel
Betalingstjenesteudbydere, typisk pengeinstitutter, skal ifølge forslaget stille en
løsning til IBAN-verifikation (verifikation af internationalt kontonummer) til
rådighed for kunderne ved kontooverførsler, primært net-bankoverførsler, så
betaleren bliver notificeret om uoverensstemmelse mellem navnet på kontoin-
dehaveren og navnet på betalingsmodtageren, som betaleren har oplyst, inden
betalingen gennemføres. Det skal bl.a. bidrage til at undgå, at forbrugeren over-
fører sine penge til den forkerte modtager.
Kontoførende betalingstjenesteudbydere (fx pengeinstitutter) skal ifølge forsla-
get udvikle og stille et såkaldt ”tilladelsesdashboard” til rådighed for forbru-
gerne. Dashboardet skal give overblik over de tredjeparter (fx udbydere af kon-
tooplysningstjenester), som forbrugeren har givet adgang til informationer fra
sine betalingskonti hos pengeinstituttet. En udbyder af kontooplysningstjene-
ster kan fx bruge information fra brugerens betalingskonti til at udarbejde et
budget til brugeren, der fx kan bruges i forbindelse med en kreditvurdering.
Denne forpligtigelse skal ses i sammenhæng med forordningen om et ramme-
værk for finansiel datadeling (FIDA), der på samme vis forpligter udbydere af
finansielle tjenester til at stille et tilladelsesdashboard til rådighed i forhold til
deling af andre data, som ikke stammer fra betalingskonti (fx vedr. opsparing,
lån mv.).
Betalingstjenesteudbyderen ansvarliggøres eksplicit over for for-
brugeren ved ”spoofing” for det fulde beløb. Spoofing i medfør af forslaget
omfatter situationer, hvor forbrugeren er blevet manipuleret af svindlere, der
udgiver sig for at være medarbejder hos betalingstjenesteudbyderen, til at auto-
risere en betaling. Efter forslaget hæfter udbyderen kun én gang og kun i til-
fælde, hvor forbrugeren ikke har handlet svigagtigt eller groft uagtsomt. Det er
Ensarte implementering af og håndhævelse af reglerne i EU-landene
Tilladelseskrav
(PSD3)
Der er i dag en række krav til at opnå tilladelse som
betalingsinstitut.
Kravene til at opnå tilladelse som betalingsinstitut
skærpes ved at indføre et nyt krav om afviklings-
plan ved konkurs og højere kapitalkrav, der justeres
som følge af inflationen.
Registreringskrav
(PSD3)
Ingen.
Der indføres registreringskrav for udbydere af kon-
tanthævningsautomater, mens det nuværende tilla-
delseskrav for udbydere af kontooplysningstjene-
ster ændres til et registreringskrav. Det er fortsat
ikke klart, hvad en registrering indebærer.
Kontanthævninger på op til
50 EUR uden et køb
(PSD3)
I dag er det som udgangspunkt ikke lovligt for bu-
tikker uden tilladelse at tilbyde kontanthævninger,
uden der først foretages et køb.
Det bliver muligt for butikkerne at tillade kontant-
hævninger på op til 50 EUR uden et køb, uden at
det kræver en tilladelse.
Beføjelser til at intervenere
over for produkter
(PSR)
Ingen.
Den Europæiske Banktilsynsmyndighed, EBA, gi-
ves beføjelser til at produktintervenere i en række
situationer.
Styrke konkurrencen
Betalingsinstitutter får ad-
gang til betalingssystemer
(PSR)
Ingen regler om betalingsinstitutters adgang til be-
talingssystemer.
Betalingsinstitutter kan få adgang til betalingssyste-
mer (på linje med pengeinstitutter i dag), hvis disse
lever op til en række forpligtelser.
Side 6 af 12
nyt, at der eksplicit indsættes en bestemmelse om, at udbyderen som udgangs-
punkt hæfter for det fulde beløb ved denne konkrete type svindel. Der eksisterer
fortsat regler om udbyderens ansvar over for forbrugeren i andre tilfælde. For-
slaget ændrer dog ikke umiddelbart på retspraksis, da udbyderen i forvejen hæf-
ter over for forbrugeren, hvis denne har været udsat for svindel, medmindre
forbrugeren har handlet svigagtigt eller groft uagtsomt. I så fald må forbrugeren
selv hæfte for hele eller en del af beløbet. Vurderingen af grov uagtsomhed er
ikke ens i EU-landene.
Betalingstjenesteudbyderen forpligtes som noget nyt også til at lave uddannel-
sesprogrammer om svindel og tendenser for svindel for deres ansatte, her-
under fx nye metoder til at foretage svindel, samt oplysningskampagner til
forbrugerne for at forhindre svindel. Det er samtidig nyt, at forslaget lægger op
til at indføre konkret lovhjemmel til, at betalingstjenesteudbydere kan foretage
dataudveksling om svindel med hinanden. Forslaget lægger op til, at dette
omfatter kundernes IBAN-numre (internationalt kontonummer) i forbindelse
med overvågning af transaktioner med henblik på, at udbyderne kan samar-
bejde om at bekæmpe svindel. For at kunne dele data med hinanden, skal ud-
byderne deltage i frivillige datadelingsordninger, der fastsætter rammerne for
udvekslingen.
Samtidig indføres der som noget nyt forpligtelser til udbydere af elektro-
niske kommunikationsnet, typisk teleselskaber, om at de skal samarbejde
med betalingstjenesteudbydere (ikke nærmere specificeret hvordan) om at fo-
rebygge spoofing. I tilfældet med elektroniske kommunikationsnet vil spoofing
typisk være kendetegnet ved, at svindleren får det til at fremstå som om, at
svindleren ringer fra betalingstjenesteudbyderens (fx bankens) telefonnummer.
Svindlerne overbeviser herved typisk kunderne om at give deres personlige op-
lysninger, hvorefter svindlerne kan foretage overførsler fra kundernes bank-
konti. Banken kan i disse tilfælde ikke se, at det ikke er kunden selv, der foreta-
ger overførslerne. Denne form for spoofing er mulig, da teleselskaber kan ændre
opkaldsnumre og afsenderID i et særligt signalsystem, og hvis en svindler får
adgang til dette, kan svindleren således manipulere med afsenderID’er.
Forslaget medfører også en ændring af reglerne om SCA (stærk kundeau-
tentifikation). Der er i dag krav om at anvende stærk kundeautentifikation i
visse situationer (bl.a. online-handel), hvilket indebærer, at der skal to faktorer2
til at godkende en elektronisk betaling. Det kan fx være et password (noget man
ved) og en smartphone (noget man har), hvilket er tilfældet, når en betaling
godkendes med MitID. Med forslaget forpligtes udbydere af betalingstjenester
til yderligere at gøre SCA tilgængeligt via andet end en smartphone, da SCA-
2 Der findes tre kategorier af faktorer, hvor udbyderen skal vælge to af disse i kombination. De tre
kategorier er 1) viden (noget kun brugeren ved, fx et password), 2) besiddelse (noget kun brugeren
har (fx en smartphone eller kodegenerator), og 3) iboende egenskab (noget kun brugeren er, fx et
fingeraftryk eller anden biometri).
Side 7 af 12
løsninger i dag ofte forudsætter brug af en smartphone. Det kan fx være ved en
SMS-kode i samspil med et fast kodeord. Justeringerne skal ses i lyset af, at
nogle befolkningsgrupper – særligt ældre – fx ikke anvender smartphones.
2) Innovation
Open Banking blev indført med PSD2 og indebærer, at primært pengeinstitutter
skal udvikle en applikationsprogrammeringsgrænseflade (API), hvorigennem
tredjeparter efter anmodning fra kunden selv fx kan indhente betalingsoplys-
ninger fra brugernes online betalingskonti. Disse API’er bruges bl.a. af udbydere
af kontooplysningstjenester til at indsamle kontooplysninger fra online beta-
lingskonti på vegne af og med samtykke fra forbrugeren for at sammenstille
disse på en struktureret måde for forbrugeren (fx til et budget). Der indføres
med forslaget nye minimumskrav til API’erne i form af krav til ydeevne og
funktionalitet, fordi Kommissionen vurderer, at der bl.a. er en række tekniske
udfordringer med de API’er, der allerede er udviklet. Det kan forhindre tredje-
parterne i at udvikle og udbyde deres tjenester til brugerne.
3) Ensarte implementering og håndhævelse af reglerne i EU-landene
Tilladelseskravene til at opnå tilladelse som betalingsinstitut skærpes ved at
indføre et nyt krav om afviklingsplan ved konkurs og ved, at kapitalkravet juste-
res som følge af inflationen (og dermed bliver højere). Virksomheder med eksi-
sterende tilladelse skal indsende en genansøgning efter PSD3's ikrafttrædelse.
Der indføres samtidig nyt registreringskrav for udbydere af kontanthæv-
ningsautomater, mens det nuværende tilladelseskrav for udbydere af kontoop-
lysningstjenester ændres til et registreringskrav. Det foreslås endvidere at ind-
føre mulighed for, at butikker kan tilbyde kontanthævninger på op til 50
EUR uden et køb, uden at det kræver tilladelse. I dag er butikker som ud-
gangspunkt alene undtaget fra kravet om tilladelse i det omfang, at de tilbyder
kontanthævninger ”over beløbet” i forbindelse med køb af varer eller tjenester.
Den Europæiske Banktilsynsmyndighed (EBA) tildeles beføjelser til at inter-
venere over for produkter, der vurderes at være uhensigtsmæssige. Det gi-
ver EBA mulighed for, på baggrund af nogle kriterier, midlertidigt at forbyde
salg af bestemte betalingstjenesteprodukter, som kan medføre særlige risici. Det
er fx tilfældet, hvis en betalingstjeneste udsætter et betydeligt antal betalings-
tjenestebrugere for risici (præciseres i delegeret retsakt fra Kommissionen) eller
udgør en trussel mod betalings- eller e-pengemarkedernes ordentlige funktion
og stabilitet. EBA har ikke i dag disse beføjelser på betalingsområdet.
Side 8 af 12
4) Styrke konkurrencen
Betalingsinstitutter får adgang til betalingssystemer (systemer der un-
derstøtter betalingsformidling) for at sikre lige vilkår mellem betalings- og pen-
geinstitutter. I dag er det kun pengeinstitutter (fx Danske Bank)3, der har di-
rekte adgang til betalingssystemer. Betalingsinstitutter (fx Clearhaus) er i dag
afhængige af pengeinstitutter, fordi de skal bruge en konto hos dem for at få
adgang til betalingssystemer. For at sikre lige vilkår mellem betalingsinstitutter
og pengeinstitutter foreslås det at give betalingsinstitutter direkte adgang til be-
talingssystemer, så de ikke længere er afhængige af pengeinstitutter. Reglerne
om betalingsinstitutters ret til en betalingskonto uddybes også, herunder hvor-
når et pengeinstitut kan afvise at oprette sådan en konto.
Tilsyn med reglerne
Finanstilsynet, Konkurrence- og Forbrugerstyrelsen og Forbrugerombudsman-
den er udpeget som nationale kompetente myndigheder i Danmark på beta-
lingstjenesteområdet og fører i dag i fællesskab tilsyn med området. Kommissi-
onen foreslår, at EU-landene skal indføre regler om administrative sanktioner
og foranstaltninger, men foreslår samtidig, at de kompetente myndigheder kan
pålægge strafferetlige sanktioner som alternativ. Det er endnu uklart, om for-
slaget indebærer, at Danmark forpligtes til at indføre administrative bøder.
4. Europa-Parlamentets holdning
Europa-Parlamentet er medlovgiver på forslagene. Europa-Parlamentet har
endnu ikke fastlagt sin holdning til Kommissionens forslag.
5. Nærhedsprincippet
Kommissionen anfører, at yderligere integrering af et indre marked for beta-
lingstjenester ikke i tilstrækkelig grad kan opfyldes af EU-landene, hvis de
handler uafhængigt af hinanden, da det kræver harmonisering af EU-landenes
forskellige regelsæt, som bedst kan opnås på EU-niveau.
Retten til at udbyde betalingstjenester og den fri etableringsret benyttes i vid
udstrækning af betalingstjenesteudbydere. Derfor er det ifølge Kommissionen
nødvendigt at sikre en øget grad af harmoniseret regulering og lige konkurren-
cevilkår på det indre marked, hvilket forudsætter EU-regulering. Kommissio-
nen anfører, at forslagene ikke går videre end, hvad der er nødvendigt for at
opnå målet.
Regeringen vurderer, at det er væsentligt at sikre lige konkurrencevilkår og et
højt niveau af forbrugerbeskyttelse på tværs af EU. Regeringen vurderer på den
baggrund, at forslagene er i overensstemmelse med nærhedsprincippet.
3 Det er tidligere besluttet, at foretage tilsvarende ændringer i PSD2 som følge af vedtagelse af
forordningen om straksbetalinger. Disse er ikke endeligt vedtaget. Forslaget til PSR vil så ændre
og uddybe disse regler igen.
Side 9 af 12
6. Gældende dansk ret og lovgivningsmæssige konsekvenser
Det gældende PSD2 samt det gældende EMD2 er i Danmark gennemført ved lov
om betalinger med tilhørende bekendtgørelser.
PSR vil have direkte retsvirkning i Danmark, mens PSD3 skal gennemføres i
dansk ret. Gennemførslen af PSD3 vil derfor medføre behov for at ændre den
gældende lov om betalinger samt de tilhørende bekendtgørelser i overensstem-
melse med direktivet.
I Danmark er der en række nationale regler om bl.a. beskyttelsen af forbruger-
nes betalingsoplysninger (fx må betalingsoplysninger ikke anvendes af er-
hvervsdrivende til individuel prisfastsættelse eller markedsføring) og indsigel-
sesmuligheder i forbindelse med fjernsalg (tilbagebetaling, hvis en vare aldrig
kommer frem), som stiller danskerne bedre i forhold til forbrugerbeskyttelsen i
Kommissionens forslag. Derudover hæfter forbrugeren i Danmark i nogle til-
fælde af svindel maksimalt for 8.000 kr., hvis forbrugeren har handlet svigagtigt
eller groft uagtsomt. De nye forslag til PSR og PSD3 vil kunne få betydning for
gældende danske regler. Kommissionens forslag giver imidlertid mulighed for,
at EU-landene på nogle områder kan opretholde nationale regler, der stiller for-
brugerne bedre. Det skal på denne baggrund vurderes, om de danske regler kan
videreføres inden for disse rammer og i overensstemmelse med databeskyttel-
sesforordningen (GDPR) fsva. reglerne om beskyttelse af forbrugernes beta-
lingsoplysninger.
7. Økonomiske konsekvenser
Forslagene vurderes at medføre væsentlige statsfinansielle og erhvervsøkono-
miske konsekvenser.
Statsfinansielle konsekvenser
Der forventes statsfinansielle konsekvenser for over 0,5 mio. kr. årligt i 2027-
2028 svarende til 1-2 årsværk i Finanstilsynet. Halvdelen af disse merudgifter
forventes at være varige efter 2028. Finanstilsynet, der er 100 pct. afgiftsfinan-
sieret, forventes at afholde udgifterne inden for det eksisterende afgiftsniveau.
Konkurrence- og Forbrugerstyrelsen og Forbrugerombudsmanden forventer
ikke, at forslagene vil medføre mærkbare merudgifter.
Erhvervsøkonomiske konsekvenser
Baseret på Kommissionens konsekvensanalyse skønnes forslagene at medføre
løbende erhvervsøkonomiske omkostninger på over ca. 193,3 mio. kr. årligt og
over ca. 42,6 mio. kr. i omstillingsomkostninger. Disse følger bl.a. af virksom-
hedernes omkostninger forbundet med at udvikle og vedligeholde it-løsninger
Side 10 af 12
til fx en løsning til IBAN-verifikation. Hertil vil danske pengeinstitutter sidelø-
bende have udgifter til efterlevelse af tre andre lovgivningsforslag4 fra Kommis-
sionen, der alle stiller krav til compliance og udvikling af it-infrastruktur, hvilket
betyder, at institutterne kan opleve flaskehalse og ressourceudfordringer ved en
omkostningstung implementering.
Det vurderes, at Kommissionens estimater er et underkantsskøn, da mulighe-
den for genbrug af eksisterende IT-infrastruktur ifølge sektoren overvurderes,
og implementeringsomkostninger for mindre virksomheder ikke indgår. Sam-
tidig er de økonomiske konsekvenser ved fx øget kapitalkrav og administrative
omkostninger for udbydere af betalingssystemer ikke kvantificeret, når de fx
skal behandle ansøgninger fra betalingstjenesteudbydere.
Samfundsøkonomiske konsekvenser
Kommissionen forventer, at forslagene har positive afledte samfundsøkonomi-
ske konsekvenser som følge af øget tillid til betalingstjenesteudbydere, innova-
tion og konkurrence. Forslaget vurderes ikke at have direkte økonomiske kon-
sekvenser for forbrugerne eller detailhandlen, men dette er ikke nærmere kvan-
tificeret. Det bemærkes, at der ikke er foretaget en vurdering af de samfunds-
økonomiske konsekvenser i Danmark, hvor omkostningerne, herunder de er-
hvervsøkonomiske omkostninger, vejes op mod fordelene.
8. Høring
Forslaget har været i ekstern høring i EU-Specialudvalget for den finansielle
sektor med frist for bemærkninger den 18. august 2023.
Der kom i den forbindelse høringssvar fra Finans Danmark (FiDa), Vipps Mo-
bilepay, Dansk Erhverv (DE), Forbrugerrådet Tænk, Dansk Fintech Alliance
(DAFINA) og Danmarks Nationalbank (Nationalbanken). De er overordnet po-
sitive over for forslaget, men udtrykker bl.a. bekymring for balancen mellem
omkostninger og gevinster for de tekniske løsninger, der skal udvikles.
DAFINA støtter overordnet Kommissionens forslag og herunder, at forslagene
er baseret på de regulatoriske principper om teknologineutralitet, om lige kon-
kurrencevilkår mellem forskellige tjenesteydelser og om samme aktiviteter,
samme regulering, hvorfor DAFINA heller ikke ønsker, at der skal være dansk
overimplementering eller særlovgivning. Derudover finder DAFINA det vigtigt,
at der sikres en gnidningsfri overgang til den kommende regulering, så virksom-
heder ikke skal genansøge om tilladelser, som de allerede har under den eksi-
sterende regulering.
Finans Danmark og Vipps MobilePay har udtrykt bekymring om, at de foreslå-
ede hæftelsesregler (at det gøres eksplicit at betalingstjenesteudbyderne hæfter
helt eller delvist ved spoofing) vil føre til mindre agtpågivende forbrugere og en
4 Forordningen om et rammeværk for finansiel datadeling (FIDA), forordning om straksbetalin-
ger (IPR) og forordning om en digital euro.
Side 11 af 12
medfølgende stigning i svindel. FiDa ser derfor gerne mere klare regler for af-
grænsning og præcisering af svindel. Omvendt ser Forbrugerrådet Tænk posi-
tivt på de foreslåede hæftelsesregler.
DE vurderer, at elementer forsat kan behandles nærmere, fx tredjeparters ad-
gang til brugerdata. Forbrugerrådet Tænk er samtidig bekymret for, at e-wallets
(fx Apple Pay) ikke er omfattet af forslaget. Det bemærkes, at de dog er omfattet
af forslaget i det omfang, at en betalingstjenesteudbyder har outsourcet udfø-
relsen af SCA til dem. Dette vurderes at give et væsentligt bidrag til forbruger-
beskyttelsen.
FiDa efterspørger samtidig at ikke-finansielle aktører, som udbyder elektroni-
ske kommunikationstjenester, får deres ansvar for sikkerhed og svindel ekspli-
citeret og generelt bliver stærkere omfattet. Det bemærkes, at EU-landene i Rå-
det drøfter muligheden for at indføre en bestemmelse herom.
Forbrugerrådet Tænk ser derudover gerne, at datadeling omkring svindel bliver
obligatorisk frem for frivillig, og at Open Banking generelt ikke sker på bekost-
ning af forbrugerbeskyttelsen, men at brugernes data og sikkerhedsoplysninger
beskyttes. Brugernes betalingsoplysninger må ikke bruges til at personaliserede
tilbud, og der skal være forbud mod at behandle følsomme personoplysninger
efter GDPR ifm. Open Banking.
9. Generelle forventninger til andre landes holdninger
Der vurderes blandt EU-landene generelt at være opbakning til de dele af for-
slaget, der er væsentlige for Danmark. En række lande har dog udtrykt mod-
stand imod visse ændringer af reglerne for stærk kundeautentifikation (SCA).
Flere lande er endvidere positive overfor, at der indføres et loft for kontantbelø-
bet, forbrugere kan hæve i detailhandlen, uden virksomheden skal indhente til-
ladelse hertil, mens andre lande er imod et loft eller mener, at loftet bør være
højere end de 50 euro, der lægges op til i forslaget. Fra andre sager på det finan-
sielle område er det ikke erfaringen, at andre EU-lande har særlige holdninger
til, hvorvidt tilsynsmyndigheder skal kunne opkræve administrative bøder eller
i stedet har mulighed for at vælge en strafferets-option.5
10. Regeringens generelle holdning
Regeringen vurderes generelt at kunne støtte forslaget og formålene som be-
skrevet.
Administrative bøder giver anledning til forfatningsmæssige betænkeligheder i
forhold til grundlovens § 3 om magtens tredeling. Hvis forslaget lægger op til at
5 Det fremhæves, at Kommissionen tidligere i en række andre lovgivningsforslag på det finansielle
område har foreslået at indføre krav til, at tilsynsmyndigheder kan opkræve administrative bøder.
Danmark er dog aldrig blevet bundet af dette krav, da Kommissionen altid har indført andre al-
ternativer til tilsynsmyndighedernes håndhævelsesbeføjelser.
Side 12 af 12
indføre administrative bøder, vurderer regeringen derfor, at det er afgørende,
at Danmark ikke forpligtes til at indføre dette.
Regeringen vurderer, at danske myndigheder og virksomheder har relativt gode
forudsætninger for at implementere forslagene, som vurderes at skabe mer-
værdi ved at styrke forbrugerbeskyttelsen fx i forhold til digital svindel. Der er
imidlertid betydelige omkostninger forbundet med forslagene. Forslagene spe-
cificerer ikke, hvordan kravene til nye it-løsninger skal udmøntes i praksis, eller
hvordan udviklingen skal drives af sektoren. De foreslåede implementeringsfri-
ster vurderes endvidere ikke at være realistiske henset til erfaringer med imple-
menteringen af PSD2. Regeringen finder det derfor vigtigt, at belastningen på
de omfattede virksomheder reduceres ved, at tiltagene i videst muligt bygger på
eksisterende løsninger, samt at virksomheder og myndigheder har tid til at til-
passe sig de nye regler.
Regeringen støtter at styrke rammerne for bekæmpelse af svindel. Regeringen
finder det dog væsentligt, at dette sker ved brug af klare, teknologineutrale og
proportionale regler for at sikre, at omkostningerne holdes nede, samt at virk-
somhederne selv kan finde gode løsninger. Yderligere skal tiltag ses i sammen-
hæng med anden relevant EU-lovgivning, fx den kommende forordning om
fastlæggelse af den fælles ramme for en digital identitet, der introducerer en eu-
ropæisk digital identitetstegnebog, der kan anvendes til identifikation og auten-
tifikation ved udveksling af data om svindel.
Regeringen finder det vigtigt, at Danmark kan opretholde danske regler, som
stiller danskere bedre i forhold til forbrugerbeskyttelsen i Kommissionens for-
slag, så længe de er forenelige med GDPR. Samtidig er det væsentligt at forslaget
tager hensyn til velfungerende nationale betalingsløsninger og eksisterende di-
gitale infrastrukturløsninger som fx Dankortet og Danmarks investeringer i Mi-
tID.
Regeringen vurderer ikke, at forslaget vedr. et loft for kontanthævninger øger
forbrugerbeskyttelsen. Regeringen vil derfor arbejde for, at loftet fjernes eller,
hvis dette ikke er muligt, hæves markant, så det vil være op til den enkelte butik,
i hvilket omfang den vil tilbyde kontanthævning.
Regeringen finder det endeligt vigtigt, at betalingsinfrastruktur omfattes af bin-
dende regler for styring af cyberrisici ved en ændringsbestemmelse i PSR, jf.
revisionsklausulen i DORA-forordningen (Digital Operational Resilience Act).
Dette vurderes hensigtsmæssigt, da betalingsinfrastrukturen er den største en-
keltstående kilde til cyberrisici i den europæiske finansielle sektor.
11. Tidligere forelæggelser for Folketingets Europaudvalg
Grund- og nærhedsnotat om forslaget er oversendt til Folketingets Europaud-
valg 28. september 2023.