28 января 2021 г. Управление финансового надзора (FCA) опубликовало консультационный документ (CP21/3), в котором предлагались различные изменения в регулировании платежных услуг в Великобритании. Большинство предлагаемых изменений относятся к разъяснению или расширению существующего руководства FCA, содержащегося в документе «Платежные услуги и электронные деньги – наш подход» (Документ о подходе). Также предлагаются изменения основных нормативных требований.
Консультации по изменениям в регулировании рынка платежных услуг в Великобритании, а именно в отношении предлагаемых изменений лимитов бесконтактных платежей были завершены 24 февраля 2021 г. По всем остальным аспектам консультации завершились 30 апреля 2021 г. В этой статье обсуждаются ключевые предложения и их потенциальные последствия.
Стандарты аутентификации клиентов/Общие и безопасные методы связи (SCA-RTS)
Требования регулирования платежных услуг в Великобритании, которые содержаться в делегированном Комиссией Регламенте (ЕС) 2018/389 «О нормативных технических стандартах для надежной аутентификации клиентов, общих и безопасных открытых стандартов связи (EU RTS)», введены (вслед за Brexit) в законодательную базу Соединенного Королевства посредством SCA-RTS.
EU RTS – это основное вторичное законодательство ЕС, дополняющее Директиву о платежных услугах (ЕС) 2015/2366. SCA-RTS по сути совпадает с EU RTS с некоторыми незначительными поправками (например, определенные денежные пороги в евро были изменены на их эквивалентные суммы в фунтах стерлингов).
Статья 11 SCA-RTS в настоящее время предусматривает освобождение от необходимости применять строгую аутентификацию клиента (SCA) к определенным бесконтактным платежам. Таким образом, соблюдение положений SCA о бесконтактных платежах не применяется в обязательном порядке к фирмам, если:
- отдельная транзакция не превышает 452 GBP;
- совокупная сумма предыдущих транзакций не превышает 1303 GBP или количество последовательных транзакций с момента последней операции.
FCA предлагает увеличить два лимита: с 45 до 100 GBP и со 130 до 200 GBP. Хотя лимиты повышаются, у фирм нет нормативных обязательств по увеличению лимита для отдельных транзакций, который в настоящее время установлен на уровне 45 GBP в соответствии с текущим нормативным лимитом. Тем не менее FCA обосновывает предлагаемое увеличение «для поддержки потребителей и продавцов во время кризиса Covid» и устранения предполагаемого «вреда» потребителей, которые вынуждены тратить больше времени на аутентификацию, что сопряжено с высоким риском во время пандемии. FCA будет ожидать, что предоставление платежных услуг в отрасли будет характеризоваться повышенным лимитом индивидуальных бесконтактных платежей, и тем самым это позволит избежать прямых контактов между потребителями и продавцами в условиях продолжающейся пандемии.
Услуги платежных систем в контексте изменений: 90-дневная повторная аутентификация
Статья 10 SCA-RTS в настоящее время освобождает организации оказывающие платежные услуги от необходимости применять SCA, когда клиент просто получает доступ к своему счету для просмотра ограниченной информации (например, баланса счета). Однако фирма должна соблюдать положения SCA при первом доступе клиента к счету и не реже, чем каждые 90 дней после этого.
Это требование 90-дневной повторной аутентификации применяется как тогда, когда клиенты получают доступ к своему счету напрямую, так и когда поставщик службы информации об учетной записи (AISP), действующий от имени клиентов, получает доступ к счету.
Отмечая, что это требование оказалось обременительным для AISP, FCA предлагает добавить новую статью 10A, которая удалит 90-дневное требование и будет применяться, когда клиент использует AISP для косвенного доступа к своим счетам. Текущая статья 10 (и требование 90 дней) будет сохранена, но применима только к тем случаям, когда клиенты получают прямой доступ к своим счетам.
Это изменение должно стать приятной новостью для лиц, желающих зарегистрировать финтех-компанию в Великобритании и тех финтех-фирм, которые уже существуют, поскольку это будет способствовать дальнейшему развитию инициативы открытого банкинга.
В настоящее время, в соответствии со статьей 36 (5) SCA-RTS, если клиент не присутствует в онлайн-сеансах, AISP может в рамках регулирования платежных услуг в Британии самостоятельно получить доступ к счету клиента не более четырех раз в течение 24 часов. Для этого поставщику необходимо согласовывать с фирмой, владеющей счетом, получение доступа в каждом конкретном случае (то есть с согласия клиента). FCA предлагает добавить новое требование, согласно которому AISP должен подтверждать такое согласие клиента каждые 90 дней.
Рынок платежных услуг в Великобритании и открытый банкинг
В соответствии с текущими требованиями открытого банкинга в Великобритании фирмы, владеющие счетами, должны предоставить определенным уполномоченным фирмам (например, AISP) доступ к конкретным платежным счетам клиентов.
Статья 31 SCA-RTS предусматривает, что фирма, владеющая счетом, может предоставлять такой доступ либо путем создания специального интерфейса (обычно API), либо через свой интерфейс для работы с клиентами (например, портал онлайн-банкинга), который был соответствующим образом изменен для соответствия с определенными требованиями.
FCA предлагает изменить Статью 31 таким образом, чтобы определенные фирмы, владеющие счетами, создавали специальный интерфейс (например, API) для определенных типов счетов (по сути, текущих счетов и счетов кредитных карт для потребителей или МСП). Но в случае небольших платежных учреждений, фирм ЕЭЗ или при получении лицензии EMI для малых платежных учреждений, подпадающих под Режим временных разрешений, это требование не распространяется.
Девять крупнейших банков Великобритании уже должны установить интерфейс API, поэтому влияние на них будет минимальным. Типы счетов, определенные в этом новом требовании, имеют широкий диапазон. Кроме того, в то время как небольшие платежные учреждения и малые EMI выходят за рамки, многие уполномоченные платежные учреждения и уполномоченные учреждения электронных денег являются более крупными. Следовательно, влияние нового режима регулирования платежных услуг в Великобритании на них может быть значительным.
FCA заявляет, что готово предоставить фирмам 18-месячный период реализации. Принимая во внимание различные типы «уполномоченных платежных организаций» и «уполномоченных организаций, занимающихся электронными деньгами», одним из возможных практических решений может быть установление некоторых пороговых значений для тех, на кого распространяется действие этого правила.
Согласование изменений в Документе о подходе
Практически все предлагаемые изменения в Документе о подходе к платежным услугам в Великобритании предназначены для согласования руководства FCA с интерпретацией, содержащейся в различных материалах ЕС, таких как вопросы и ответы, мнения, выпущенные Европейским банковским управлением (EBA). Некоторые изменения означают отход от текущих позиций FCA.
Один пример относится к SCA. Фирмы должны SCA, используя два фактора из трех указанных категорий:
- знание (то, что известно только покупателю, например, пароль);
- владение (то, что принадлежит только покупателю, например, генератор токенов);
- наследственность (что-то присущее заказчику, по сути, биометрия).
Текущее руководство FCA в Документе о подходе заключается в том, что статические данные карты (то есть информация, напечатанная на карте) не может использоваться в качестве фактора знания, но может быть «использована в качестве доказательства владения картой». Однако EBA считает, что статические данные карты не могут использоваться как фактор знаний или как фактор владения. FCA намеревается согласиться с точкой зрения EBA.
Поскольку статические данные карты не могут считаться «принадлежностью», это означает, что они не могут быть использованы для целей SCA. Следовательно, если изменение будет реализовано, то при регистрации компании в Великобритании необходимо будет придерживаться новых требований аутентификации, а существующим британским фирмам может потребоваться обновить свои процессы аутентификации.
В июле 2020 г. FCA предоставило временное руководство по обеспечению безопасности в контексте решения определенных вопросов, касающихся регулирования платежных учреждений в Великобритании, возникших в связи с пандемией COVID-19. Теперь FCA предлагает сделать временное руководство постоянным и объединить его в Документе о подходе. Это означает, что некоторые из вопросов, обсуждавшихся в ходе консультаций по руководству от июля 2020 г., будут перенесены в Документ о подходе. Например, FCA в руководстве от июля 2020 г. придерживалось мнения, что средства клиентов принадлежат платежным фирмам. Концепция траста может работать в контексте платежных организаций. Однако трастовые структуры для учреждений, занимающихся электронными деньгами, нерентабельны.
Кроме того, FCA внесло незначительные изменения в некоторые формулировки в процессе консолидации. Например, FCA уточнило во временном руководстве от июля 2020 г., что оно поощряет «небольшие платежные учреждения» (которые по закону не обязаны обеспечивать защиту) рассмотреть возможность добровольной защиты.
Заключение
Сейчас количество нормативных изменений и отраслевых инициатив в области платежей в UK постоянно растет. Изменения в регулировании платежных услуг и электронных денег в Великобритании, в первую очередь разъясняют уже имеющееся руководство. Они расширяют текущее руководство, например, предоставив дополнительные примеры и проиллюстрировав некоторые практические трудности. Если вы хотите узнать больше по теме статьи, свяжитесь с командой специалистов IncFine. Мы проводим консультации и оказываем сопровождение в регистрации компаний в Великобритании.