با توسعه تکنولوژی، نیازهای جدیدی در زمینه پرداختها در اروپا شکل گرفت که توجه سیاستگذاران را به خود جلب کرد. این امر موجب شد تا آنها دست به ایجاد چارچوبی حقوقی برای نوآوریهای جدید این حوزه بزنند تا هم به رسمیت بشناسندشان، هم استانداردهایی برای فعالیت آنها تعریف کنند و هم از چالشهای حقوقی جدیدی که میتوانند ایجاد شوند، جلوگیری نمایند. در نتیجه، این قانون در سال 2015 توسط پارلمان اروپا تصویب و در 2018 اجرایی شد.
قانون PSD2، اهداف متعددی را دنبال میکند: اول از همه، بهبود کارایی در بازار پرداخت و حفظ رقابت در آن است. هدف دیگرش، پذیرش و به رسمیت شناختن نوآوریهای جدید این بازار و به تبع آن، تعریف بازیگران جدید این حوزه. اما در کنار این دو هدف، این قانون به دنبال آن است که ارائه استانداردهای جدید به انجام پرداختها سرعت بخشیده و آنها ایمنتر نیز نماید. و البته هدف مهم دیگرش، که ناشی از نگرانی مهم در زمینه حریم خصوصی است، حفاظت از دادههای کاربران میباشد؛ گسترش استفاده از اینترنت و ثبت دادههای کاربران در این فضا، این نگرانی را ایجاد کرده است که این دادهها چگونه، به دست چه کسی و برای چه هدفی پردازش میشوند، که این قانون تلاش کرده تا این نگرانی را تا حد زیادی کاهش دهد.
بهعلاوه، از جمله نتایج دیگر این قانون در اتحادیه اروپا، که چارچوبها و استانداردهای تعریف شده در آن نقش مهمی در وقوع آن دارند، جهشی بزرگ در زمینه بانکداری باز میباشد؛ PSD2 را نباید صرفا قانونی برای بانکداری باز دانست، بلکه بر کل پرداختهای الکترونیکی در اتحادیه اروپا تاثیر گذاشته است، با این حال، نقش مهمش در این حوزه قابل انکار نیست.
PSD2 چیست؟
«دستورالعمل خدمات پرداخت 2» یا همان Payment Services Directive 2 (PSD2) در نوامبر 2015 تصویب و در 13 ژانویه 2018 در اتحادیه اروپا اجرایی شد که در واقع، جایگزین نسخه قبلی آن، یعنی PSD، گردید. بهطور کلی، هدف اصلی آن، تنظیم چارچوبی قانونی برای خدمات پرداختهای الکترونیکی و هماهنگ کردن عملیاتهای سرویسهای پرداخت در منطقه اقتصادی اروپا یا همان EEA (European Economic Area) است تا موجب تقویت نوآوری، رقابت و امنیت در این حوزه شود.
نتایج این قانون، توسعه نوآوری، افزایش فضای رقابت در حوزه پرداخت، توسعه امنیت سایبری در این حوزه و البته حذف انحصار بانکها در دسترسی و استفاده از دادههای مشتریان آنها بود که موجب شد تا امکان بهرهمندی از این دادهها توسط سایر کسبوکارها، با اجازه خود مشتریان نیز فراهم گردد. PSD2، برای این منظور به ارائه مقررات استانداردهای فنی (regulatory technical standards)، احراز هویت سختگیرانه مشتری (Strong Customer Authentication)، استانداردهایی برای ارتباطات ایمن و باز میان بانکها و استارتاپها و همچنین دستورالعملهایی برای گزارشها و اقدامات امنیتی پرداخته است.
بهعلاوه، این قانون با اجبار بانکها به عرضه دادهها از طریق API هایی امن، حالا دیگر افراد حق دارند اجازه دسترسی به دادههایشان را به هر ارائهدهنده ثالثی (Third Party Provider یا به اختصار TPP) که دارای مجوز است و مایل هستند، بدهند.
بهعلاوه، قابل ذکر است که گرچه بیان شده این قانون در محدوده جغرافیایی EEA لازم به اجراست، اما برای دقت بیشتر، نیاز است تا به یک نکته در این زمینه توجه شود و آن اینکه اجرای این قانون حتی میتواند تحت شرایطی در کشورهای خارج محدوده EEA نیز لازمالاجرا شود. قبلا در PSD، اینگونه بود که اگر در یک پرداخت تحت این قانون، دریافتکننده و پرداختکننده هردو در EEA بودند، این قانون الزامی میشد. ولی در PSD2 این محدوده جغرافیایی گستردهتر شد؛ به این معنا که طبق PSD2 کافی است تا صرفا یکی از طرفین در این محدوده جغرافیایی حضور داشته باشد، در اینصورت ارائهدهنده سرویس موظف به رعایت این قانون میشود.
تاریخچهای کوتاه از تصویب PSD2
اولین دستورالعمل خدمات پرداخت (PSD) که در سال 2007 به تصویب رسید که یک چارچوب قانونی برای ایجاد بازاری یکپارچه در حوزه پرداخت در EEA ایجاد کرد. با این حال، تحولات و نیازهای جدید در این بازار، موجب آن شدند که PSD2 مطرح شود که ضمن ارائه استانداردهای جدید برای حفاظت از دادهها و توسعه امنیت، بتواند چارچوبی را برای به رسمیت شناختن نوآوریها، توسعه رقابت و اعتماد مشتریان به پرداختهای آنلاین ارائه نماید. همچنین، PSD بهطور خاص به بانکداری باز نپرداخته بود و در آن زمان، بانکها هنوز قانونا موظف به ارائه API ها نبودند، که این امر در PSD2 رخ میدهد.
بهطور کلی، در اتحادیه اروپا چندین نوع قانون میتوانند تصویب شوند و همانطور که از نام PSD مشخص است، این قانون از جنس «دستورالعمل» (Directive) میباشد که در آنها اهدافی تعیین میشوند که همه کشورهای اتحادیه اروپا موظف هستند به آنها دست یابند.
روند تصویب یک قانون در اتحادیه اروپا به اینصورت است که ابتدا باید پروپوزال آن توسط کمیسیون اروپا (European Commission) ارائه شود، سپس در پارلمان اروپا به بررسی آن میپردازند و میتوانند آن را رد یا پذیرش (Adoption) نمایند. نهایتا دستورالعملها باید به کشورهای عضو عرضه شوند تا آنها قوانینی ملی برای آن تصویب کنند.
به دلیل توسعه تکنولوژی و ظهور نیازهای جدید در بازار پرداخت در اتحادیه اروپا، و همچنین مقابله با چالشهای امنیت سایبری در پرداختهای الکترونیکی، بر روی پروپوزال PSD2 کار شد و در سال 2013 منتشر گردید. این پروپوزال در 8 اکتبر 2015 مورد پذیرش پارلمان اروپا قرار گرفت و کشورهای عضو تا 13 ژانویه 2018 فرصت داشتند که آن را به قوانین ملی خود بیافزایند.
ویژگیهای اساسی PSD2
همانطور که اشاره کردیم، PSD2 در توسعه صنعت پرداخت و اکوسیستم بانکداری باز بسیار موثر بوده است، که این امر به دلیل وجود برخی ویژگیهای خاصی است که این قانون دارد. این ویژگیها از تنظیم روابط بین ذینفعان و طرفین پرداخت گرفته تا الزامات امنیتی پرداختها را شامل میشوند، که موجب افزایش اعتماد کاربران به خریدهای آنلاین شده است.
ارائهدهندگان ثالث و ارائهدهندگان خدمات نگهداری حسابهای پرداخت؛ بازیگران جدید و قدیم حوزه پرداخت
PSD2 برای آنکه بتواند از نوآوریهای جدید در بازار پرداخت پشتیبانی کرده و فضای رقابتی را در این بازار گسترش دهد، به تعریف بازیگران جدیدی، از جنس استارتاپهای فینتکی، پرداخته که به ارائهدهندگان ثالث (Third Party Provider یا به اختصار TPP) شناخته میشوند. این به رسمیت شناختن بازیگران جدید، یکی از عوامل مهمی است که موجب توسعه بانکداری باز بهواسطه این قانون شده است. بهطور کلی، این ارائهدهندگان ثالث در PSD2 به دو دسته تقسیم میشوند:
- ارائهدهندگان خدمات اطلاعات حساب (account information service providers) یا AISPs : استارتاپهایی که اطلاعات حسابهای بانکی کاربران را دریافت کرده و به کاربر نشان میدهند تا او بتواند دیدی کلی از حسابهای بانکی خود، موجودی آنها، هزینه و درآمد و… داشته باشد.
- ارائهدهندگان خدمات شروع پرداخت (payment initiation services providers) یا PISPs : استارتاپهایی که امکان پرداخت آنلاین و انتقال پول را تسهیل میکنند.
اما بازیگر دیگری که در این قانون به آن اشاره شده است، «ارائهدهندگان خدمات نگهداری حسابهای پرداخت» (account servicing payment service providers) یا ASPSPs هستند که شامل موسسات مالی نگهدارنده حساب کاربران، از جمله بانکها و عرضهکنندگان کارتهای اعتباری، میشوند.
ارائهدهندگان خدمات اطلاعات حساب (AISPs)
این ارائهدهندگان پس از کسب اجازه از کاربر، میتوانند به API های ASPSP مد نظر متصل شده، اطلاعات حساب کاربران را خوانده یا ذخیره کرده و خدماتی مبتنی بر مشاهده و یا تجزیه و تحلیل دادهها، مانند تراکنشها، موجودی حساب، پرداختهای ثابت (Standing orders) و پرداختهای مستقیم (direct debits) ارائه دهند، اما آنها اجازه انجام یک عملیات پرداخت را ندارند.
چنین سرویسهایی میتوانند با تجمیع دادههای کاربران، خدمات آنلاینی در زمینه ارائه گزارشات مالی به کاربر، ردیابی هزینهها، بودجهریزی، بررسی اعتبار مالی و توصیههای مالی مثلا در زمینه صرفهجویی و مدیریت هزینهها ارائه کنند. آنها میتوانند از تکنولوژیهایی دیگر، مانند یادگیری ماشین و هوش مصنوعی برای بهبود خدمات خود استفاده نمایند. برای مثال، استارتاپهایی که نرمافزارهای مدیریت مالی شخصی عرضه میکنند، در این دسته قرار میگیرند.
ارائهدهندگان خدمات شروع پرداخت
این دسته از ارائهدهندگان، برخلاف دسته قبلی، اجازه انجام پرداختها و انتقال وجه از یک حساب بانکی به حسابی دیگر را دارند. پیش از PSD2، چنین سرویسهایی نیز وجود داشت، اما این قانون با الزام بانکها به ارائه اطلاعات کاربران به ارائهدهندگان ثالث، عملا فضای این حوزه را رقابتیتر کرد و موجب افزایش تعداد بازیگران این حوزه شد.
این بازیگران جدید که به موجب این قانون پدید آمدهاند، در واقع نقش واسط میان موسسات مالی و کاربران را برعهده میگیرند، چرا که با اجازهای که از کاربر دارند، میتوانند دستور نقل و انتقال وجه را از طرف کاربر صادر نمایند. این سطح از دسترسی، امکان آن را فراهم کرده تا این ارائهدهندگان بتوانند در کنار خدمات انتقال وجه ساده، سرویسهای مختلفی دیگری نیز ارائه کنند. برای مثال، انجام پرداختهای دورهای (Recurring Payments) یکی از اینگونه سرویسها است که آن را در مقالهای به نام «بانکداری باز (Open Banking) چیست؟» توضیح دادهایم.
اما یک سرویس دیگر مرتبط با این ارائهدهندگان، پرداختهای دورهای انتقالی (Sweeping VRPs) است که به «پرداختهای خودم به خودم» (me-to-me payments) نیز شناخته میشوند؛ یعنی، چنین ارائهدهندهای، میتواند بر حسب قواعدی از پیش تعیینشدهای توسط خود سرویس و یا کاربر، به انتقال پول میان حسابهای یک کاربر بپردازد. برای مثال، وقتی کاربر بخواهد از یک حساب بانکی برای امورات روزمره استفاده کرده و حساب بانکی دیگر او سپردهای مدتدار برای دریافت سود باشد، برحسب سیاستها و استراتژیهایی تعیینشده، میشود به نقل و انتقال پول میان این دو حساب پرداخت.
مقررات استانداردهای فنی (Regulatory Technical Standards)
در PSD2، مقرر شده که همه ارائهدهندگان خدمات پرداخت (Payment Service Provider؛ یا به اختصار PSP)، میبایست مقررات استانداردهای فنی (RTS) را، که توسط «سازمان بانکداری اروپا» (European banking authority یا به اختصار EBA) باید تنظیم شوند، رعایت نمایند.
هدف از این استانداردها، افزایش امنیت و حفاظت از کاربران، در ضمن حفظ رقابت و تشویق نوآوری است. در آن مسائلی مانند چگونگی احراز هویت، اقدامات و چارچوبهای امنیتی لازم برای حفاظت از دادهها و امنیت پرداختها بیان شدهاند. در این مقررات، آورده شده که PSP ها باید در هنگام پردازش پرداختها و در کل، ارائه خدماتشان چه مواردی را رعایت کنند. بهعلاوه، درباره چگونگی انتقال اطلاعات میان طرفین از طریق API ها و استانداردهای لازم برای API ها نیز قواعدی بیان شده که بانکداری باز را ایمن و قابل اعتماد میکند.
استانداردهای ارتباط امن و باز
یکی از اهدافی که RTS دنبال میکند، تنظیم چارچوبها و استانداردهایی برای طراحی API ها توسط ASPSP ها و همچنین تاکید بر بهکارگیری استانداردهای بینالمللی و یا اروپایی پذیرفتهشده برای طراحی آنها میباشد. این امر نه صرفا بخاطر مسائل امنیتی که حتی به دلیل تسهیل همکاری میان آنها با TPP ها است. همچنین بیان شده که مستندات این API ها باید نوشته و بهطور عمومی منتشر شوند.
دسترسی به دادهها با اجازه کاربر
RTS صریحا تاکید کرده است که باید بهطور شفاف از کاربر برای دریافت اطلاعاتش اجازه گرفت و استارتاپی که قصد دریافت دادهها را دارد، صرفا حق دسترسی به بخشی از آنها را دارد که اجازهاش را از کاربر گرفته است. البته قابل ذکر است که قانونی دیگری در اتحادیه اروپا به نام GDPR وجود دارد که استارتاپهای فینتکی، میبایست در کنار مقررات RTS در زمینه دسترسی به دادهها و اجازه از کاربر، جزئیات حقوقی GDPR را نیز رعایت کنند. این قانون بهطور خاص درباره حفاظت از دادهها و مقرراتی در زمینه پردازش و جمعآوری آنها است و رعایتش الزامی میباشد.
در نتیجه، مطابق این قوانین، استارتاپها دیگر نمیتوانند مانند گذشته از Screen Scraping برای جمعآوری اطلاعات استفاده نمایند و این امر دیگر غیرقانونی محسوب میشود.
احراز هویت سختگیرانه مشتری (Strong Customer Authentication)
مقررات احراز هویت سختگیرانه مشتری (SCA)، الزاماتی را با هدف افزایش امنیت و حریم خصوصی کاربران عرضه کرده است. این مقررات بیان میکنند که پرداختهای الکترونیکی باید همراه با احراز هویت چندعاملی (multi-factor authentication) صورت گیرند. پس حداقل از دو روش احراز هویت باید استفاده نمایند؛ یعنی احراز هویت باید باید مبتنی بر حداقل سه تا از این روشها صورت گیرد: آنچه کاربر میداند (مانند پسوردها و PIN ها)، آنچه کاربر در اختیار دارد (مانند موبایل او، برای دریافت رمز یکبار مصرف) و یا آنچه او ذاتا هست و در اختیار دارد (مانند اثر انگشت).
در متن PSD2 بیان شده که هرگاه کاربری بخواهد به حسابی که از آن امکان پرداخت وجود دارد، دسترسی داشته باشد یا بخواهد پرداختی انجام دهد و یا هرگونه اقدام آنلاینی صورت دهد که خطر وقوع یک پرداخت غیرقانونی و متقلبانه را داشته باشد، باید SCA در آن انجام شود تا از هویت کاربر اطمینان حاصل گردد.
معافیت از SCA
شرایطی وجود دارد که در آنها، الزامی به رعایت SCA نیست و میتوان بدون آن، پرداختی را انجام داد: یکی از آن شرایط، پایین بودن مبلغ تراکنش است؛ اگر مبلغ کمتر از 30 یورو باشد، نیازی SCA ندارد. همچنین اگر یک دستور پرداخت دورهای تعریف شود، صرفا دفعه اول نیاز به SCA دارد و پرداختهای بعدی بدون آن میتوانند انجام شوند. موقعیت دیگری که نیازی به SCA ندارد، وقتی است که یک پرداخت از حسابی به حساب دیگر همان شخص در همان ASPSP انجام میشود. بهعلاوه، مواردی وجود دارند که طبق چارچوب RTS، احتمال وقوع فساد و تقلب در پرداخت در آنها بسیار کم است، که این موارد نیز معاف از SCA هستند.
شفافیت در ارائه اطلاعات به کاربر
PSD2 ارائهدهندگان خدمت را موظف کرده تا اطلاعاتی شفاف و کافی درباره سرویسهایی که عرضه میکنند به کاربر بدهند. آنها باید هر اطلاعاتی که برای یک پرداخت نیاز است را به کاربر عرضه نمایند، مثلا کارمزدها، زمان مورد نیاز برای انجام عملیات، نرخهای تبدیل بین ارزها (درصورت مهم بودن در یک پرداخت) و همه شرایط دیگر انجام یک عملیات.
همچنین PSD2 بیان کرده است که کاربر باید اطلاعات پایهای هر تراکنش را بدون نیاز به پرداخت هزینه اضافی، بتواند در اختیار داشته باشد. البته ارائه اطلاعات اضافی میتواند همراه با دریافت هزینه از کاربر باشد.
پرداختهای مبتنی بر تفاهمنامه
گاهی اوقات، استفاده از یک سرویس پرداخت بهصورت یک پرداخت یکباره (single payment transaction) انجام میگیرد؛ یعنی یکبار با ارائه شرایط انجام پرداخت از سوی سرویسدهنده و موافقت کاربر، یک پرداخت انجام میشود. اما بعضی اوقات، پرداختهای متعددی مبتنی بر یک توافقی بین طرفین صورت میگیرند که برای آن چیزی تحت عنوان تفاهمنامه (framework contract) بین آنها تنظیم میگردد.
فصل 3 قانون PSD2، بهطور کامل تفاهمنامهها را شرح داده است. در این بخش از قانون، آورده شده که کاربر باید درباره بعضی موارد حتما از طرف ارائهدهنده سرویس مطلع شده باشد: نام سرویس ارائهدهنده، آدرس جغرافیایی دفتر مرکزی او و آدرسهای لازم دیگر، از جمله آدرس ایمیل.
بهعلاوه، بیان شده است که هرگونه تغییرات در متن تفاهمنامه، مانند تغییرات در نرخ بهره، نرخهای تبدیل و…، باید توسط سازوکاری مشخص به اطلاع کاربر برسند.
گزارشهای امنیتی دورهای
مطابق با PSD2، تمامی ارائهدهندگان خدمات پرداخت (PSPs) برای انجام اقدامات امنیتی مسئولیت دارند. آنها همچنین موظف هستند مکانیسمی را ترتیب دهند که به مدیریت و کاهش ریسکها کمک نماید و علاوه بر این موارد، آنها باید درباره ریسکهای امنیتی و اقدامات خودشان برای حل آنها، بهطور دورهای گزارشاتی را تهیه کرده و به مقامات مسئول ارائه دهند. همچنین در صورتی که هر حادثه امنیتی رخ دهد، میبایست گزارش آن را بهطور اختصاصی و بدون هیچ تعللی تنظیم کرده و ارائه نمایند تا هر چه سریعتر، مشکلات امنیتی احتمالی، چه برای همان PSP و چه سایر PSP ها، کشف و حل شوند.
PSD2 چه تاثیری بر بانکها میگذارد؟
تصویب PSD2 و اجرایی شدن آن، قطعا تاثیرات مهمی بر صنعت بانکداری گذاشته و خواهد گذاشت. گرچه برخیها، به دلیل آثاری که بر اکوسیستم بانکداری باز میگذارد، تاثیرات این قانون بر بانکها را صرفا منفی میدانند، اما بهتر است از زوایای دیگری نیز به قضیه نگاه کنیم. درست است که این قانون، انحصار بانکها بر دسترسی به اطلاعات مشتریان را شکسته و بهواسطه آن، استارتاپهایی، مثلا در حوزه انتقال آنی پول، ایجاد شدهاند که رقیب بانکها شده و بخشی از بازار آنها را تصاحب کردهاند، اما این فرصت را نیز فراهم کرده تا آنها بتوانند همکاریهای جدیدی را با استارتاپهای فینتکی طراحی کنند. بهعلاوه، اعتمادی که به حوزه پرداختهای الکترونیکی ایجاد کرده، نه فقط برای استارتاپها، که برای بانکها نیز سودمند است. در نتیجه، بانکها میتوانند از فرصتها و سازوکارهایی که این قانون ایجاد کرده، بازار خود را بزرگتر نموده و درآمد بیشتری کسب کنند.
تاثیر PSD2 بر کاربران
یکی از گروههایی که بیشترین نفع را از این قانون میبرند، کاربران خدمات مالی هستند. آنها با وجود چنین قانونی، اطمینان بیشتری به استارتاپهای فینتکی خواهند کرد، خیالشان بابت حفاظت از دادههایشان و امنیت پرداختها راحتتر است و میتوانند با اختیار خودشان، به هر سرویسی که مایل هستند، دسترسی به دادههایشان را بدهند تا از خدمات آن بهرهمند گردند.
PSD2 در بریتانیا
همانطور که قبلتر در مقالهمان درباره بانکداری باز نیز اشاره کرده بودیم، بریتانیا بعد از برگزیت نیز پایبند به بسیاری از قوانین اتحادیه اروپا باقی ماند. از جمله آن قوانین، PSD2 میباشد. این قانون همچنان در بریتانیا برقرار است و ارائهدهندگان خدمات پرداخت میبایست PSD2 را رعایت کنند.
PSD3؛ آینده PSD2
در ژوئن 2023، کمیسیون اروپا پیشنهاد داد تا با اصلاحیهای، PSD2 بهروزرسانی شود که نسخه جدید به PSD3 شناخته میشود. گرچه هنوز جزئیات این قانون جدید مشخص نیست، اما از پیشنهادی که ارائه شده، معلوم است که هدف آن، یک انقلاب یا تحول بسیار عظیم در این قانون نیست، بلکه صرفا قصد دارد تا آن را چند قدم به جلو ببرد و بهبود دهد.
از جمله اهداف PSD3 میتوان به بهبود جلوگیری از فسادها و تقلبها و توسعه فرایندها و سازوکارهای حفاظت از دادهها اشاره کرد. بهعلاوه، گفته شده است که PSD3 قصد دارد برای TPP ها، دسترسی به تمامی سیستمهای پرداخت در اتحادیه اروپا (مثلا ممکن است حتی مواردی که پرداختهای بانکهای مرکزی در آنها انجام میشوند) را فراهم کند.
منابع و مطالعه بیشتر:eur-lex.europa.eueur-lex.europa.eugocardless.comnumeral.ioecb.europa.eu
