Ödeme hizmetlerine ilişkin 2009 senesinde Avrupa Birliği ile İzlanda, Norveç ve Lihtenştayn’da uygulanmaya başlayan 2007/64 sayılı Avrupa Birliği Ödeme Hizmetleri Direktii (“PSD1”) ile ödemeler alanında bankalara rakip olacak ödeme hizmeti sağlayıcılarının mevzuatsal dayanağı oluşturulmuştu. PSD1’in kapsamını geliştiren PSD2 ise 12 Ocak 2016 tarihinde yürürlüğe girerek açık bankacılık kapsamındaki iki yeni ödeme hizmetine yasal zemin kazandırmış oldu:
(1) Ödeme Başlatma Hizmetleri (Payment Initiation Services-“PISP”): Kullanıcının talebi ile bir başka ödeme kuruluşunda bulunan hesabına ilişkin olarak ödeme emri başlatılması; ve
(2) Hesap Bilgisi Hizmetleri (Account Information Services- “AISP”): Kullanıcının diğer ödeme kuruluşlarında bulunan bir veya birden fazla hesabına ilişkin olarak konsolide bilgilerin çevrim içi olarak sağlanması.
Üye devletlere ayrıca 13 Ocak 2018 tarihine kadar bu düzenlemeyi kendi iç mevzuatlarına aktarmaları için süre verildi. PSD2 kapsamında ödeme başlatma veya hesap bilgisi hizmeti sunacak olan tüm hizmet sağlayıcıların direktifte öngörülen şartlarla kendi ülkelerindeki yetkili kuruluşlar tarafından yetkilendirilmesi ve Avrupa Birliği’ndeki inansal kuruluşlara ilişkin düzenlemelerin uygulanmasını sağlamakla görevli Avrupa Bankacılık Otoritesi (“European Banking Auhority”, “EBA”) nezdinde tescil edilmesi gerekli. Yeni düzenleme ile getirilen en önemli hususlardan birisi ise, açık bankacılık kapsamında veri paylaşımının bankaların inisiyatilerine bağlı olmaktan çıkarılarak bankaların veri paylaşımı konusunda zorunlu tutulması.
Bunun yanında, PSD2 kapsamında PISP’ler ve AISP’ler için bir dizi yükümlülük öngörülüyor. PISP ve AISP’lerin yalnızca bu iki hizmetin sağlanması için hareket ettikleri durumlarda, müşteriye ait fonları tutmadıklarından, sermaye yeterliliği gerekliliklerine uyma yükümlülükleri bulunmasa da, faaliyetlerini aksatmadan yerine getirmelerini teminen, asgari tutarı gerçekleştirilen faaliyetin büyüklüğüne göre EBA tarafından belirlenen, bir sorumluluk sigortası yaptırmaları veya benzer bir güvence sağlamaları bekleniyor. Ayrıca her iki hizmet sağlayıcısının da kullanıcı adı ve şifre gibi ilgili bankanın sistemine giriş yapmasını sağlayacak kullanıcı bilgilerine hiçbir şekilde erişiminin olmaması ve tüm taralarla iletişimi güvenli yollardan sağlama zorunluluğu mevcut. Buna ek olarak hem AISP’lerin hem de PISP’lerin hizmeti sağlamadan önce müşteriden açık rıza alma zorunlulukları var ve müşteri tıpkı Türk hukukunda olduğu gibi bu açık rızayı dilediği zaman geri çekme veya kapsamını sınırlama hakkına sahip. PISP’lerin ayrıca her bir işleme ilişkin olarak müşteriyi bilgilendirmeleri ve AISP’lerin ise yalnızca banka tarafından kendilerine sağlanan bilgilere erişim sağlamaları gerekli. Sorumluluk açısından, PISP’lerin ödemenin tam ve zamanında yapılmasından müşterinin hesabının bulunduğu banka ile birlikte sorumlulukları bulunuyor.
AISP ve PISPlerin tabi olduğu bazı zorunluluklar:
• İlgili ülkenin yetkili otoritesinden izin alma
• Üye ülkedeki ilgili sicile kayıt olma
• Sorumluluk sigortası
• Kullanıcı bilgilerine erişimin sınırlanması
• İletişimi güvenli yollarla sağlama
• Açık rıza alma
Avrupa Birliği’nde aynı zamanda PSD2’nin tamamlayıcı düzenlemesi olarak ödeme hizmetlerinde müşteri bilgilerinin doğrulanması ve güvenli iletişimin düzenlendiği teknik standartların belirtildiği regülasyon10 (Regulatory Technical Standards, “RTS”) ile veri paylaşımı, işlem güvenliği ve kullanılacak arayüzler gibi konulara ilişkin alınması gereken tedbirler de belirlenmiş durumda. Teknik tedbirlerin belirtildiği bu mevzuat Avrupa Birliği’nde 14 Eylül 2019 itibarı ile yürürlüğe girdi.
PSD2’nin getirdiği en büyük yenilik olan açık bankacılığa ilişkin hizmetlerin uygulanmasında aslında Birleşik Krallığın öncülük ettiğini söylemek yanlış olmayacaktır. İngiltere’de rekabetin ve tüketicinin korunması konusundaki otorite olan Competition and Markets Authority (CMA) tarafından kurulan Open Banking Implementation Entity (OBIE) aracılığıyla veri paylaşımı ve işlem güvenliği anlamında açık bankacılık hizmetlerinde inansal sektöre ışık tutacak pek çok çalışma gerçekleştirildi. Birleşik Krallık, diğer tüm ülkelerden önce hareket ederek 2018 Ocak itibarı ile açık bankacılık kapsamında veri paylaşımında kullanılacak API ve benzeri kanallara ilişkin olarak standartları yürürlüğe koydu.
Ayrıca açık bankacılık, yeni mevzuatsal düzenlemeler ve düzenleyici otorite ve sektör birliklerinin önderliği ile son dönemde farklı ülke mevzuatlarında da yerini bulmaya başladı. Açık bankacılık hizmetinin yaygınlaşabilmesi için, bankalar tarafından veri paylaşılması, Avrupa Birliği’nde olduğu gibi açık bankacılık alt yapısının düzenlendiği Japonya ve Meksika gibi bazı ülkelerde de zorunlu tutuluyor12. Bununla birlikte ABD, Çin, Arjantin, Singapur, Hong Kong ve Güney Kore gibi ülkelerde bu paylaşım teşvik edilmekle birlikte, bir zorunluluk olarak öngörülmüyor13. Paylaşım için kullanılacak olan API ve benzer kanallara ilişkin standardizasyon konusunda ise Fransa, Almanya, Polonya gibi bazı Avrupa Birliği üyesi ülkelerin kendi standartlarını oluşturarak Birleşik Krallığı takip ettiğini görüyoruz.
EU Payment Services Directive 2007/64 (“PSD1”), which began to apply in 2009 across the European Union and in Iceland, Norway and Liechtenstein, created the legal basis for payment service providers that would compete with banks in the payments space. PSD2, which expanded PSD1’s scope, entered into force on 12 January 2016 and gave a legal footing to two new payment services within open banking:
Member states were also given until 13 January 2018 to transpose this directive into their domestic legislation. Under PSD2, all providers offering payment initiation or account information services must be authorised by the competent authorities in their own countries under the conditions set out in the directive, and must be registered with the European Banking Authority (“EBA”), which is responsible for the application of rules on financial institutions in the EU. One of the most important points introduced by the new rules is that data sharing under open banking is no longer left to banks’ initiative — banks are required to share data.
PSD2 also sets out a series of obligations for PISPs and AISPs. Where PISPs and AISPs act solely to provide these two services, they do not hold customer funds and so are not subject to capital adequacy requirements; nonetheless, to ensure they carry out their activities without disruption, they are expected to take out professional indemnity insurance — the minimum amount of which is set by the EBA according to the size of the activity — or provide a comparable guarantee. In addition, both types of provider must have no access whatsoever to credentials such as usernames and passwords that would allow login to the relevant bank’s system, and must communicate with all parties through secure means. Both AISPs and PISPs must obtain the customer’s explicit consent before providing the service, and — just as in Turkish law — the customer has the right to withdraw that consent or limit its scope at any time. PISPs must also inform the customer about each transaction, while AISPs may only access the information provided to them by the bank. In terms of liability, PISPs are jointly responsible with the customer’s bank for the complete and timely execution of the payment.
Some obligations to which AISPs and PISPs are subject:
In the EU, as PSD2’s complementary regulation, the Regulatory Technical Standards (“RTS”) — which set out the technical standards for authenticating customer information and securing communication in payment services — also determine the measures to be taken on matters such as data sharing, transaction security and the interfaces to be used. This legislation setting out the technical measures entered into force in the EU on 14 September 2019.
It would not be wrong to say that the United Kingdom actually led the way in implementing the open banking services that are PSD2’s biggest innovation. Through the Open Banking Implementation Entity (OBIE), established by the Competition and Markets Authority (CMA) — the UK authority for competition and consumer protection — many initiatives were carried out to guide the financial sector on data sharing and transaction security in open banking. Moving ahead of all other countries, the UK put into force, as of January 2018, the standards for the APIs and similar channels to be used for data sharing under open banking.
Open banking has also recently begun to find a place in the legislation of various countries, led by new regulations and by regulatory authorities and industry associations. For open banking to become widespread, data sharing by banks is — as in the EU — mandatory in some countries that have regulated open banking infrastructure, such as Japan and Mexico. In countries such as the US, China, Argentina, Singapore, Hong Kong and South Korea, sharing is encouraged but not mandated. On standardisation of the APIs and similar channels to be used for sharing, we see some EU member states — such as France, Germany and Poland — following the UK by creating their own standards.