Ödeme hizmetlerine ilişkin 2009 senesinde Avrupa Birliği ile İzlanda, Norveç ve Lihtenştayn’da uygulanmaya başlayan 2007/64 sayılı Avrupa Birliği Ödeme Hizmetleri Direktii (“PSD1”) ile ödemeler alanında bankalara rakip olacak ödeme hizmeti sağlayıcılarının mevzuatsal dayanağı oluşturulmuştu. PSD1’in kapsamını geliştiren PSD2 ise 12 Ocak 2016 tarihinde yürürlüğe girerek açık bankacılık kapsamındaki iki yeni ödeme hizmetine yasal zemin kazandırmış oldu:
(1) Ödeme Başlatma Hizmetleri (Payment Initiation Services-“PISP”): Kullanıcının talebi ile bir başka ödeme kuruluşunda bulunan hesabına ilişkin olarak ödeme emri başlatılması; ve
(2) Hesap Bilgisi Hizmetleri (Account Information Services- “AISP”): Kullanıcının diğer ödeme kuruluşlarında bulunan bir veya birden fazla hesabına ilişkin olarak konsolide bilgilerin çevrim içi olarak sağlanması.
Üye devletlere ayrıca 13 Ocak 2018 tarihine kadar bu düzenlemeyi kendi iç mevzuatlarına aktarmaları için süre verildi. PSD2 kapsamında ödeme başlatma veya hesap bilgisi hizmeti sunacak olan tüm hizmet sağlayıcıların direktifte öngörülen şartlarla kendi ülkelerindeki yetkili kuruluşlar tarafından yetkilendirilmesi ve Avrupa Birliği’ndeki inansal kuruluşlara ilişkin düzenlemelerin uygulanmasını sağlamakla görevli Avrupa Bankacılık Otoritesi (“European Banking Auhority”, “EBA”) nezdinde tescil edilmesi gerekli. Yeni düzenleme ile getirilen en önemli hususlardan birisi ise, açık bankacılık kapsamında veri paylaşımının bankaların inisiyatilerine bağlı olmaktan çıkarılarak bankaların veri paylaşımı konusunda zorunlu tutulması.
Bunun yanında, PSD2 kapsamında PISP’ler ve AISP’ler için bir dizi yükümlülük öngörülüyor. PISP ve AISP’lerin yalnızca bu iki hizmetin sağlanması için hareket ettikleri durumlarda, müşteriye ait fonları tutmadıklarından, sermaye yeterliliği gerekliliklerine uyma yükümlülükleri bulunmasa da, faaliyetlerini aksatmadan yerine getirmelerini teminen, asgari tutarı gerçekleştirilen faaliyetin büyüklüğüne göre EBA tarafından belirlenen, bir sorumluluk sigortası yaptırmaları veya benzer bir güvence sağlamaları bekleniyor. Ayrıca her iki hizmet sağlayıcısının da kullanıcı adı ve şifre gibi ilgili bankanın sistemine giriş yapmasını sağlayacak kullanıcı bilgilerine hiçbir şekilde erişiminin olmaması ve tüm taralarla iletişimi güvenli yollardan sağlama zorunluluğu mevcut. Buna ek olarak hem AISP’lerin hem de PISP’lerin hizmeti sağlamadan önce müşteriden açık rıza alma zorunlulukları var ve müşteri tıpkı Türk hukukunda olduğu gibi bu açık rızayı dilediği zaman geri çekme veya kapsamını sınırlama hakkına sahip. PISP’lerin ayrıca her bir işleme ilişkin olarak müşteriyi bilgilendirmeleri ve AISP’lerin ise yalnızca banka tarafından kendilerine sağlanan bilgilere erişim sağlamaları gerekli. Sorumluluk açısından, PISP’lerin ödemenin tam ve zamanında yapılmasından müşterinin hesabının bulunduğu banka ile birlikte sorumlulukları bulunuyor.

AISP ve PISPlerin tabi olduğu bazı zorunluluklar:

• İlgili ülkenin yetkili otoritesinden izin alma
• Üye ülkedeki ilgili sicile kayıt olma
• Sorumluluk sigortası
• Kullanıcı bilgilerine erişimin sınırlanması
• İletişimi güvenli yollarla sağlama
• Açık rıza alma

Avrupa Birliği’nde aynı zamanda PSD2’nin tamamlayıcı düzenlemesi olarak ödeme hizmetlerinde müşteri bilgilerinin doğrulanması ve güvenli iletişimin düzenlendiği teknik standartların belirtildiği regülasyon10 (Regulatory Technical Standards, “RTS”) ile veri paylaşımı, işlem güvenliği ve kullanılacak arayüzler gibi konulara ilişkin alınması gereken tedbirler de belirlenmiş durumda. Teknik tedbirlerin belirtildiği bu mevzuat Avrupa Birliği’nde 14 Eylül 2019 itibarı ile yürürlüğe girdi.
PSD2’nin getirdiği en büyük yenilik olan açık bankacılığa ilişkin hizmetlerin uygulanmasında aslında Birleşik Krallığın öncülük ettiğini söylemek yanlış olmayacaktır. İngiltere’de rekabetin ve tüketicinin korunması konusundaki otorite olan Competition and Markets Authority (CMA) tarafından kurulan Open Banking Implementation Entity (OBIE) aracılığıyla veri paylaşımı ve işlem güvenliği anlamında açık bankacılık hizmetlerinde inansal sektöre ışık tutacak pek çok çalışma gerçekleştirildi. Birleşik Krallık, diğer tüm ülkelerden önce hareket ederek 2018 Ocak itibarı ile açık bankacılık kapsamında veri paylaşımında kullanılacak API ve benzeri kanallara ilişkin olarak standartları yürürlüğe koydu.
Ayrıca açık bankacılık, yeni mevzuatsal düzenlemeler ve düzenleyici otorite ve sektör birliklerinin önderliği ile son dönemde farklı ülke mevzuatlarında da yerini bulmaya başladı. Açık bankacılık hizmetinin yaygınlaşabilmesi için, bankalar tarafından veri paylaşılması, Avrupa Birliği’nde olduğu gibi açık bankacılık alt yapısının düzenlendiği Japonya ve Meksika gibi bazı ülkelerde de zorunlu tutuluyor12. Bununla birlikte ABD, Çin, Arjantin, Singapur, Hong Kong ve Güney Kore gibi ülkelerde bu paylaşım teşvik edilmekle birlikte, bir zorunluluk olarak öngörülmüyor13. Paylaşım için kullanılacak olan API ve benzer kanallara ilişkin standardizasyon konusunda ise Fransa, Almanya, Polonya gibi bazı Avrupa Birliği üyesi ülkelerin kendi standartlarını oluşturarak Birleşik Krallığı takip ettiğini görüyoruz.