EUROPESE COMMISSIE
Brussel, 28.6.2023
COM(2023) 365 final
VERSLAG VAN DE COMMISSIE
AAN HET EUROPEES PARLEMENT, DE RAAD, DE EUROPESE CENTRALE BANK EN HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ
over de evaluatie van Richtlijn 2015/2366/EU van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT, DE RAAD, DE EUROPESE CENTRALE BANK EN HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ
over de evaluatie van Richtlijn 2015/2366/EU van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt
Inhoud
1.
INLEIDING
2.
TOEPASSING EN EFFECTEN VAN PSD2 IN HET ALGEMEEN
3.
SPECIFIEKE ASPECTEN VAN PSD2
3.1.
Open bankieren
3.2.
Toepassingsgebied
3.3.
Consumentenbescherming
3.4.
Veiligheid en fraudepreventie
3.5.
Risicobeperking en mededingingskwesties
3.6.
Handhaving
3.7.
Andere kwesties
4.
CONCLUSIES
AFKORTINGEN
AIS
|
Account information service, rekeninginformatiedienst
|
AISP
|
Account information services provider, rekeninginformatiedienstaanbieder
|
API
|
Applicatieprogramma-interface
|
ASPSP
|
Account servicing payment service provider, rekeninghoudende betalingsdienstaanbieder
|
ATM
|
Automatic teller machine, geldautomaat
|
DORA
|
Digital operational resilience act, verordening digitale operationele weerbaarheid
|
EBA
|
Europese Bankautoriteit
|
EDIW
|
European digital identity wallet, Europese portemonnee voor digitale identiteit
|
ECB
|
Europese Centrale Bank
|
EER
|
Europese Economische Ruimte
|
EMD
|
Electronic money directive, richtlijn elektronisch geld
|
EMI
|
Electronic money institution, instelling voor elektronisch geld
|
AVG
|
Algemene verordening gegevensbescherming
|
IBAN
|
International bank account number, internationaal bankrekeningnummer
|
IP
|
Instant payment, instantbetaling
|
MIT
|
Merchant-initiated transaction, door handelaar geïnitieerde transactie
|
MOTO
|
Mail order or telephone order, aankoop per post of via de telefoon
|
NBA
|
Nationale bevoegde autoriteit
|
OB
|
Open bankieren
|
OF
|
Open finance, open geldwezen
|
PI
|
Payment institution, betalingsinstelling
|
PISA
|
Payment instruments schemes and arrangements, regelingen en voorzieningen voor betaalinstrumenten
|
POS
|
Point of sale, verkooppunt
|
PSD2
|
Second payment services directive, tweede richtlijn betalingsdiensten
|
PSP
|
Payment service provider, betalingsdienstaanbieder
|
PSU
|
Payment service user, betalingsdienstgebruiker
|
RPS
|
Retail payments strategy, strategie voor retailbetalingen
|
RTS
|
Regulatory technical standard(s), technische reguleringsnormen
|
SCA
|
Strong customer authentication, sterke cliëntauthenticatie
|
SEPA
|
Single euro payments area, gemeenschappelijke eurobetalingsruimte
|
SFD
|
Settlement finality directive, finaliteitsrichtlijn
|
TMM
|
Transactiemonitoringmechanisme(n)
|
TPP
|
Third party provider, derde aanbieder
|
TSP
|
Technical service provider, technischedienstaanbieder
|
1.INLEIDING
De tweede richtlijn betalingsdiensten (PSD2
) biedt een kader voor alle retailbetalingen in de EU, zowel in euro als in andere valuta’s, zowel binnenlands als grensoverschrijdend. De eerste richtlijn betalingsdiensten (PSD1
), die in 2007 werd vastgesteld, voorzag in een geharmoniseerd rechtskader voor de totstandbrenging van een geïntegreerde EU-betalingsmarkt. Voortbouwend op PSD1 heeft PSD2 belemmeringen voor nieuwe soorten betalingsdiensten aangepakt en het niveau van consumentenbescherming en -veiligheid verbeterd. Op grond van de evaluatieclausule van PSD2 (artikel 108, zie aanhangsel 1) moest de Commissie uiterlijk op 13 januari 2021 verslag uitbrengen over de toepassing en het effect van PSD2, met name over de kosten, het toepassingsgebied, de drempels en de toegang tot betalingssystemen. De evaluatie kon niet uiterlijk op die datum plaatsvinden als gevolg van de te late omzetting van de richtlijn door sommige lidstaten en de vertraging bij de toepassing van een aantal van de regels ervan, zoals de regels voor sterke cliëntauthenticatie (zie punt 3.4). De evaluatie van PSD2 heeft derhalve pas in 2022 plaatsgevonden. Na de evaluatie en in het licht van haar mededeling van 2020 over een strategie voor retailbetalingen voor de EU heeft de Commissie besloten PSD2 te herzien. Dit evaluatieverslag begeleidt de twee wetgevingsvoorstellen tot herziening van PSD2.
2.TOEPASSING EN EFFECTEN VAN PSD2 IN HET ALGEMEEN
De afgelopen jaren hebben zich op de markt voor betalingsdiensten talrijke veranderingen voorgedaan. De elektronische betalingen in de EU zijn voortdurend toegenomen, tot 240 biljoen EUR in waarde in 2021 (tegenover 184,2 biljoen EUR in 2017). Naast het toenemende gebruik van kaarten zijn er nieuwe aanbieders op de markt gekomen die gebruikmaken van digitale technologieën. Zo zijn niet-bancaire betalingsdienstaanbieders zoals betalingsinstellingen en instellingen voor elektronisch geld nu alom aanwezig. In deze periode kenden de diensten op het gebied van open bankieren, waaronder rekeninginformatie- en betalingsinitiatiediensten, een aanzienlijke groei (zie punt 3.1).
In het evaluatieverslag over PSD2 wordt geconcludeerd dat de doelstellingen van PSD2 met wisselend succes zijn verwezenlijkt. Een van de duidelijke positieve effecten was fraudepreventie dankzij de invoering van sterke cliëntauthenticatie; hoewel de uitvoering moeilijker is dan verwacht, heeft sterke cliëntauthenticatie al een aanzienlijk effect gehad op het terugdringen van fraude. PSD2 is ook bijzonder doeltreffend geweest wat betreft de doelstelling om de efficiëntie, transparantie en keuze van betaalinstrumenten voor betalingsdienstgebruikers te vergroten. Uit de evaluatie is echter gebleken dat er grenzen zijn aan de doeltreffendheid van PSD2 bij het tot stand brengen van een gelijk speelveld, met name dat er sprake is van een voortdurende wanverhouding tussen bancaire en niet-bancaire betalingsdienstaanbieders doordat de laatstgenoemden geen rechtstreekse toegang hebben tot bepaalde essentiële betalingssystemen. Ondanks de opkomst van honderden nieuwe niet-bancaire aanbieders met miljoenen cliënten is open bankieren in de EU met wisselend succes ingevoerd, waarbij zich problemen hebben voorgedaan met betrekking tot de prestaties van interfaces voor gegevenstoegang voor aanbieders van diensten inzake open bankieren. Hoewel het grensoverschrijdend aanbieden van betalingsdiensten toeneemt, blijven veel betalingssystemen (met name debetkaartsystemen) grotendeels op nationale leest geschoeid. Er is nog geen nieuwe, volledig pan-Europese betalingsoplossing. Het European Payment Initiative (EPI) werkt momenteel aan zijn eerste pan-Europese betalingsoplossing. De verwachte kostenbesparingen voor handelaren als gevolg van nieuwe goedkopere betaalmiddelen, bijvoorbeeld op basis van open bankieren, zijn nog niet volledig gerealiseerd. In het algemeen blijkt uit de evaluatie dat er, ondanks bepaalde tekortkomingen, vooruitgang kon worden geboekt bij de verwezenlijking van de doelstellingen van het huidige PSD2-kader.
Deze en andere kwesties worden nader behandeld in punt 3, waar de in artikel 108 PSD2 genoemde kwesties aan bod komen en het resultaat van de evaluatie van PSD2 meer in het algemeen wordt samengevat.
3.SPECIFIEKE ASPECTEN VAN PSD2
3.1.Open bankieren
Open bankieren is de term die wordt gebruikt voor het proces waarbij rekeninginformatiedienstaanbieders en betalingsinitiatiedienstaanbieders, gezamenlijk bekend als derde aanbieders, door PSD2 gereguleerde diensten aan gebruikers aanbieden of faciliteren op basis van toegang — op verzoek van de gebruiker — tot hun rekeninggegevens die in het bezit zijn van rekeninghoudende betalingsdienstaanbieders. Hoewel er vóór PSD2 al open bankieren bestond in de EU, opereerden derde aanbieders in een grotendeels ongereguleerde omgeving. PSD2 bood een stabiel regelgevingskader voor open bankieren, met waarborgen voor gebruikers. Zij legde rekeninghoudende betalingsdienstaanbieders de verplichting op om de toegang van derde aanbieders tot betalingsgegevens te vergemakkelijken zonder dwingende contractuele verplichtingen, met als doel de ontwikkeling van open bankieren te stimuleren en tegelijkertijd te voorzien in maatregelen om de gebruikers meer veiligheid en bescherming te bieden.
Vóór de invoering van PSD2 kon er reeds een groeiende trend in open bankieren worden waargenomen, maar sinds 2018 is de markt voor diensten op het gebied van open bankieren blijven groeien. Het aantal derde aanbieders en gebruikers van diensten op het gebied van open bankieren in de EU is toegenomen, tot bijna 19 miljoen gebruikers in 2021. Het rechtskader heeft de gereguleerde toegang van derde aanbieders tot betaalrekeningen gelegitimeerd en de veiligheid van gebruikers en hun gegevens is gewaarborgd. De evaluatie van PSD2 heeft echter terugkerende problemen aan het licht gebracht met betrekking tot de doelmatige en doeltreffende toegang van derde aanbieders tot gegevens die in het bezit zijn van rekeninghoudende betalingsdienstaanbieders. Derde aanbieders worden nog steeds geconfronteerd met aanzienlijke belemmeringen en melden regelmatig dat de interfaces die zijn ontworpen om hun gegevenstoegang te vergemakkelijken, verschillen in kwaliteit en prestaties. Rekeninghoudende betalingsdienstaanbieders melden aanzienlijke uitvoeringskosten voor de ontwikkeling van API’s en betreuren dat het wetgevingskader van PSD2 hun belet derde aanbieders kosten in rekening te brengen voor het vergemakkelijken van de toegang tot cliëntgegevens via API’s. Rekeninghoudende betalingsdienstaanbieders uiten ook vaak hun ontevredenheid over het geringe gebruik van hun API’s door derde aanbieders en over het aanhoudende gebruik door sommige derde aanbieders van hun cliëntinterface in plaats van de API.
Tegen deze achtergrond heeft de Commissie er na de evaluatie van PSD2 voor gekozen om een aantal gerichte wijzigingen in het kader voor open bankieren aan te brengen teneinde de werking ervan te verbeteren, maar daarbij ingrijpende veranderingen te vermijden die de markt zouden kunnen destabiliseren of aanzienlijke bijkomende uitvoeringskosten met zich mee zouden kunnen brengen. Ondanks het bestaan van verschillende API-normen in de EU geeft de Commissie er de voorkeur aan geen nieuwe volledig genormaliseerde EU-interface voor gegevenstoegang verplicht te stellen. Dit zou een aantal duidelijke voordelen opleveren met betrekking tot de gegevenstoegang door derde aanbieders. Aanpassing aan een nieuwe norm zou echter erg duur zijn voor de markt als geheel. De in de EU geldende API-normen van PSD2 vertonen weliswaar nog verschillen, maar die zijn in de loop der tijd aanzienlijk kleiner geworden. En een van de twee belangrijkste API-normen zou 80 % van de Europese API’s voor open bankieren vertegenwoordigen. Hoewel er nog steeds verschillen zijn (vaak toe te schrijven aan het feit dat rekeninghoudende betalingsdienstaanbieders individuele varianten van de belangrijkste normen hanteren), is het bovendien zo dat API-“aggregatoren” één enkel implementatiepunt aanbieden, waardoor derde aanbieders gelijktijdig verbonden kunnen zijn met een groot aantal verschillende API’s. Derhalve is de Commissie, hierin breed ondersteund door de markt, van mening dat de kosten van de invoering van één enkele nieuwe API-norm in de EU over het geheel genomen hoger zouden zijn dan de baten.
De Commissie ziet evenmin de voordelen in van het wijzigen van de standaardregel van PSD2 om derde aanbieders toegang tot gegevens te verlenen zonder verplichte contractuele relatie en dus zonder financiële vergoeding voor rekeninghoudende betalingsdienstaanbieders. De invoering van een dergelijke ingrijpende verandering van het ecosysteem voor open bankieren zou potentieel zeer ontwrichtend zijn, zonder enige garantie dat de prestaties van interfaces snel en aanzienlijk zouden worden verbeterd. De markt moet echter vrij zijn om overeenkomsten te sluiten, in combinatie met een vergoedingsregeling, voor diensten die verder gaan dan die welke in de herziene PSD2 worden gereguleerd, maar derde aanbieders moeten altijd kunnen gebruikmaken van de “basisdiensten” van PSD2 zonder voorafgaande contractuele overeenkomst of zonder dat daaraan kosten verbonden zijn. Anderzijds zullen in de handelingen tot herziening van PSD2 nieuwe minimumeisen worden vastgelegd voor de prestaties van speciale interfaces, waaronder een niet-limitatieve reeks verboden belemmeringen voor open bankieren, om ervoor te zorgen dat derde aanbieders optimale toegang tot gegevens hebben ten behoeve van hun cliënten.
Rekeninghoudende betalingsdienstaanbieders moeten momenteel, met PSD2, twee gegevensinterfaces voor open bankieren (een hoofdinterface en een “fallbackinterface”) aanhouden, tenzij zij voor een vrijstelling in aanmerking komen. Deze vrij complexe regeling moet echter worden gestroomlijnd: indien rekeninghoudende betalingsdienstaanbieders conforme speciale interfaces aanbieden die derde aanbieders de gegevens verstrekken die zij nodig hebben om hun cliënten te bedienen, is er geen reden om dit vereiste van twee interfaces te handhaven. Van rekeninghoudende betalingsdienstaanbieders mag veeleer alleen worden verlangd dat zij permanent één “speciale” interface voor open bankieren aanhouden. De verwijdering van de permanente fallbackinterface, die veel derde aanbieders nog vaak gebruiken gezien de suboptimale kwaliteit van bepaalde API’s, moet echter altijd gepaard gaan met een aanzienlijke verbetering van het prestatieniveau van de interfaces en een krachtig handhavingsstelsel. Dit zijn twee onontbeerlijke voorwaarden voor de vereenvoudiging van het huidige landschap en de afschaffing van het vereiste om een permanente fallbackinterface aan te houden. Zelfs API’s van hoge kwaliteit kunnen echter uitvallen en derde aanbieders moet in deze omstandigheden een middel worden geboden om de bedrijfscontinuïteit te waarborgen door middel van tijdelijke gegevenstoegang in geval van nood. Om het vertrouwen van consumenten in open bankieren te vergroten en hun gebruik van diensten op het gebied van open bankieren te vergemakkelijken en om de consumentenbescherming te verbeteren, zullen banken en andere rekeninghoudende betalingsdienstaanbieders ten slotte hun cliënten die gebruikmaken van diensten op het gebied van open bankieren, een IT-instrument (een “dashboard”) moeten aanbieden waarmee zij in één oogopslag kunnen zien welke rechten op gegevenstoegang zij hebben verleend en aan wie, en waarmee zij, indien zij dat wensen, de toegang van derde aanbieders tot hun gegevens via dit instrument kunnen intrekken.
Samen met de twee voorstellen tot herziening van PSD2 presenteert de Commissie een wetgevingsvoorstel over de toegang tot financiële informatie (financial information data acces, FIDA), waarmee de verplichting om toegang te verlenen tot financiële gegevens wordt uitgebreid tot andere gegevens dan betaalrekeninggegevens (“open geldwezen”). De Commissie heeft de mogelijkheid onderzocht om rekeninginformatiedienstaanbieders van PSD naar het toekomstige FIDA-kader over te dragen. Hoewel een dergelijke overdracht uiteindelijk zinvol zou kunnen zijn, gezien de aard van de activiteiten van rekeninginformatiedienstaanbieders, zou er een aanzienlijk risico op verstoring en onderbrekingen van de rechten op gegevenstoegang voor rekeninginformatiedienstaanbieders bestaan indien een dergelijke overdracht voortijdig zou plaatsvinden, d.w.z. vóór de invoering van een “regeling”, hetgeen een voorwaarde voor open geldwezen zal zijn. Een dergelijke regeling ontbreekt momenteel op de markt voor open bankieren, hoewel daaraan op dit moment door marktdeelnemers wel wordt gewerkt. Naar de mening van de Commissie verdient het derhalve de voorkeur om een gefaseerde aanpak te volgen en in een dergelijke overdracht te voorzien wanneer het FIDA-kader volledig operationeel is en uitsluitend indien en wanneer de voorwaarden voor een vlotte overdracht passend worden geacht.
3.2.Toepassingsgebied
Sinds de vaststelling van PSD2 zijn er nieuwe betaalmiddelen ontwikkeld, zoals instantbetalingen of e-moneytokens (EMT’s, een type cryptoactief). Andere nieuwe producten zijn digitale portemonnees (met name “doorgifteportemonnees”) die, door middel van tokenisering, het gebruik van een betaalinstrument via een mobiel apparaat mogelijk maken om contactloze of onlinebetalingen te verrichten. Er zijn ook nieuwe diensten beschikbaar gekomen die het aanbieden van betalingsdiensten vergemakkelijken zonder zelf betalingsdiensten te zijn, zoals “buy-now-pay-later” (achteraf betalen) of “request-to-pay” (betalingsverzoek).
Veel aanbieders van dergelijke nieuwe diensten zijn uitgesloten van het toepassingsgebied van PSD2 omdat zij “technischedienstaanbieders” zijn. Hiertoe behoren exploitanten van betalingssystemen en dienstverleners zoals betalingsverwerkers of gateways die, hoewel zij zelf geen betalingsdienstaanbieders zijn, het aanbieden van betalingsdiensten door gereguleerde betalingsdienstaanbieders ondersteunen. Sommige van deze technischedienstaanbieders hebben sinds de invoering van PSD2 een zeer belangrijke rol in de betalingsketen gekregen en enkelen daarvan, zoals gegevensverwerkers voor grote betalingen, hebben in een aantal lidstaten zelfs een quasi-systeemstatus verworven. Deze situatie kan uiteraard nieuwe risico’s in het betalingslandschap van de EU met zich meebrengen.
Tegen deze achtergrond is de verordening digitale operationele weerbaarheid (DORA) relevant. Betalingsdienstaanbieders in de zin van PSD2 vallen onder het toepassingsgebied van DORA en de bepalingen daarvan zijn rechtstreeks op hen van toepassing. Exploitanten van betalingssystemen, die momenteel niet onderworpen zijn aan een vergunningenstelsel in het kader van PSD2, vallen echter buiten het toepassingsgebied van DORA, aangezien DORA alleen van toepassing is op financiële entiteiten die worden gereguleerd en onder toezicht staan uit hoofde van de EU-wetgeving. In DORA is bepaald dat de Commissie, in het kader van de evaluatie van PSD2, moet overwegen om “exploitanten van betalingssystemen en entiteiten die betrokken zijn bij betalingsverwerkingsactiviteiten” op te nemen in het toepassingsgebied van PSD2, waardoor zij vervolgens in het toepassingsgebied van DORA zouden kunnen worden opgenomen.
De Commissie is tot de conclusie gekomen dat een dergelijke opname in dit stadium voorbarig zou zijn. Er is geen standpunt over deze kwestie dat de overhand heeft bij particuliere, noch bij publieke belanghebbenden die door de Commissie zijn geraadpleegd tijdens haar evaluatie van PSD2, en er is nog geen duidelijk nadeel of risico voor consumenten of andere marktdeelnemers vastgesteld. Veel van de momenteel uitgesloten diensten en aanbieders van deze diensten zijn reeds of worden binnenkort onderworpen aan het toezicht van de Europese Centrale Bank/het Eurosysteem (op basis van artikel 127, lid 2, van het Verdrag). Regelingen en zogenoemde “voorzieningen” (zoals digitale portemonnees) vallen onder het nieuwe “PISA”-oversightkader van het Eurosysteem, dat momenteel geleidelijk wordt uitgerold. Er zou dus een aanzienlijk risico op overlapping bestaan als er een nieuwe laag van EU-toezicht zou worden toegevoegd aan de bestaande laag van het toezicht door de ECB/het Eurosysteem, zonder dat de noodzaak daarvan afdoende is aangetoond. Bovendien is de hoofdgedachte achter PSD2 het reguleren van diensten die worden verleend aan eindgebruikers (consumenten, handelaren) en niet van diensten die betrekking hebben op de exploitatie van betalingsinfrastructuren, noch van diensten die de uitvoering van betalingsdiensten ondersteunen zonder zelf betalingsdiensten te zijn (bijvoorbeeld verwerking van betalingsgegevens, exploitatie van betalingsterminals, clouddiensten enz.) of diensten die alleen het gebruik van een betaalinstrument vergemakkelijken, zonder dat daarbij een gereguleerde betalingsdienst betrokken is. In de EU-wetgeving inzake financiële diensten worden consumentengerelateerde kwesties, kwesties in verband met de regulering van groothandels- en infrastructuurkwesties doorgaans geregeld in afzonderlijke wetgevingsteksten.
De Commissie is zich echter ten volle bewust van het toenemende belang van deze niet onder toezicht staande exploitanten bij het aanbieden van betalingsdiensten en van de potentiële risico’s die hun activiteiten kunnen inhouden voor de betalingssystemen en de financiële stabiliteit. Daarom zal de Commissie binnen drie jaar na de datum van toepassing van de herziene wetgeving op basis van bewijsmateraal en in nauwe samenwerking met de ECB/het Eurosysteem een grondige evaluatie uitvoeren, waarbij zij met name beoordeelt of naast de bestaande oversightregeling een specifieke EU-vergunnings- en toezichtregeling voor een aantal van de tot dusver uitgesloten entiteiten nodig is. Dit tijdschema is nodig om voldoende bewijs van uitvoering te verzamelen.
In het licht van deze overwegingen bevat het voorstel tot herziening van PSD2 alleen essentiële verduidelijkingen van de regels voor het toepassingsgebied van PSD2, waar thans sprake is van dubbelzinnigheden, maar zonder dat het bestaande toepassingsgebied van PSD2 ingrijpend wordt gewijzigd.
Toegang tot contanten is een prioriteit van de Commissie. Het nieuwe voorstel helpt deze doelstelling te verwezenlijken door de toegang tot contanten te vergemakkelijken. Momenteel kan een detailhandelaar op grond van PSD2 aan een cliënt contant geld verstrekken zonder over een vergunning als betalingsdienstaanbieder te beschikken, maar alleen in combinatie met een aankoop (“cashback”). Om de toegang tot contanten verder te verbeteren, stelt de Commissie voor om detailhandelaren toe te staan contantgelddienstverlening aan te bieden, zelfs als de cliënt geen aankoop heeft gedaan, zonder dat zij een vergunning als betalingsdienstaanbieder nodig hebben of als agent van een betalingsinstelling optreden. Hieraan zijn een aantal voorwaarden verbonden, zoals een maximumbedrag van 50 EUR per opname en een verplichting om eventuele in rekening gebrachte vergoedingen bekend te maken.
Voor de distributie van contanten via geldautomaten is in het algemeen een vergunning als betalingsdienstaanbieder vereist, maar PSD2 bevat een uitzondering voor bepaalde niet-bancaire exploitanten van geldautomaten, met specifieke voorwaarden. Deze uitzondering is in de praktijk moeilijk toepasbaar gebleken. Daarom wordt voorgesteld om de uitzondering te schrappen, maar om exploitanten van geldautomaten die geen betaalrekeningen houden in het toepassingsgebied op te nemen, met een lichtere registratieregeling en een passend reguleringsniveau (zo zal bijvoorbeeld transparantie over vergoedingen worden vereist).
3.3.Consumentenbescherming
i.
Regels inzake kosten
PSD2 bepaalt dat begunstigden aan betalers kosten in rekening mogen brengen om hen aan te sporen gebruik te maken van specifieke betaalinstrumenten (zogeheten “toeslagen”). Begunstigden kunnen echter geen vergoeding vragen voor het gebruik van betaalinstrumenten waarvoor de afwikkelingsvergoedingen worden geregeld in de verordening betreffende afwikkelingsvergoedingen, d.w.z. voor debet- en kredietkaarten van consumenten die zijn uitgegeven in het kader van vierpartijenbetaalkaartsystemen en voor betalingsdiensten waarop de SEPA-verordening van toepassing is, d.w.z. overmakingen en automatische afschrijvingen in euro. De lidstaten mogen momenteel toeslagen op ruimere schaal verbieden of beperken, een optie die in meer dan de helft van de lidstaten is toegepast. De Commissie is van mening dat het niet nodig is de vergoedingspraktijken in de lidstaten verder op elkaar af te stemmen of aan te passen, aangezien het verbod op toeslagen reeds op 95 % van de betalingen in de EU van toepassing is. De meeste respondenten van de openbare raadpleging ondersteunen deze conclusie. Het verbod op toeslagen in PSD2 geldt momenteel echter niet voor overmakingen en automatische afschrijvingen die luiden in andere EU-valuta’s dan de euro. Aangezien er geen duidelijke reden voor deze beperking is, stelt de Commissie voor om het verbod op toeslagen uit te breiden tot alle overmakingen en automatische afschrijvingen in alle valuta’s.
ii.
Regels voor transacties met derde landen
PSD2 is van toepassing op betalingstransacties binnen de EU en van en naar derde landen in om het even welke valuta (met inbegrip van niet-EU-valuta); de bepalingen van PSD2 zijn echter beperkt tot de onderdelen van een transactie die in de EU worden uitgevoerd. Vergoedingen en transparantie over vergoedingen voor betalingen binnen de EU vallen onder de verordening betreffende grensoverschrijdende betalingen, maar die verordening is niet van toepassing op geldtransfers en overmakingen van de EU naar derde landen. Wanneer een valutawissel nodig is, maken de daaraan verbonden kosten vaak een belangrijk deel uit van de totale kosten. Bij transacties van de EU naar derde landen is het zonder volledige transparantie over de kosten en vergoedingen voor consumenten moeilijk om de kosten van verschillende aanbieders met elkaar te vergelijken; bijgevolg is het mogelijk dat zij een aanbieder kiezen die niet optimaal bij hun behoeften past. Bovendien hoeven betalingsdienstaanbieders op grond van de huidige PSD2 de betalingsdienstgebruiker geen raming te geven van de maximale uitvoeringstermijn voor dergelijke transacties.
Het bevorderen van concurrentie en het verlagen van de kosten voor internationale overmakingen en geldtransfers is een van de doelstellingen van de routekaart van de G20 voor grensoverschrijdende betalingen. Daarom stelt de Commissie een verplichting voor om bij overmakingen en geldtransfers van de EU naar derde landen de betalingsdienstgebruiker te informeren over de geraamde valutawisselkosten, overeenkomstig de huidige informatievereisten voor transacties binnen de EU, alsook over de geraamde termijn voor de ontvangst van de geldmiddelen door de betalingsdienstaanbieder van de begunstigde in een derde land. De Commissie stelt echter niet voor om een maximumtermijn voor het uitvoeren van overmakingen en geldtransfers van de EU naar derde landen vast te stellen, aangezien de uitvoeringstermijn deels afhankelijk is van banken buiten de EU die niet onder de EU-regels vallen.
iii. Drempels in verband met de uitsluiting van elektronischecommunicatienetwerken
PSD2 voorziet in een uitsluiting van het toepassingsgebied ervan voor betalingstransacties die door een aanbieder van een elektronischecommunicatienetwerk worden uitgevoerd met of via een elektronisch apparaat, of voor de aankoop van digitale inhoud of spraakgestuurde diensten (bv. beltonen, muziek en premium sms-diensten) waarbij de transactie in rekening wordt gebracht op de factuur voor de abonnee. Deze uitsluiting is beperkt tot 50 EUR per transactie en 300 EUR per maand. De Commissie heeft in haar evaluatie van PSD2 geen problemen vastgesteld met betrekking tot de huidige niveaus van de verschillende drempels in PSD2. In het licht van het bewijsmateriaal dat zij in het kader van haar evaluatie heeft ontvangen, stelt de Commissie geen wijzigingen van de drempels voor, maar zal zij blijven toezien op de toereikendheid ervan.
iv.
Regels voor het blokkeren van geldmiddelen
Wanneer een betaalkaart wordt gebruikt voor de betaling van een onzeker bedrag (bijvoorbeeld in een tankstation, een hotel of een autoverhuurbedrijf), blokkeert de betalingsdienstaanbieder van de betaler gewoonlijk geldmiddelen op de kaart nadat de betaler toestemming heeft gegeven. Geblokkeerde geldmiddelen zijn voor de gebruiker niet beschikbaar voor uitgaven totdat ze worden vrijgegeven, wat tot financiële moeilijkheden kan leiden. Uit bewijsmateriaal blijkt dat de geblokkeerde geldmiddelen onevenredig of onredelijk hoog kunnen zijn in vergelijking met het definitieve bedrag, wanneer dat bekend is. Het probleem van buitensporige geblokkeerde bedragen kan niet worden opgelost door maximumbedragen in te voeren, aangezien in verschillende situaties zeer verschillende geblokkeerde bedragen nodig kunnen zijn (aankoop van brandstof, huur van een auto, verblijf in een hotel enz.). Dit werd door een meerderheid van de belanghebbenden ook aangegeven in de openbare raadpleging. Een andere daarmee verband houdende kwestie betreft verschillen in het tijdstip waarop de ongebruikte geblokkeerde geldmiddelen worden vrijgegeven. Volgens de ontvangen feedback kan het verscheidene weken duren voordat de vrijgave plaatsvindt of kan daarvoor zelfs een uitdrukkelijk verzoek van de betaler vereist zijn. Tegen deze achtergrond stelt de Commissie wijzigingen voor om de uitbetaling van ongebruikte geblokkeerde geldmiddelen te versnellen en te eisen dat het geblokkeerde bedrag in verhouding staat tot het verwachte definitieve bedrag, in plaats van de invoering van absolute maximumbedragen voor te stellen.
3.4.Veiligheid en fraudepreventie
Op het gebied van fraude was de belangrijkste innovatie van PSD2 de invoering van sterke cliëntauthenticatie. Hierbij gaat het om twee authenticatiefactoren op basis van kennis (bv. een wachtwoord), bezit (zoals een kaart) of inherentie (zoals een vingerafdruk). In PSD2 is bepaald dat betalingsdienstaanbieders sterke cliëntauthenticatie moeten toepassen wanneer de betaler zich online toegang tot een betaalrekening verschaft, een elektronische betalingstransactie initieert of via een communicatiemiddel op afstand een handeling uitvoert die een risico op betalingsfraude of andere vormen van misbruik met zich mee kan meebrengen. Uit de evaluatie van de Commissie blijkt dat sterke cliëntauthenticatie al zeer succesvol is geweest bij het terugdringen van fraude. Wat bijvoorbeeld kaartbetalingen op afstand betreft, is de fraude bij transacties met sterke cliëntauthenticatie 70 % tot 80 % lager dan bij transacties zonder sterke cliëntauthenticatie. De geleidelijke invoering van sterke cliëntauthenticatie door de markt was echter een moeilijke opgave en leidde tot een aantal grote vertragingen bij de volledige uitrol ervan. Marktdeelnemers benadrukken regelmatig de kosten van de invoering van sterke cliëntauthenticatie en velen zouden een doelgerichtere aanpak verkiezen om frictie in verband met sterke cliëntauthenticatie bij elektronische transacties te verminderen. De Commissie erkent dat de invoering van sterke cliëntauthenticatie soepeler had kunnen verlopen en dat de markt, die de complexiteit en het effect van deze migratie aanzienlijk heeft onderschat, er zeker beter op had kunnen anticiperen. De Commissie is echter niet van plan haar aanpak ten aanzien van sterke cliëntauthenticatie te wijzigen, gezien de zeer positieve resultaten die deze reeds heeft opgeleverd voor de fraudeniveaus en gezien het feit dat de meeste gebruikers van sterke cliëntauthenticatie, na de geleidelijke invoering ervan, er inmiddels mee bekend zijn.
De invoering van sterke cliëntauthenticatie bracht voor veel consumenten in de EU een aantal concrete uitdagingen met zich mee, wat van invloed was op hun mogelijkheid om elektronische betalingen uit te voeren. De Commissie is van mening dat iedereen sterke cliëntauthenticatie moet kunnen uitvoeren, ongeacht zijn gezondheid, leeftijd of andere factoren. Betalingsdienstaanbieders moeten daarom over middelen voor de uitvoering van sterke cliëntauthenticatie beschikken die voor al hun cliënten toegankelijk zijn en niet alleen voor degenen die bijvoorbeeld in het bezit zijn van een smartphone of vertrouwd zijn met technologie. De Commissie zal van betalingsdienstaanbieders verlangen het gebruik van sterke cliëntauthenticatie door bijvoorbeeld personen met een handicap, ouderen en anderen die moeilijkheden ondervinden bij het gebruik van sterke cliëntauthenticatie, te vergemakkelijken, in overeenstemming met de Europese toegankelijkheidswet.
Ondanks het succes van sterke cliëntauthenticatie worden niet alle vormen van fraude ermee aangepakt. In het licht van de opkomst van nieuwe vormen van fraude, met name fraude door “social engineering”, waarbij fraudeurs hun slachtoffers manipuleren om hun persoonlijke beveiligingsgegevens te onthullen of geld naar een onrechtmatige begunstigde te sturen en waarop sterke cliëntauthenticatie nauwelijks effect heeft, stelt de Commissie nieuwe maatregelen voor met betrekking tot zowel fraudepreventie als verhaal. Hierbij gaat het onder meer om verbeteringen in de toepassing van sterke cliëntauthenticatie (bv. verduidelijkingen wanneer een transactie kan worden aangemerkt als door een handelaar geïnitieerd of als een aankoop per post of via de telefoon), het creëren van een rechtsgrondslag voor betalingsdienstaanbieders om fraudegerelateerde informatie te uit te wisselen met volledige inachtneming van de AVG, zoals doorgaans gevraagd door de markt, een verplichting voor betalingsdienstaanbieders om voorlichtingsacties uit te voeren om cliënten bewuster te maken van betalingsfraude en een uitbreiding tot alle overmakingen — niet alleen instantbetalingen — van IBAN-/naamverificatiediensten, die op de markten waar zij zijn ingevoerd reeds hun doeltreffendheid tegen fraude en fouten hebben bewezen.
PSD2 heeft een recht op terugbetaling voor consumenten geïntroduceerd, maar alleen wat betreft niet-toegestane overmakingen, d.w.z. overmakingen waarbij de betaler niet heeft ingestemd met de uitvoering van de betalingstransactie. De richtlijn heeft echter geen betrekking op de vormen van fraude die sinds de vaststelling ervan zijn opgekomen en die steeds vaker voorkomen, zoals de hierboven genoemde fraude door social engineering. Hoewel de door PSD2 geïntroduceerde toepassing van sterke cliëntauthenticatie reeds heeft geleid tot een aanzienlijke vermindering van de fraude in verband met niet-toegestane betalingstransacties, is sterke cliëntauthenticatie grotendeels inefficiënt om deze nieuwe vormen van fraude te voorkomen. De Commissie is van oordeel dat bij social engineering het verschil tussen toegestane en niet-toegestane transacties vervaagt en in de praktijk moeilijk toepasbaar is, wat ook de juridische vraag doet rijzen of een transactie kan worden geacht te zijn toegestaan louter omdat sterke cliëntauthenticatie is uitgevoerd.
De Commissie is van mening dat alle wijzigingen in het aansprakelijkheidskader van PSD2 moeten bijdragen tot het terugdringen van fraude, maar zonder een nieuw moreel risico te creëren, dat het gevolg kan zijn van een algemeen recht op terugbetaling, of zonder de financiële gevolgen van fraude eenvoudigweg te herverdelen. Daarom stelt zij voor om aanvullende rechten op terugbetaling voor consumenten in te voeren die verder gaan dan niet-toegestane transacties, maar alleen voor bepaalde specifieke situaties — en onder bepaalde voorwaarden. De redenering van de Commissie is dat wanneer de betalingsdienstaanbieder, als gevolg van zijn handelen of nalaten, aansprakelijk kan worden geacht, een recht op terugbetaling gerechtvaardigd kan zijn. Een van deze situaties doet zich voor wanneer de consument schade heeft geleden als gevolg van een fout van de IBAN-/naamverificatiedienst. Een andere situatie waarin een recht op terugbetaling gerechtvaardigd zou zijn, is wanneer een consument het slachtoffer is van fraude waarbij de fraudeur zich voordoet als medewerker van de bank van de consument, bijvoorbeeld door gebruik te maken van het telefoonnummer of e-mailadres van de bank (“impersonatiefraude” of “spoofing”). In dit laatste geval kan de betalingsdienstaanbieder, wiens beveiligingsgegevens en medewerkers op frauduleuze wijze zijn toegeëigend, ook als slachtoffer worden beschouwd, net als de consument. In een toenemend aantal lidstaten kiezen banken, die terecht bezorgd zijn over de gevolgen van dergelijke fraude voor hun reputatie en voor het vertrouwen van de consument in het bankenstelsel, er echter steeds vaker voor dergelijke frauduleuze “spoofing”-transacties te vergoeden. Sommige uitspraken van nationale rechtbanken lijken dezelfde trend te volgen. Het is echter absoluut noodzakelijk om enkele uitzonderingen en waarborgen met betrekking tot dergelijke rechten op terugbetaling in te voeren, met name wanneer er sprake is van grove nalatigheid van de consument of wanneer de consument bij de oplichting betrokken is.
De Commissie vindt fraude een uiterst belangrijk probleem. Zij zal, in samenwerking met consumentenorganisaties, nauwlettend toezien op de ontwikkeling van betalingsfraude en bereid zijn om, indien nodig, aanpassingen van het rechtskader voor te stellen, onder meer om de verschuiving van de aansprakelijkheid verder te verbreden. De Commissie verwacht dat elke al dan niet gereguleerde particuliere of publieke actor in de betalingsketen zich ten volle zal inzetten voor de preventie van fraude. Handelaren, betalingsregelingen, technischedienstaanbieders, exploitanten van mobiele netwerken, internetplatforms en anderen moeten, naast de gereguleerde betalingsdienstaanbieders, volwaardig deelnemen aan de collectieve inspanning, en in sommige situaties kan ook hun aansprakelijkheid worden ingeroepen.
3.5.Risicobeperking en mededingingskwesties
Niet-bancaire betalingsdienstaanbieders zijn sinds de inwerkingtreding van PSD2 in aantal en belang toegenomen. Hoewel zij betaalrekeningdiensten kunnen aanbieden, mogen zij, in tegenstelling tot banken, geen leningen verstrekken en moeten zij geldmiddelen van hun cliënten veiligstellen bij een commerciële bank om een vergunning te verkrijgen. Betalingsinstellingen en instellingen voor elektronisch geld moeten dus over een rekening bij een commerciële bank beschikken. Bovendien is voor het aanbieden van betalingsdiensten toegang nodig tot belangrijke betalingsinfrastructuren die betalingen verwerken en afwikkelen.
Zoals blijkt uit het advies van de EBA van januari 2022, hebben betalingsinstellingen en instellingen voor elektronisch geld problemen ondervonden bij de risicobeperking door commerciële banken. Wat de toegang tot rekeningen bij commerciële banken betreft, zijn banken op grond van PSD2 weliswaar verplicht elke weigering om een betalingsinstelling of instelling voor elektronisch geld toegang tot een rekening te verlenen toe te lichten en te rechtvaardigen, maar geven zij daarvoor vaak oppervlakkige pro-formaverklaringen, of verlenen zij toegang, maar trekken zij deze toegang vervolgens weer in, wat zij op grond van PSD2 niet hoeven toe te lichten. Dit kan de activiteiten van betalingsinstellingen en instellingen voor elektronisch geld ernstig verstoren.
Bovendien verhindert de finaliteitsrichtlijn in haar huidige vorm de toegang van niet-bancaire betalingsdienstaanbieders tot betalingsinfrastructuren die in het kader van die richtlijn door de lidstaten zijn aangewezen, door hen niet als mogelijke deelnemers te noemen. Dit noopt betalingsinstellingen en instellingen voor elektronisch geld ertoe om nog vaker een beroep te doen op commerciële banken, niet alleen om geldmiddelen van cliënten veilig te stellen, maar ook om betalingen uit te voeren, waardoor niet-bancaire betalingsdienstaanbieders structureel afhankelijk worden van banken en er een ongelijk speelveld ontstaat dat door talrijke marktdeelnemers wordt afgewezen.
Het voorstel van de Commissie tot herziening van PSD2 bevat daarom maatregelen om deze tekortkomingen te verhelpen en het speelveld gelijker te maken. De aan banken gestelde eisen met betrekking tot het verlenen van bankrekeningdiensten aan niet-bancaire betalingsdienstaanbieders zullen aanzienlijk worden aangescherpt, met een strengere verplichting om een weigering toe te lichten, en zullen, anders dan in PSD2, ook gelden voor de stopzetting van de dienstverlening. Centrale banken zullen naar eigen goeddunken ook rekeningdiensten mogen verlenen aan niet-bancaire betalingsdienstaanbieders. De Commissie stelt ook voor de finaliteitsrichtlijn te wijzigen om betalingsinstellingen als mogelijke deelnemers in aangewezen betalingssystemen op te nemen. De herziene betalingsregels zullen strengere regels omvatten voor de toelating van betalingsinstellingen als deelnemers aan betalingssystemen, met een passende risicobeoordeling.
3.6.Handhaving
Adequate handhaving is van essentieel belang om een geharmoniseerde toepassing en uitvoering van de PSD2-regels te waarborgen. Het beginsel van volledige harmonisatie vereist dat de lidstaten geen andere bepalingen handhaven of invoeren dan die welke zijn neergelegd in PSD2. De PSD2-regels worden echter verschillend geïnterpreteerd en uitgevoerd door de diverse belanghebbenden op de betalingsmarkt, ondanks het feit dat er niet-bindende interpretatieve richtsnoeren beschikbaar zijn, onder meer in het kader van de vraag-en-antwoordtool, de adviezen en de richtsnoeren van de EBA. Het toezicht op betalingsinstellingen verloopt langs nationale lijnen en de nationale bevoegde autoriteiten zijn verantwoordelijk binnen hun rechtsgebied. Er is sprake van een ongelijk speelveld met potentieel voor reguleringsarbitrage wanneer betalingsdienstaanbieders zich vestigen in een lidstaat die de PSD2-regels toepast op een wijze die voor hen gunstig is en zij vanuit die lidstaat grensoverschrijdende diensten verrichten voor andere lidstaten met een striktere interpretatie.
Tegen deze achtergrond is het passend de handhavingsbevoegdheden van nationale bevoegde autoriteiten te versterken, met name op het gebied van sancties, en te zorgen voor een uniforme toepassing van de EU-regels inzake betalingen door het grootste deel van de regels van PSD2 om te zetten in een rechtstreeks toepasselijke verordening.
3.7.Andere kwesties
I.Kleinere betalingsinstellingen
PSD2 staat de lidstaten toe om kleinere betalingsinstellingen aan minder strenge toezichtseisen te onderwerpen, mits bepaalde drempels voor uitgevoerde betalingstransacties in acht worden genomen. Er zijn geen wezenlijke problemen vastgesteld in verband met de huidige hoogte van de drempels en er is dan ook geen dwingende reden voor de Commissie om wijzigingen van de drempels voor te stellen; de Commissie stelt echter voor om de drempels te actualiseren teneinde rekening te houden met de inflatie en dit in de toekomst periodiek te doen aan de hand van gedelegeerde wetgeving.
II.Vereenvoudiging: stroomlijning met elektronischgelddiensten
De tweede richtlijn elektronisch geld (EMD2) bevat regels voor de vergunningverlening aan en het toezicht op instellingen voor elektronisch geld. PSD2 bevat regels voor de vergunningverlening aan en het toezicht op betalingsinstellingen en voorziet in rechten en verplichtingen en in transparantievereisten in de betrekkingen tussen alle betalingsdienstaanbieders (met inbegrip van instellingen voor elektronisch geld) en betalingsdienstgebruikers. Aangezien betalingstransacties met gebruikmaking van elektronisch geld reeds in zeer hoge mate worden gereguleerd door PSD2, is het op instellingen voor elektronisch geld en betalingsinstellingen toepasselijke rechtskader reeds redelijk consistent. De vergunningsvereisten, met name wat betreft aanvangskapitaal en permanent beschikbaar kapitaal, en enkele sleutelbegrippen die van toepassing zijn op activiteiten op het gebied van elektronisch geld, zoals de uitgifte, distributie en terugbetaalbaarheid van elektronisch geld, zijn duidelijk verschillend van die voor de door betalingsinstellingen verleende diensten. Toezichthoudende autoriteiten hebben praktische moeilijkheden ondervonden bij het duidelijk afbakenen van de twee stelsels en bij het onderscheiden van producten en diensten op het gebied van elektronisch geld van de door betalingsinstellingen aangeboden betalingsdiensten. Dit heeft geleid tot bezorgdheid over reguleringsarbitrage en een ongelijk speelveld, alsook tot problemen met mogelijke omzeiling van de vereisten van EMD2, waarbij sommige instellingen die elektronisch geld uitgeven, gebruikmaken van de gelijkenis tussen betalingsdiensten en elektronischgelddiensten en alleen een vergunning als betalingsinstelling aanvragen.
De opgedane ervaring volstaat nu om te concluderen dat een samenvoeging van de twee stelsels passend is door deze in één enkele wetstekst samen te brengen en zo veel mogelijk te harmoniseren, terwijl nog ruimte wordt gelaten voor specifieke kenmerken waar dat gerechtvaardigd is. Hiermee zullen de problemen en uitdagingen met betrekking tot de afbakening van de twee rechtskaders, met name in de vergunningsfase, worden aangepakt. Verder wordt een hogere mate van harmonisatie, vereenvoudiging en consistente toepassing van de wettelijke vereisten voor betalingsinstellingen en instellingen voor elektronisch geld gewaarborgd, waarmee reguleringsarbitrage wordt voorkomen en voor een gelijk speelveld en een toekomstbestendig rechtskader wordt gezorgd.
4.CONCLUSIES
In het licht van de resultaten van het evaluatieverslag over PSD2 heeft de Commissie enerzijds geconcludeerd dat gerichte wijzigingen voorzien in een dringende behoefte, maar anderzijds dat die wijzigingen een evolutie, maar geen revolutie voor het EU-betalingskader moeten behelzen. Op bepaalde gebieden — bijvoorbeeld het toepassingsgebied van de wetgeving of de toeslagen — is er geen bewijs gevonden van problemen die ingrijpende en onmiddellijke wijzigingen zouden rechtvaardigen, hoewel dit voortdurend zal worden geëvalueerd, met name wat betreft exploitanten van betalingssystemen in het licht van de evaluatieclausule van DORA. Op andere gebieden, bijvoorbeeld open bankieren, acht de Commissie het, gezien de effecten die PSD2 reeds heeft gesorteerd en de reeds gedane investeringen om de PSD2-normen uit te voeren, alsook de kosten die een ingrijpende wijziging van dergelijke vereisten met zich mee zou brengen, van essentieel belang om alle opties af te wijzen waaraan aanzienlijke nieuwe uitvoeringskosten zijn verbonden en/of waarvan de uitkomsten onzeker zijn.
De voorgestelde herzieningen van PSD2 vormen een pakket wijzigingen die de werking van de betalingsmarkt van de EU zullen verbeteren en de bescherming van de consument aanzienlijk zullen versterken. Deze wijzigingen zijn volledig in overeenstemming met de doelstellingen van de strategie voor retailbetalingen van de Commissie en vormen een aanvulling op lopende initiatieven zoals het wetgevingsvoorstel inzake instantbetalingen en het voorstel inzake “open geldwezen” (FIDA), dat de Commissie ook voorstelt met haar herzieningen van PSD2.
AANHANGSEL 1
Artikel 108 van Richtlijn (EU) 2015/2366
Evaluatieclausule
“Uiterlijk op 13 januari 2021 dient de Commissie bij het Europees Parlement, de Raad, de ECB en het Europees Economisch en Sociaal Comité een rapport in over de toepassing en het effect van deze richtlijn, en met name over:
a) de toepasselijkheid en het effect van de in artikel 62, leden 3, 4 en 5, vervatte voorschriften voor de kosten en vergoedingen;
b) de toepassing van artikel 2, leden 3 en 4, met inbegrip van een beoordeling of titel III en titel IV, waar dat technisch mogelijk is, volledig kunnen worden toegepast op de in die leden bedoelde betalingstransacties;
c) de toegang tot betalingssystemen, met name rekening houdend met de mate van concurrentie;
d) de toepasselijkheid en het effect van de drempels voor de betalingstransacties bedoeld in artikel 3, onder l);
e) de toepasselijkheid en het effect van de drempels voor de vrijstelling bedoeld in artikel 32, lid 1, onder a);
f) de vraag of het, gezien de ontwikkelingen, wenselijk zou zijn om, in aanvulling op de bepalingen van artikel 75 betreffende betalingstransacties waarbij het bedrag niet vooraf bekend is en waarbij geldmiddelen worden geblokkeerd, maximumgrenzen te stellen aan de bedragen die in dergelijke situaties op de betaalrekening van de betaler moeten worden geblokkeerd.
De Commissie dient, in voorkomend geval, samen met haar verslag een wetgevingsvoorstel in.”
AANHANGSEL 2
Artikel 58, lid 2, van Verordening (EU) 2022/2554 (DORA)
“In het kader van de herziening van Richtlijn (EU) 2015/2366 beoordeelt de Commissie of het nodig is de cyberweerbaarheid van betalingssystemen en betalingsverwerkingsactiviteiten te vergroten en of het passend is het toepassingsgebied van deze verordening uit te breiden tot exploitanten van betalingssystemen en entiteiten die betrokken zijn bij betalingsverwerkingsactiviteiten. In het licht van deze beoordeling legt de Commissie, bij de herziening van Richtlijn (EU) 2015/2366, uiterlijk op 17 juli 2023 een verslag voor aan het Europees Parlement en aan de Raad.
Op basis van dat evaluatieverslag en na raadpleging van de ETA’s, de ECB en het ESRB kan de Commissie, in voorkomend geval en als onderdeel van het wetgevingsvoorstel dat zij krachtens artikel 108, tweede alinea, van Richtlijn (EU) 2015/2366 kan vaststellen, een voorstel indienen om ervoor te zorgen dat alle exploitanten van betalingssystemen en entiteiten die betrokken zijn bij betalingsverwerkingsactiviteiten aan passend oversight zijn onderworpen, rekening houdend met het bestaande oversight door de centrale banken.”