FFFS 2018:4
Finansinspektionens föreskrifter om verksamhet för betaltjänstleverantörer
Finansinspektionens författningssamling
Utgivare: Finansinspektionen, Sverige, www.fi.se
ISSN 1102-7460
1
Finansinspektionens föreskrifter
om verksamhet för betaltjänstleverantörer;
beslutade den 17 april 2018.
Finansinspektionen föreskriver1 följande med stöd av 5 § 8–16 förordningen
(2010:1008) om betaltjänster.
1 kap. Tillämpningsområde och definitioner
Tillämpningsområde
1 § Dessa föreskrifter gäller för följande betaltjänstleverantörer som tillhandahåller
betaltjänster i Sverige
– kreditinstitut,
– betalningsinstitut,
– registrerade betaltjänstleverantörer,
– institut för elektroniska pengar, och
– registrerade utgivare av elektroniska pengar.
Bestämmelserna i 6 kap. 2 § gäller även för utländska betaltjänstleverantörer med
filial i Sverige.
2 § Bestämmelserna i 4 kap. gäller endast för betaltjänstleverantörer som till-
handahåller betalkonton till konsumenter där konsumenten åtminstone kan
1. placera medel på ett betalkonto,
2. ta ut kontanter från ett betalkonto, och
3. utföra och ta emot betalningstransaktioner till och från tredjepart.
Definitioner
3 §
I föreskrifterna har termer och uttryck samma betydelse som i lagen
(2010:751) om betaltjänster. Därutöver avses med
riktighet: att information inte förändras obehörigen, av misstag eller på grund av
funktionsstörning,
1 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om
betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG
och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv
2007/64/EG, samt Europaparlamentets och rådets direktiv 2014/92/EU av den 23 juli 2014
om jämförbarhet för avgifter som avser betalkonto, byte av betalkonto och tillgång till
betalkonto med grundläggande funktioner.
FFFS 2018:4
Utkom från trycket
den 23 april 2018
FFFS 2018:4
2
betalningsrelaterade tjänster: all affärsverksamhet som avses i artikel 4.3 i
betaltjänstdirektivet och all teknisk support som behövs för ett korrekt tillhanda–
hållande av betaltjänster,
integritet: ett säkerställande av att ett företags tillgångar, inklusive data, är
korrekta och fullständiga,
konfidentialitet: förhållandet att information inte görs tillgänglig eller avslöjas för
obehöriga,
kontinuitet: att de processer, uppgifter och tillgångar som en organisation behöver
för att leverera betalningsrelaterade tjänster är fullt tillgängliga och fungerar på i
förväg fastställda godtagbara nivåer,
mottagande betaltjänstleverantör: den betaltjänstleverantör som en konsument vill
byta betalkonto till,
operativa incidenter eller säkerhetsincidenter: en enskild händelse eller en serie
av sammanhängande händelser som inte har planerats av betaltjänstleverantören,
vilka har eller sannolikt kommer att få negativa effekter på betalningsrelaterade
tjänster vad gäller integritet, tillgänglighet, konfidentialitet, riktighet eller
kontinuitet,
riskaptit: en nivå och inriktning på företagets risker som kan accepteras för att
uppnå företagets strategiska mål,
säkerhetsrisk: risken för att otillräckliga eller felaktiga interna processer eller
externa händelser, inklusive cyberattacker eller otillräcklig fysisk säkerhet,
negativt påverkar tillgängligheten, integriteten eller konfidentialiteten i
– informations- och kommunikationstekniska system, eller
– den information som används för att tillhandahålla betaltjänsterna,
tillgänglighet: att betalningsrelaterade tjänster är tillgängliga och kan användas av
betaltjänstanvändarna.
överlämnande betaltjänstleverantör: den betaltjänstleverantör som en konsument
vill byta betalkonto från.
2 kap. Betaltjänstleverantörers hantering av klagomål
1 § En betaltjänstleverantör ska ha lämpliga och effektiva rutiner för att hantera
och besvara en betaltjänstanvändares klagomål på verksamheten i de länder där
leverantören tillhandahåller betaltjänster.
Betaltjänstleverantören ska besvara klagomålet på ett språk som är officiellt i det
land där betaltjänsten tillhandahålls, och lämna det i pappersform till
betaltjänstanvändaren, om leverantören och användaren inte kommer överens om
något annat.
2 § En betaltjänstleverantör ska besvara en betaltjänstanvändares klagomål inom
15 bankdagar från och med den dag klagomålet tas emot.
Om betaltjänstleverantören på grund av särskilda skäl inte har möjlighet att lämna
ett svar inom den tid som anges i första stycket, ska leverantören svara inom 35
bankdagar från det att klagomålet tas emot. I sådana fall ska leverantören, inom
FFFS 2018:4
3
den tid som anges i första stycket, informera betaltjänstanvändaren om när svaret
kommer att lämnas och om de särskilda skäl som förseningen beror på.
3 kap. Information om tjänster, avgifter och rättigheter
Information till konsumenter
1 § Den information som en betaltjänstleverantör enligt 4 a kap. 5 § andra stycket
lagen (2010:751) om betaltjänster ska hålla tillgänglig för konsumenter, ska finnas
på betaltjänstleverantörens webbplats. Detsamma gäller för den broschyr om
konsumenters rättigheter som finns på Finansinspektionens webbplats.
Informationen enligt första stycket ska även finnas i pappersform hos filialer,
ombud och i de av leverantörens lokaler som är tillgängliga för konsumenter.
2 § Om information enligt 1 § finns tillgänglig på en betaltjänstleverantörs
webbplats ska texten även göras tillgänglig för uppläsning. Sådan information som
finns i lokaler ska även göras tillgänglig i punktskrift eller i annat format som gör
den tillgänglig för personer med funktionsnedsättning.
4 kap. Rutiner för byte av betalkonto
Krav på rutiner för byte av betalkonto
1 § De rutiner för byte av betalkonto som en betaltjänstleverantör ska ha enligt
4 a kap. 6 § lagen (2010:751) om betaltjänster ska åtminstone uppfylla kraven i 3–
10 §§.
2 § Bestämmelserna i 3–10 §§ ska tillämpas från och med att den mottagande
betaltjänstleverantören har öppnat det nya betalkonto som bytet ska ske till.
Skyldigheter för den mottagande betaltjänstleverantören
3 § Ett byte av betalkonto ska börja med att alla som är innehavare av betalkontot
skriftligen ger den mottagande betaltjänstleverantören i uppdrag att genomföra
bytet och lämnar instruktioner för hur uppdraget ska utföras. Den mottagande
betaltjänstleverantören ska se till att det är möjligt för en konsument att lämna
uppdraget och instruktionerna på svenska om betaltjänstleverantören och
konsumenten inte kommer överens om något annat.
4 § Den mottagande betaltjänstleverantören ska se till att konsumenten har
möjlighet att lämna instruktioner om vilka autogiromedgivanden, inkommande
betalningar och stående överföringar knutna till det gamla betalkontot som ska
knytas till det nya.
Betaltjänstleverantören ska även se till att konsumenten kan lämna instruktioner
om att eventuellt kvarstående saldo på betalkontot hos den överlämnande
betaltjänstleverantören ska överföras, och att betalkontot därefter ska avslutas.
5 § Den mottagande betaltjänstleverantören ska se till att konsumenten har
möjlighet att bestämma vilket datum som bytet av betalkonto ska inledas.
FFFS 2018:4
4
6 § Den mottagande betaltjänstleverantören ska, om inget annat har avtalats
mellan leverantörerna, skicka uppdraget och instruktionerna enligt 3 och 4 §§ på
svenska till den överlämnande betaltjänstleverantören, senast bankdagen efter det
datum som bestäms enligt 5 §.
7 § Den mottagande betaltjänstleverantören ska se till att de autogiromedgivanden
och stående överföringar som anges i instruktionerna är knutna till det nya betal-
kontot senast tre bankdagar efter det datum som bestäms enligt 5 §.
8 § Om konsumenten har gett den mottagande betaltjänstleverantören i uppdrag att
avsluta betalkontot hos den överlämnande betaltjänstleverantören, eller att överföra
ett kvarstående saldo, ska den mottagande betaltjänstleverantören informera den
överlämnande betaltjänstleverantören om hur det kvarstående saldot ska överföras.
9 § Den mottagande betaltjänstleverantören ska inom tre bankdagar från det datum
som bestäms enligt 5 §, informera konsumenten om de uppgifter som krävs för att
göra inbetalningar till betalkontot.
Skyldigheter för den överlämnande betaltjänstleverantören
10 § Den överlämnande betaltjänstleverantören ska upphöra med stående över-
föringar och autogireringar inom tre bankdagar från det att leverantören har tagit
emot konsumentens uppdrag om att upphöra med sådana.
Om kvarstående medel på betalkontot hos den överlämnande betaltjänst-
leverantören ska överföras, eller om betalkontot ska avslutas, ska det kvarstående
saldot överföras inom tre bankdagar från det att konsumentens uppdrag har
mottagits. Den överlämnande betaltjänstleverantören ska avsluta betalkontot inom
tre bankdagar från det att leverantören har tagit emot konsumentens uppdrag om
avslut.
5 kap. System för operativa risker och säkerhetsrisker
1 § Det system som en betaltjänstleverantör ska ha enligt 5 b kap. 1 § lagen
(2010:751) om betaltjänster, ska vara anpassat för leverantörens verksamhet och
bestå av ett ramverk av dokumenterade åtgärder som hanterar eller minskar risken
för att operativa incidenter eller säkerhetsincidenter inträffar. Inom ramen för
systemet ska leverantören åtminstone
1.
definiera och tilldela de ansvarsfunktioner som leverantören bedömer är
nödvändiga för att genomföra säkerhetsåtgärderna,
2. fastställa processer, rutiner och system för att identifiera, mäta, övervaka och
hantera riskerna som är förknippade med leverantörens betaltjänstverksamhet,
3. göra en riskbedömning av betaltjänsterna och ta fram en beskrivning av de
säkerhetsåtgärder som ska skydda betaltjänstanvändarna mot de risker som
identifierats, bland annat mot bedrägerier och olaglig användning av känsliga
uppgifter och personuppgifter,
4. ha en intern nivåbaserad modell för att hantera och kontrollera risker i
betaltjänstverksamheten,
FFFS 2018:4
5
5. ta fram en beskrivning av hur leverantören säkerställer att de operativa riskerna
och säkerhetsriskerna hanteras när den uppdrar åt någon annan att utföra en del av
betaltjänstverksamheten,
6. fastställa en riskaptit för betaltjänstverksamheten samt inventera, klassificera och
riskbedöma affärsfunktioner, processer och tillgångar som anses kritiska för
verksamheten,
7.
ta fram säkerhetsåtgärder som hanterar konfidentialitet, integritet och
tillgänglighet för data och it-system, samt fysisk säkerhet och åtkomstkontroll,
8. se till att verksamheten övervakas för att identifiera oplanerade händelser som
leder till operativa eller säkerhetsrelaterade incidenter samt hantera, följa upp och
rapportera incidenterna,
9. ta fram en plan för kontinuitetshantering, som innefattar en beskrivning av hur
verksamheten ska upprätthållas i olika scenarier och hur leverantören ska
kommunicera i händelse av kris, testa kontinuitetsplanerna årligen och vid behov
uppdatera dem,
10. ta fram och regelbundet testa kontrollrutiner som säkerställer att säkerhets–
åtgärderna är uppdaterade och effektiva,
11. ta fram en hotbildsanalys för betaltjänstverksamheten och regelbundet utbilda
personalen om hur den ska använda beredskapsplaner, kontinuitetsplaner och
återställningsplaner och
12. ta fram och vid behov genomföra processer och rutiner för att vägleda och
informera betaltjänstanvändarna om säkerhetsrisker och felmeddelanden som är
relaterade till de tillhandahållna betaltjänsterna och betaltjänstanvändarnas
möjligheter att avaktivera specifika betalningsfunktioner.
6 kap. Uppgifter till Finansinspektionen
Övergripande bedömning av operativa risker, säkerhetsrisker och åtgärder
1 § En betaltjänstleverantör ska årligen komma in till Finansinspektionen med en
rapport som innehåller en aktuell och övergripande bedömning av de operativa
risker och säkerhetsrisker som är förknippade med de betaltjänster som
leverantören tillhandahåller, och en beskrivning av de säkerhetsåtgärder som
leverantören genomfört för att hantera dessa risker. Rapporten ska även innehålla
en bedömning av lämpligheten av de säkerhetsåtgärder som leverantören genom–
fört för att hantera dessa risker.
Rapporten ska komma in till Finansinspektionen senast den 21 februari.
Statistiska uppgifter om svikliga förfaranden
2 § En betaltjänstleverantör ska två gånger per år lämna statistiska uppgifter till
Finansinspektionen om svikliga förfaranden som har ägt rum i samband med
användningen av betaltjänster. Uppgifterna ska innehålla
1. total transaktionsvolym,
FFFS 2018:4
6
2. total transaktionsvolym relaterad till svikliga förfaranden, och
3. en redovisning av uppgifter enligt 1 och 2 uppdelat på
a) typ av betaltjänst,
b) aktuell autentiseringsmetod,
c) typ av svikligt förfarande, och
d) var transaktionen genomförts geografiskt.
Uppgifterna ska avse det senaste kalenderhalvåret och delas upp per kvartal.
Leverantören ska lämna uppgifterna genom att använda de blanketter för
rapportering som finns på Finansinspektionens webbplats. Uppgifterna ska ha
kommit in till myndigheten senast den 21 februari respektive senast den 21 augusti.
Registrerade betaltjänstleverantörer och registrerade utgivare av elektroniska
pengar ska lämna uppgifter enligt första stycket endast en gång per år, senast den
21 februari, genom att använda de blanketter för rapportering som finns på
Finansinspektionens webbplats. Uppgifterna ska avse det senaste kalenderåret och
vara uppdelade per kvartal.
3 § Uppgifter enligt 2 § ska omfatta svikliga förfaranden som är relaterade till
genomförda betalningstransaktioner som
1. inte auktoriserats av betalaren,
2. betalaren nekar till att denne har auktoriserat, eller
3. genomförts genom att betalaren manipulerats.
Allvarliga operativa incidenter eller säkerhetsincidenter
4 § En betaltjänstleverantör ska rapportera till Finansinspektionen om en allvarlig
operativ incident eller säkerhetsincident uppkommit i verksamheten. Leverantören
ska när den rapporterar använda den blankett för allvarliga incidenter som finns
tillgänglig på Finansinspektionens webbplats.
Uppgifterna ska lämnas enligt blankettens avsnitt A–C, på det sätt som närmare
anvisas på Finansinspektionens webbplats
1. inom fyra timmar efter det att incidenten upptäckts (avsnitt A),
2. med uppdaterad information när det finns sådan och senast inom tre dagar från
det att uppgifterna enligt 1 har kommit in (avsnitt B), och
3. senast två veckor efter det att verksamheten fungerar normalt igen (avsnitt C).
5 § En betaltjänstleverantör ska informera sina betaltjänstanvändare om det
inträffar en allvarlig operativ incident eller säkerhetsincident som kan påverka
deras ekonomiska intressen negativt. När en betaltjänstleverantör informerar
betaltjänstanvändare ska följande krav tillgodoses:
1. Informationen ska vara tillgänglig för betaltjänstanvändaren på ett varaktigt
medium även efter informationstillfället.
2. Betaltjänstleverantören ska uppmärksamma betaltjänstanvändaren på att det
finns information om en allvarlig operativ incident eller säkerhetsincident som kan
påverka betaltjänstanvändarens ekonomiska intresse negativt.
FFFS 2018:4
7
3. Vid utformningen av sådan kommunikation ska betaltjänstleverantören beakta
vikten av säker kommunikation vars ursprung betaltjänstanvändaren kan
kontrollera.
Uppgifter om avgifter för tjänster
6 § En betaltjänstleverantör som tillhandahåller betalkonton med grundläggande
funktioner enligt 4 a kap. 2 § lagen (2010:751) om betaltjänster, ska lämna
uppgifter till Finansinspektionen om den lägsta avgift som leverantören erbjuder
alla konsumenter för de tjänster som framgår av den förteckning över de mest
representativa tjänsterna knutna till betalkonton i Sverige som Finansinspektionen
publicerar.
7 § Uppgifter enligt 6 § ska lämnas löpande via Finansinspektionens webbtjänst
för löpande rapportering på det sätt som närmare anvisas där.
8 § Uppgifter enligt 6 § ska lämnas till Finansinspektionen senast samma bankdag
som avgiften börjar tillämpas av betaltjänstleverantören.
Undantag från tillämpning i vissa fall
9 § Finansinspektionen kan besluta om undantag från bestämmelserna i 1, 2, 4 och
6 §§, om det finns särskilda skäl.
_______________
1. Dessa föreskrifter träder i kraft den 1 maj 2018, då Finansinspektionens
föreskrifter (FFFS 2017:1) om vissa betalkonton ska upphöra att gälla.
2. Uppgifter enligt 6 kap. 2 § ska lämnas första gången senast den 21 augusti 2019
och avse perioden från och med den 1 januari 2019 till och med den 30 juni 2019.
ERIK THEDÉEN
David
Lothigius