1 kap. Tillämpningsområde och definitioner
Tillämpningsområde
1 §Dessa föreskrifter gäller för följande betaltjänstleverantörer som tillhandahåller betaltjänster i Sverige
kreditinstitut,
betalningsinstitut,
registrerade betaltjänstleverantörer,
institut för elektroniska pengar, och
registrerade utgivare av elektroniska pengar.
Bestämmelserna i 6 kap. 2 § gäller även för utländska betaltjänstleverantörer med filial i Sverige.
2 §Bestämmelserna i 4 kap. gäller endast för betaltjänstleverantörer som tillhandahåller betalkonton till konsumenter där konsumenten åtminstone kan
placera medel på ett betalkonto,
ta ut kontanter från ett betalkonto, och
utföra och ta emot betalningstransaktioner till och från tredjepart.
Definitioner
3 §I föreskrifterna har termer och uttryck samma betydelse som i lagen (2010:751) om betaltjänster. Därutöver avses med
riktighet: att information inte förändras obehörigen, av misstag eller på grund av funktionsstörning,
betalningsrelaterade tjänster: all affärsverksamhet som avses i artikel 4.3 i betaltjänstdirektivet och all teknisk support som behövs för ett korrekt tillhandahållande av betaltjänster,
integritet: ett säkerställande av att ett företags tillgångar, inklusive data, är korrekta och fullständiga,
konfidentialitet: förhållandet att information inte görs tillgänglig eller avslöjas för obehöriga,
kontinuitet: att de processer, uppgifter och tillgångar som en organisation behöver för att leverera betalningsrelaterade tjänster är fullt tillgängliga och fungerar på i förväg fastställda godtagbara nivåer,
mottagande betaltjänstleverantör: den betaltjänstleverantör som en konsument vill byta betalkonto till,
operativa incidenter eller säkerhetsincidenter: en enskild händelse eller en serie av sammanhängande händelser som inte har planerats av betaltjänstleverantören, vilka har eller sannolikt kommer att få negativa effekter på betalningsrelaterade tjänster vad gäller integritet, tillgänglighet, konfidentialitet, riktighet eller kontinuitet,
riskaptit: en nivå och inriktning på företagets risker som kan accepteras för att uppnå företagets strategiska mål,
säkerhetsrisk: risken för att otillräckliga eller felaktiga interna processer eller externa händelser, inklusive cyberattacker eller otillräcklig fysisk säkerhet, negativt påverkar tillgängligheten, integriteten eller konfidentialiteten i
informations- och kommunikationstekniska system, eller
den information som används för att tillhandahålla betaltjänsterna,
tillgänglighet: att betalningsrelaterade tjänster är tillgängliga och kan användas av betaltjänstanvändarna, och
överlämnande betaltjänstleverantör: den betaltjänstleverantör som en konsument vill byta betalkonto från.
2 kap. Betaltjänstleverantörers hantering av klagomål
1 §En betaltjänstleverantör ska ha lämpliga och effektiva rutiner för att hantera och besvara en betaltjänstanvändares klagomål på verksamheten i de länder där leverantören tillhandahåller betaltjänster.
Betaltjänstleverantören ska besvara klagomålet på ett språk som är officiellt i det land där betaltjänsten tillhandahålls, och lämna det i pappersform till betaltjänstanvändaren, om leverantören och användaren inte kommer överens om något annat.
2 §En betaltjänstleverantör ska besvara en betaltjänstanvändares klagomål inom 15 bankdagar från och med den dag klagomålet tas emot.
Om betaltjänstleverantören på grund av särskilda skäl inte har möjlighet att lämna ett svar inom den tid som anges i första stycket, ska leverantören svara inom 35 bankdagar från det att klagomålet tas emot. I sådana fall ska leverantören, inom den tid som anges i första stycket, informera betaltjänstanvändaren om när svaret kommer att lämnas och om de särskilda skäl som förseningen beror på.
3 kap. Information om tjänster, avgifter och rättigheter
Information till konsumenter
1 §Den information som en betaltjänstleverantör enligt 4 a kap. 5 § andra stycket lagen (2010:751) om betaltjänster ska hålla tillgänglig för konsumenter, ska finnas på betaltjänstleverantörens webbplats. Detsamma gäller för den broschyr om konsumenters rättigheter som finns på Finansinspektionens webbplats.
Informationen enligt första stycket ska även finnas i pappersform hos filialer, ombud och i de av leverantörens lokaler som är tillgängliga för konsumenter.
2 §Om information enligt 1 § finns tillgänglig på en betaltjänstleverantörs webbplats ska texten även göras tillgänglig för uppläsning. Sådan information som finns i lokaler ska även göras tillgänglig i punktskrift eller i annat format som gör den tillgänglig för personer med funktionsnedsättning.
4 kap. Rutiner för byte av betalkonto
Krav på rutiner för byte av betalkonto
1 §De rutiner för byte av betalkonto som en betaltjänstleverantör ska ha enligt 4 a kap. 6 § lagen (2010:751) om betaltjänster ska åtminstone uppfylla kraven i 3–10 §§.
2 §Bestämmelserna i 3–10 §§ ska tillämpas från och med att den mottagande betaltjänstleverantören har öppnat det nya betalkonto som bytet ska ske till.
Skyldigheter för den mottagande betaltjänstleverantören
3 §Ett byte av betalkonto ska börja med att alla som är innehavare av betalkontot skriftligen ger den mottagande betaltjänstleverantören i uppdrag att genomföra bytet och lämnar instruktioner för hur uppdraget ska utföras. Den mottagande betaltjänstleverantören ska se till att det är möjligt för en konsument att lämna uppdraget och instruktionerna på svenska om betaltjänstleverantören och konsumenten inte kommer överens om något annat.
4 §Den mottagande betaltjänstleverantören ska se till att konsumenten har möjlighet att lämna instruktioner om vilka autogiromedgivanden, inkommande betalningar och stående överföringar knutna till det gamla betalkontot som ska knytas till det nya.
Betaltjänstleverantören ska även se till att konsumenten kan lämna instruktioner om att eventuellt kvarstående saldo på betalkontot hos den överlämnande betaltjänstleverantören ska överföras, och att betalkontot därefter ska avslutas.
5 §Den mottagande betaltjänstleverantören ska se till att konsumenten har möjlighet att bestämma vilket datum som bytet av betalkonto ska inledas.
6 §Den mottagande betaltjänstleverantören ska, om inget annat har avtalats mellan leverantörerna, skicka uppdraget och instruktionerna enligt 3 och 4 §§ på svenska till den överlämnande betaltjänstleverantören, senast bankdagen efter det datum som bestäms enligt 5 §.
7 §Den mottagande betaltjänstleverantören ska se till att de autogiromedgivanden och stående överföringar som anges i instruktionerna är knutna till det nya betalkontot senast tre bankdagar efter det datum som bestäms enligt 5 §.
8 §Om konsumenten har gett den mottagande betaltjänstleverantören i uppdrag att avsluta betalkontot hos den överlämnande betaltjänstleverantören, eller att överföra ett kvarstående saldo, ska den mottagande betaltjänstleverantören informera den överlämnande betaltjänstleverantören om hur det kvarstående saldot ska överföras.
9 §Den mottagande betaltjänstleverantören ska inom tre bankdagar från det datum som bestäms enligt 5 §, informera konsumenten om de uppgifter som krävs för att göra inbetalningar till betalkontot.
Skyldigheter för den överlämnande betaltjänstleverantören
10 §Den överlämnande betaltjänstleverantören ska upphöra med stående överföringar och autogireringar inom tre bankdagar från det att leverantören har tagit emot konsumentens uppdrag om att upphöra med sådana.
Om kvarstående medel på betalkontot hos den överlämnande betaltjänstleverantören ska överföras, eller om betalkontot ska avslutas, ska det kvarstående saldot överföras inom tre bankdagar från det att konsumentens uppdrag har mottagits. Den överlämnande betaltjänstleverantören ska avsluta betalkontot inom tre bankdagar från det att leverantören har tagit emot konsumentens uppdrag om avslut.
Information om rutin för en konsuments byte av betalkonto
11 §Den information om rutiner för byte av betalkonto som en betaltjänstleverantör ska lämna till en betaltjänstanvändare enligt 4 a kap. 6 § första stycket lagen (2010:751) om betaltjänster ska innehålla följande uppgifter:
Den överlämnande respektive mottagande betaltjänsteleverantörens roll under varje steg i bytesprocessen.
En tidsplan för att slutföra de olika stegen.
Eventuella avgifter för bytet.
All information som konsumenten kommer behöva lämna till betaltjänstleverantörerna i samband med bytet.
Information om det förfarande för tvistlösning som avses i 1 § lagen (2015:671) om alternativ tvistlösning i konsumentförhållanden.
FFFS (2019:14)
12 §Informationen enligt 11 § ska
göras tillgänglig utan kostnad för en konsument på papper eller på ett annat varaktigt medium i alla de av betaltjänstleverantörens lokaler som är tillgängliga för konsumenter, och
finnas tillgänglig i elektronisk form på leverantörens webbplats.
Informationen ska på begäran lämnas till en konsument.
FFFS (2019:14)
5 kap. System för operativa risker och säkerhetsrisker
1 §Det system som en betaltjänstleverantör ska ha enligt 5 b kap. 1 § lagen (2010:751) om betaltjänster, ska vara anpassat för leverantörens verksamhet och bestå av ett ramverk av dokumenterade åtgärder som hanterar eller minskar risken för att operativa incidenter eller säkerhetsincidenter inträffar. Inom ramen för systemet ska leverantören åtminstone
definiera och tilldela de ansvarsfunktioner som leverantören bedömer är nödvändiga för att genomföra säkerhetsåtgärderna,
fastställa processer, rutiner och system för att identifiera, mäta, övervaka och hantera riskerna som är förknippade med leverantörens betaltjänstverksamhet,
göra en riskbedömning av betaltjänsterna och ta fram en beskrivning av de säkerhetsåtgärder som ska skydda betaltjänstanvändarna mot de risker som identifierats, bland annat mot bedrägerier och olaglig användning av känsliga uppgifter och personuppgifter,
ha en intern nivåbaserad modell för att hantera och kontrollera risker i betaltjänstverksamheten,
ta fram en beskrivning av hur leverantören säkerställer att de operativa riskerna och säkerhetsriskerna hanteras när den uppdrar åt någon annan att utföra en del av betaltjänstverksamheten,
fastställa en riskaptit för betaltjänstverksamheten samt inventera, klassificera och riskbedöma affärsfunktioner, processer och tillgångar som anses kritiska för verksamheten,
ta fram säkerhetsåtgärder som hanterar konfidentialitet, integritet och tillgänglighet för data och it-system, samt fysisk säkerhet och åtkomstkontroll,
se till att verksamheten övervakas för att identifiera oplanerade händelser som leder till operativa eller säkerhetsrelaterade incidenter samt hantera, följa upp och rapportera incidenterna,
ta fram en plan för kontinuitetshantering, som innefattar en beskrivning av hur verksamheten ska upprätthållas i olika scenarier och hur leverantören ska kommunicera i händelse av kris, testa kontinuitetsplanerna årligen och vid behov uppdatera dem,
ta fram och regelbundet testa kontrollrutiner som säkerställer att säkerhetsåtgärderna är uppdaterade och effektiva,
ta fram en hotbildsanalys för betaltjänstverksamheten och regelbundet utbilda personalen om hur den ska använda beredskapsplaner, kontinuitetsplaner och återställningsplaner, och
ta fram och vid behov genomföra processer och rutiner för att vägleda och informera betaltjänstanvändarna om säkerhetsrisker och felmeddelanden som är relaterade till de tillhandahållna betaltjänsterna och betaltjänstanvändarnas möjligheter att avaktivera specifika betalningsfunktioner.
6 kap. Uppgifter till Finansinspektionen
Övergripande bedömning av operativa risker, säkerhetsrisker och åtgärder
1 §En betaltjänstleverantör ska årligen komma in till Finansinspektionen med en rapport som innehåller en aktuell och övergripande bedömning av de operativa risker och säkerhetsrisker som är förknippade med de betaltjänster som leverantören tillhandahåller, och en beskrivning av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker. Rapporten ska även innehålla en bedömning av lämpligheten av de säkerhetsåtgärder som leverantören genomfört för att hantera dessa risker.
Rapporten ska komma in till Finansinspektionen senast den 21 februari.
Statistiska uppgifter om svikliga förfaranden
2 §En betaltjänstleverantör ska två gånger per år lämna statistiska uppgifter till Finansinspektionen om svikliga förfaranden som har ägt rum i samband med användningen av betaltjänster. Uppgifterna ska innehålla
total transaktionsvolym,
total transaktionsvolym relaterad till svikliga förfaranden, och
en redovisning av uppgifter enligt 1 och 2 uppdelat på
typ av betaltjänst,
aktuell autentiseringsmetod,
typ av svikligt förfarande, och
var transaktionen genomförts geografiskt.
Uppgifterna ska avse det senaste kalenderhalvåret. Leverantören ska lämna uppgifterna på det sätt som anges på Finansinspektionens webbplats. Uppgifterna ska ha kommit in till myndigheten senast den 21 februari respektive senast den 21 augusti.
Registrerade betaltjänstleverantörer och registrerade utgivare av elektroniska pengar ska lämna uppgifter enligt första stycket endast en gång per år, senast den 21 februari, på det sätt som anges på Finansinspektionens webbplats. Uppgifterna ska avse det senaste kalenderåret och vara uppdelade per halvår.
Kravet på att lämna uppgifter gäller inte för registrerade betaltjänstleverantörer som endast tillhandahåller kontoinformationstjänster enligt 1 kap. 2 § 8 lagen (2010:751) om betaltjänster.
FFFS (2019:14)
3 §Uppgifter enligt 2 § ska omfatta svikliga förfaranden som är relaterade till genomförda betalningstransaktioner som
inte har auktoriserats av betalaren, eller
har genomförts genom att betalaren manipulerats.
FFFS (2019:14)
Allvarliga operativa incidenter eller säkerhetsincidenter
4 §En betaltjänstleverantör ska rapportera till Finansinspektionen om en allvarlig operativ incident eller säkerhetsincident uppkommit i verksamheten. Leverantören ska när den rapporterar använda den blankett för allvarliga incidenter som finns tillgänglig på Finansinspektionens webbplats.
Uppgifterna ska lämnas enligt blankettens avsnitt A–C, på det sätt som närmare anvisas på Finansinspektionens webbplats
inom fyra timmar efter det att en operativ incident eller en säkerhetsincident har klassificerats som allvarlig (avsnitt A),
med uppdaterad information när det finns sådan och senast inom tre arbetsdagar från det att uppgifterna enligt 1 har kommit in (avsnitt B), och
senast 20 arbetsdagar efter det att verksamheten fungerar normalt igen (avsnitt C).
FFFS (2022:6)
5 §En betaltjänstleverantör ska informera sina betaltjänstanvändare om det inträffar en allvarlig operativ incident eller säkerhetsincident som kan påverka deras ekonomiska intressen negativt. När en betaltjänstleverantör informerar betaltjänstanvändare ska följande krav tillgodoses:
Informationen ska vara tillgänglig för betaltjänstanvändaren på ett varaktigt medium även efter informationstillfället.
Betaltjänstleverantören ska uppmärksamma betaltjänstanvändaren på att det finns information om en allvarlig operativ incident eller säkerhetsincident som kan påverka betaltjänstanvändarens ekonomiska intresse negativt.
Vid utformningen av sådan kommunikation ska betaltjänstleverantören beakta vikten av säker kommunikation vars ursprung betaltjänstanvändaren kan kontrollera.
Uppgifter om avgifter för tjänster
6 §En betaltjänstleverantör som tillhandahåller betalkonton med grundläggande funktioner enligt 4 a kap. 2 § lagen (2010:751) om betaltjänster, ska lämna uppgifter till Finansinspektionen om den lägsta avgift som leverantören erbjuder alla konsumenter för de tjänster som framgår av den förteckning över de mest representativa tjänsterna knutna till betalkonton i Sverige som Finansinspektionen publicerar.
7 §Uppgifter enligt 6 § ska lämnas löpande via Finansinspektionens webbtjänst för löpande rapportering på det sätt som närmare anvisas där.
8 §Uppgifter enligt 6 § ska lämnas till Finansinspektionen senast samma bankdag som avgiften börjar tillämpas av betaltjänstleverantören.
Undantag från tillämpning i vissa fall
9 §Finansinspektionen kan besluta om undantag från bestämmelserna i 1, 2, 4 och 6 §§, om det finns särskilda skäl.
Ikraftträdande- och övergångsbestämmelser
2018:4
Dessa föreskrifter träder i kraft den 1 maj 2018, då Finansinspektionens föreskrifter (FFFS 2017:1) om vissa betalkonton ska upphöra att gälla.
Uppgifter enligt 6 kap. 2 § ska lämnas första gången senast den 21 augusti 2019 och avse perioden från och med den 1 januari 2019 till och med den 30 juni 2019.
2022:6
Dessa föreskrifter träder i kraft den 1 april 2022.