psd2 og fremtidens automatiserede erhvervsrapportering

Document Classification - KPMG Confidential

PSD2 og fremtidens automatiserede erhvervsrapportering d. 28.11.2017

1


Indhold

1. Resumé 2

2. Baggrund og formål 5

Afgrænsning og tilgang 6

3. Introduktion til PSD2 7

Hvad er PSD2, og hvad er omfattet? 8

3.1.1 Hvad er "in scope" for PSD2-direktivet 8

3.1.2 Hvad er PSD2 8

3.1.3 Forventede indvirkning af PSD2 – overordnet 10

3.1.4 PSD2 – fordele for erhvervskunder 12

Hvilke aktører forventes at udnytte mulighederne ved PSD2 og hvordan? 13

3.2.1 Nye aktører 13

3.2.2 Ændrede markedsvilkår 15

3.2.3 Regler ift. nye tjenester – herunder krav til samtykke til tredjepartudbydere 16

3.2.4 Betalingslovens regler 17

Merværdi for bogholderidata 19

4. PSD2 og fremtidens automatiske rapportering 21

PSD2 og konsekvenser for AER 21

4.1.1 Tidsperspektiv og omkostninger 25

4.1.2 Fremtidige partnerskabsmodeller for AER 25

2


1. Resumé

Formål Formålet med nærværende rapport er at giver Erhvervsstyrelsen et indblik i PSD2 og dets betydning for Erhvervsstyrelsens arbejde med automatiseret erhvervsrapportering. Dette med henblik på at undersøge hvorvidt PSD2 kan understøtte ambitionen om automatiseret erhvervsrapportering samt skabe grundlag for nye forretningsmuligheder ved øget digitalisering og deling af data mellem myndigheder og øvrige aktører. PSD2 PSD2 er en fortsættelse af EU-kommissionens første betalingstjenestedirektiv (PSD1), som havde til hensigt at skabe moderne og harmoniserede retlige rammer inden for betalingstjeneste-markedet, herunder åbne markedet for nye deltagere og tilskynde til udbydelse af betalingstjenester på tværs af EU's grænser. PSD2 blev vedtaget i slutningen af 2015 og skal være implementeret i national lovgivning i EU's medlemslande senest 13. januar 2018. PSD2 bliver i Danmark implementeret ved lov om betalinger (kaldet Betalingsloven). Betalingsloven træder i kraft den 1. januar 2018. Det væsentligste formål med PSD2 har været at skabe et betalingsmiljø i EU/EEA med høj konkurrence, innovation og sikkerhed til gavn for alle interessenter – med særligt fokus på forbrugerne. Samtidig har det været et mål at reducere forbrugeromkostningerne ved elektroniske betalinger, herunder indføre et forbud mod transaktionsgebyrer (kaldet "surcharging"). Det konkurrencemæssige element står således stærkt og PSD2 er lavet med forbillede fra den tidligere lovgivning for at sikre konkurrence i telesektoren.

PSD2-direktivet gælder alle betalingsservices i EU/EEA og fokuserer alene på elektroniske betalinger. Desuden dækker PSD2 – ud over betalinger inden for EU/EEA – også betalinger til og fra tredjelande uden for EU, så længe en af betalingstjenesteudbyderne er lokaliseret i EU/EEA (kaldet "one-leg transactions").

En væsentlig ændring, som PSD2 medfører, er Access to Account. Dette betyder, at en bankkunde kan give samtykke til at give en autoriseret tredjepart (TPP – Third Party Provider) – som ikke er en bank – adgang til at foretage betalinger for kunden og/eller indhente kundens transaktionsoplysninger på tværs af de banker, hvor kunden måtte have bankkonti. PSD2 vil således fjerne bankernes monopol på deres kunders data.

TPP'ers adgang til kunders bankoplysninger skal foregå via åbne API'er, og det er bankerne, der har ansvaret (og den økonomiske byrde) for, at denne tilgængelighed er etableret. De konkrete reguleringsmæssige standarder for og krav til sikker kommunikationen via disse åbne API'er er fortsat under udvikling i regi af EBA (European Banking Authority) og forventes først at træde endelig i kraft i løbet af 2019.

I forhold til adgangen til virksomheders transaktionsoplysninger bemærkes, at det alene er konti, som er oprettet med henblik på at gennemføre betalingstransaktioner, der omfattes af betalingsloven (og dermed PSD2-direktivet i Danmark).

TPP'er kan udbyde finansielle tjenester i hele EU, hvis de blot er godkendt af de finansielle myndigheder i hjemlandet. Modsat skal bankerne fortsat have banklicens i alle de lande, som de opererer i.

3


TPP'er kan kun få adgang til kundens transaktionsoplysninger i bankerne, såfremt kunden har givet sit udtrykkelige samtykke hertil. Har TPP'er til gengæld fået dette samtykke, er bankerne forpligtede til at stille den nødvendige adgang til rådighed for den/de pågældende TTP'ere.

TPP´erne forventes at bidrage til en øget konkurrence på det finansielle marked, da deres adgang til markedet bliver nemmere (færre opstarts- og complianceomkostninger). Desuden bliver det bliver nemmere for kunderne at udvælge og sammensætte deres eget udvalg af serviceudbydere fremfor – som hidtil – at have valgt en bestemt bank til at varetage alle kundens økonomiske behov.

PSD2 afstedkommer også nye muligheder for samkøring, aggregering og integration af finansielle og økonomiske data via kontooplysningstjenester (AISP). Dette vil skabe nye muligheder ift. at få et tidstro overblik over virksomheders finansielle status. Ved at gøre transaktions- og kontoinformation tilgængelige for en række aktører, herunder serviceudbydere som leverer regnskabs- og bogføringssystemløsninger, understøttes muligheden for mere integrerede økonomi- og regnskabsløsninger til virksomheder. Relevante transaktionsposter kan afstemmes og bogføres automatisk på baggrund af den data, som stilles til rådighed af banker. Dette vil betyde færre manuelle indtastninger og dermed færre fejl samt mere nøjagtig og tidstro bogføringsdata. Desuden vil transaktionsdata kunne anvendes til kontrol af bogføringsdata ved at foretage match på de enkelte posteringer. Dette kan anvendes til at opdage fejl internt i virksomhederne, men kan også anvendes som et redskab i forbindelse med virksomhedskontrol.

Ved at få adgang til transaktionsdata vil de enkelte virksomheder samt øvrige interessenter således få bedre mulighed og adgang til mere tidstro data, pengestrømsopgørelser og -prognoser, forbedret likviditetsstyring og risikohåndtering.

I forhold til Erhvervsstyrelsen vil PSD2 i første omgang give mulighed for, at Erhvervsstyrelsen kan foretage en bedre og mere effektiv kontrol af virksomhedernes indberettede data grundet muligheden for at få direkte adgang til virksomhedernes faktiske transaktionsoplysninger. Derudover vil det blive muligt for Erhvervsstyrelsen selv at generere dele af virksomheders årsrapport via den direkte adgang til at hente virksomhedernes transaktionsdata fra deres respektive banker.

I forhold til adgangen til virksomheders transaktionsoplysninger bør det bemærkes, at det alene er konti, som er oprettet med henblik på at gennemføre betalingstransaktioner, der omfattes af betalingsloven (og dermed PSD2-direktivet i Danmark).

Konklusion PSD2 vil potentielt kunne give Erhvervsstyrelsen mulighed for, at foretage en bedre og mere effektiv kontrol af virksomhedernes indberettede data grundet muligheden for at få direkte adgang til virksomhedernes faktiske transaktionsoplysninger. Desuden åbnes der mulighed for at Erhvervsstyrelsen selv kan generere dele af virksomheders årsrapport via den direkte adgang til at hente virksomhedernes transaktionsdata fra deres respektive banker.

En forudsætning for ovenstående er dog, at der er etableret den nødvendige lovhjemmel til at Erhvervsstyrelsen kan få tilladelse til at tilgå transaktionsdata direkte fra banker, herunder at aktiviteterne vurderes til at ligge inden for Erhvervsstyrelsens myndighedsopgaver.

I første omgang synes det derfor mere relevant at overveje partnerskaber mellem serviceudbydere og Erhvervsstyrelsen. Dette kan give en række fordele for virksomheder, idet serviceudbydere vil kunne stå for at håndtere rapportering til Erhversstyrelsen på vegne af virksomhederne. Dermed behøver virksomhederne ikke at bruge mange ressourcer og tid på rapportering til det offentlige og samtidig får virksomhederne, via serviceudbyderne, ligeledes

4


adgang til forskellige typer af finansielle analyser, der automatisk stilles til rådighed på baggrund af virksomhedernes tilgængelige transktionsdata.

5


2. Baggrund og formål

Som en del af den Fællesoffentlige Digitaliseringsstrategi 2016-2020 har Erhvervsstyrelsen igangsat en række initiativer, der skal understøtte ambitionen om at nedbringe virksomheders administrative byrder samt skabe grundlag for nye forretningsmuligheder ved øget digitalisering og deling af data mellem myndigheder og øvrige aktører. Erhvervsstyrelsen har derfor igangsat et arbejde med at afdække og analysere mulighederne for at etablere løsninger til automatisk erhvervsrapportering for finansielle og økonomiske data. Målet for Automatiseret Erhvervsrapportering er at lette de administrative byrder for virksomheder ved at etablere offentlige løsninger, som muliggør, at relevant information til offentlige myndigheder lettere kan rapporteres. Dette betyder bl.a., at indberetninger til Erhvervsstyrelsen, SKAT og Danmarks Statistik kan ske således, at de samme oplysninger ikke skal indberettes til hver enkelt myndighed, men kan rapporteres et enkelt sted. Derudover er det målet, at relevante opgørelser, herunder årsrapporten, kan genereres automatisk på baggrund af de indberettede finansielle data. I den tiltænkte løsning kan data tilgås og anvendes af myndigheder og øvrige interessenter på en mere effektiv vis, og mængden af manuelle processer kan nedbringes. Visionen er således at øge digitaliseringen både blandt myndigheder og virksomheder og sikre bedre adgang til data, hvilket giver nye forretningsmuligheder for virksomheder, såvel som nye muligheder for myndigheder i forhold til at sikre modernisering og kvalitetssikring af den regulative opgave. Med denne vision skabes et nyt digitalt "økosystem", der eksempelvis forbinder virksomheder, banker, forsikringsselskaber, serviceudbydere og øvrige finansielle virksomheder og interessenter samt myndigheder i et digitalt netværk, der sikrer hurtig og lige adgang til relevante informationer og data af høj kvalitet. Ved at understøtte mulighederne for bedre flow af finansielle data skabes nye muligheder for at sikre effektive forretningsprocesser for virksomheder og myndigheder. Øget digitalisering og nye fælles offentlige IT-løsninger, som bl.a. giver mulighed for automatiseret erhvervsrapportering, kan samtidig potentielt bidrage til at nedbringe de administrative byrder for virksomheder. På denne baggrund ønsker Erhvervsstyrelsen at få indblik i PSD2 og dets betydning for Erhvervsstyrelsens arbejde med automatiseret erhvervsrapportering.

6


Formålet med denne rapport er således at give en introduktion til PSD2 og dets betydning for Erhvervsstyrelsens arbejde og vision, som beskrevet ovenfor. Rapporten søger at besvare følgende spørgsmål:

Hvad er PSD2, hvem er omfattet, og hvad er den forventede indvirkning heraf?

Hvilke aktører forventes at udnytte de muligheder, der opstår og hvordan?

Brugerne skal selv give samtykke til, at tredjepartsudbydere får adgang til deres betalingskonti – i hvilket omfang forventes virksomhederne at udnytte muligheden?

Hvilken merværdi kan det tilføre bogholderidata og hvordan?

Hvordan kunne det tænkes ind ift. fremtidens automatiske rapportering?

En vurdering af konsekvensen af PSD2, herunder tidsperspektiv og eventuelle omkostninger forbundet hermed samt en perspektivering omhandlende fremtidige partnerskabsmodeller relateret til Automatisk Erhvervsrapportering?

Afgrænsning og tilgang

Rapporten omfatter en overordnet gennemgang af betydningen af PSD2 for virksomheder i Danmark samt en gennemgang af, hvilke muligheder PSD2 afstedkommer i forhold til rapportering af finansielle og økonomiske data til Erhvervsstyrelsen. Rapporten omfatter ikke en dybdegående analyse af de konsekvenser, som PSD2 måtte få for hele banksektoren, herunder hvorledes banker skal/bør ændre deres strategi, markedstilgang ydelser mv. Desuden vil nærværende rapport ikke gå ikke gå ind i en detaljeret teknisk/systemmæssig analyse af de udfordringer og krav, som PSD2 vil medføre. Rapportens indhold er blevet udarbejdet på basis af følgende kilder:

Møder med Bilagsscan og øvrige relevante serviceudbydere/fintech-virksomheder

Input fra automatiserings-eksperter fra KPMG's NewTech-team

En række tilgængelige white-papers, præsentationer og rapporter vedr. PSD2.

7


3. Introduktion til PSD2

PSD2-direktivet indfører omfattende regler for betalingstjenester, der har til formål at gøre internationale betalinger (inden for EU) lige så nemme, effektive og sikre, som betalinger inden for et enkelt land. Direktivet søger at lukke betalingsmarkederne op for nye aktører, hvilket skal føre til mere konkurrence, større udvalg og bedre priser for forbrugerne1. PSD2 er en fortsættelse af EU-kommissionens arbejde med det første betalingstjenestedirektiv (PSD1), som havde til hensigt at skabe moderne og harmoniserede retlige rammer inden for betalingstjenestemarkedet. Formålet var at åbne markedet for nye deltagere og tilskynde til at udbyde betalingstjenester på tværs af EU's grænser. En betalingstjeneste kan f.eks. være en fysisk pengeoverførsel, mobile betalinger eller betalinger via internettet. Det kan også være indsættelse på og hævning af kontanter fra en konto. Crowdfunding kan i mange tilfælde også være en betalingstjeneste. Virksomheder, som udbyder betalingstjenester, skal have tilladelse hertil fra Finanstilsynet. Der findes to typer af tilladelser:

1) Tilladelse som betalingsinstitut (stor tilladelse)

2) Begrænset tilladelse til at udbyde betalingstjenester (begrænset tilladelse)2.

Allerede i 2012 vurderede Kommissionen dog, at reglerne i PSD1 var forældede sammenholdt med den teknologiske udvikling, hvorfor forberedelserne til det andet betalingstjenestedirektiv (PSD2) blev igangsat. Den tekniske forældelse skyldtes blandt andet, at mange innovative betalingstjenester slet ikke eller kun delvist var omfattet af direktivet. PSD2 blev vedtaget i slutningen af 2015 og skal være implementeret i national lovgivning i EU's medlemslande senest 13. januar 2018. PSD2 bliver i Danmark implementeret ved lov om betalinger. Lov om betalinger (kaldet "betalingsloven") erstatter lov om betalingstjenester og elektroniske penge og blev vedtaget af Folketinget den 2. juni 2017. Betalingsloven træder i kraft den 1. januar 2018. Målet med PSD2 er at yderligere harmonisere de retlige rammer og gøre det lettere for nye deltagere at komme ind på markedet, herunder at

skabe et betalingsmiljø i EU/EEA med høj konkurrence, innovation og sikkerhed til gavn for alle interessenter – forbrugerne i særdeleshed

fastsætte tidssvarende EU-regler for betalingstjenester

reducere forbrugeromkostninger

harmonisere medlemsstaternes politik for "surcharging" (transaktionsgebyr).

PSD2 gør bankinfrastrukturen endnu mere tilgængelig for tredjepartsleverandører (kaldet TPP: Third Party Providers), som ønsker at beskæftige sig med betalingsrelaterede tjenester. Banker skal, såfremt kunden ønsker det og samtykker hertil, give kontoinformation med transaktionshistorik til autoriserede tredjeparter. Disse aktører kan både være konkurrerende banker og andre virksomheder (f.eks. forsikrings- og pensionsselskaber, teleselskaber,

1 Kilde: Finanstilsynet 2 Kilde: Finanstilsynet

8


supermarkedskæder mfl.) Desuden såkaldte fintechs (dvs. virksomheder der benytter moderne teknologi og innovation til at konkurrere i markedet for traditionelle finansielle institutioner og mellemled inden for finansielle services). Disse nye aktører vil desuden kunne initiere betaling på vegne af kunden direkte fra kundens konto.

Hvad er PSD2, og hvad er omfattet?

3.1.1 Hvad er "in scope" for PSD2-direktivet

PSD2-direktivet gælder alle betalingsservices i EU/EEA. Direktivet fokuserer på elektroniske betalinger. Således er der en række betalingsformer, såsom kontanter og checks, som ikke er inden for scope af direktivet.

Mens det tidligere direktiv (PSD1) alene omhandlede betalinger inden for EU/EEA, omfatter PSD2 nu også betalinger til og fra tredjelande uden for EU, så længe en af betalingstjenesteudbyderne er lokaliseret i EU/EEA (kaldet "one-leg transactions").

Denne udvidelse af scope har betydning for banker og andre betalingstjenesteudbydere lokaliseret i EU/EEA. I praksis vil dette betyde, at disse EU-baserede finansielle serviceudbydere skal sikre den nødvendige gennemsigtighed ift. omkostninger og vilkår for deres internationale betalinger – som minimum på deres del af transaktionen. De kan samtidig blive holdt ansvarlige for deres del af betalingstransaktionen, hvis der går noget galt, som kan henføres til dem.

Endelig betyder det udvidede scope også, at de samme regler vil gælde på betalinger, som gennemføres i andre valutaer end lige euroen (eller andre EU-medlemsstaters valuta). Dette gælder såvel two-leg transaktioner (hvor alle deltagere i overførslen er lokaliseret i EU/EEA) og one-leg transaktioner (hvor kun en af parterne i transaktionen er lokaliseret i EU/EEA).

Slutteligt bør det bemærkes, at PSD2 direktivet som nævnt bliver implementeret i Danmark via betalingsloven. Jf. betalingsloven er det ikke alle konti der er omfattet af PSD2 reglerne. Således er direktivets regler alene gældende for bankkonti, hvorfra kunden kan initiere betalinger (typisk via kort eller netbank), herunder at kontoens funktionalitet og formål tilsiger det er en betalingsinitierende konto. Eksempelvis er udlånskonti (så som bil- og boliglån) og bundne opsparingskonti som udgangspunkt ikke omfattet af PSD2 direktivet. En adgang hertil vil kræve særskilte samarbejdsaftaler med bankerne, herunder særskilt samtykke fra kunderne.

3.1.2 Hvad er PSD2

PSD2 gør det kort fortalt muligt for bankkunderne – privatkunder såvel som virksomheder – at anvende tredjepartsleverandører (TPP) til at betale sine regninger, overføre penge til hinanden og analysere sit forbrug samtidig med at pengene står trygt på den almindelige bankkonto.

Bankerne vil for deres del være forpligtet til at give alle autoriserede tredjepartsudbydere adgang til kundernes konti via åbne API'er, dvs. åbne softwarebrugergrænseflader – såfremt kunden har givet samtykke hertil. Dermed bliver det muligt for andre tjenesteudbydere at bygge finansielle tjenester oven på bankernes data- og infrastruktur. Dette gennemgås nærmere i afsnit 3.2.1.

De væsentligste ændringer ved indførelsen af PSD2 er følgende:

Åbne betalingskonti – Access to Account (XS2A): Access to Account betyder, at en bankkunde får mulighed for at give en tredjepart (TPP – Third Party Provider) adgang til at foretage betalinger eller indhente kontooplysninger på samme måde, som kunden selv kan gøre det i netbanken. PSD2 vil dermed fjerne bankernes monopol på deres kunders data.

9


Via PSD2 bliver det således – med kundens tilladelse – muligt for TPP'er at hente og tilgå kundens kontooplysninger i vedkommendes bank. Det betyder, at når kunden foretager et køb, kan disse TPP'er selv udføre betalingen for kunden uden en omdirigering til en anden betalingsservice (f.eks. PayPal eller Visa). Desuden vil TPP'er kunne få adgang til alle kundens transaktionsdata på betalingskonti på tværs af banker, såfremt kunden har bankkonti i mere end en bank. Derved kan der for kunden skabes et samlet overblik på tværs af vedkommendes betalingskonti (såkaldt Account Aggregation), hvilket også giver muligheden for, at TPP'er vil kunne udbyde kundespecifikke analyser baseret på kundens faktiske og samlede transaktioner.

TPP'ers adgang til kunders transaktionsdata skal som nævnt foregå via åbne API'er, og det er bankerne, der har ansvaret (og den økonomiske byrde) for, at denne tilgængelighed er etableret.

Øget sikkerhed: Direktivet skærper sikkerhedskravene for selve betalingstransaktionen ved at kræve stærk kundeautentifikation (Secure Customer Authentication SCA) via en to-faktor-løsning, når en bruger

tilgår sin betalingskonto online

iværksætter en elektronisk betalingstransaktion, eller

udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for

misbrug.

Brugen af to-faktor godkendelser, også kaldet Two-Factor Authentication (2FA), bliver således obligatorisk ved onlinebetalinger. Denne godkendelsesproces handler om at sikre, at kunden, som handler online, nu også er den retmæssige ejer af det kort, som kunden bruger. 2FA udføres ved, at der benyttes et unikt "password" (f.eks. CVV-nummeret bag på kortet) samt én af følgende:

Engangspassword (f.eks. en nummerkode sendt til kortholderens registrerede

telefonnummer eller e-mail)

Biometrisk feature (f.eks. kortholders fingeraftryk, der er tilknyttet kortet)

QR-kode (en QR-kode på din skærm, som skal scannes af den mobilenhed, der er

tilknyttet kortet. (Eksempelvis Google Authenticator).

Den udstedende bank vælger, hvilken af de ovenstående tre metoder de vil tilbyde. Fordelene ved to-faktor godkendelser (2FA) er, at kunderne er bedre beskyttet mod tyveri, og butiksejere er beskyttet mod svindel og potentielle tilbageførsler på grund af svindel. Idet bankerne skal give fri adgang til deres kunders transaktionsdata til TPP'er via åbne API'er, er det meget væsentligt, at overførslen af sådanne informationer sker så sikkert som muligt med henblik på at undgå svindel og ulovlig anvendelse af disse følsomme og personlige data. I regi af EBA (European Banking Authority, den europæiske banktilsynsmyndighed) er de konkrete reguleringsmæssige standarder for og krav til en stærk kunde-autentifikation og sikker kommunikation via åbne API'er fortsat under udvikling, og de forventes først at træde endelig i kraft i løbet af 2019. Disse standarder og krav benævnes Regulatory Technical Standards (RTS). Begrænsning af interbank gebyrer: Direktivet indfører et prisloft for såkaldte interbankgebyrer. Prisloftet for interbankgebyrerne lyder på 0,2% af købesummen for debetkort og 0,3% af købesummen for kreditkort. Interbankgebyr er et gebyr, der betales af den indløsende bank (indløser) til den udstedende bank, når en virksomheds kunde gennemfører en betaling til virksomheden. Gebyret skal kompensere for de omkostninger, den udstedende bank pådrager sig ved at give kunden (kortholderen) en

10


rentefri betalingsudsættelse, samt de risici, der er involveret i at garantere afregningen til indløseren.

Forbud mod viderefakturering af gebyrer (surcharging): Hidtil har forretningerne kunnet vælge at viderefakturere transaktionsgebyrer – også kaldet surcharging – på visse betalingskort til forbrugerne (dvs. lægge det gebyr, butikken betaler til indløser i forbindelse med betalingen, over på kunden). PSD2 kommer til at regulere, hvornår man må sende transaktionsgebyret videre til kortholder. Dette afhænger nemlig af, om købet er foretaget på et forbrugerkort eller erhvervskort:

Forbrugerkort (B2C): Betalingskort (Debet, kredit, etc.), som er udstedt til individuelle

privatpersoner. Disse kort er forbundet med privatpersonernes individuelle, personlige

bankkonti og bruges til at købe forbrugervarer, f.eks. services, mad, etc.

Erhvervskort (B2B): Betalingskort (Debet, kredit, etc.), som er udstedt til et firma,

udelukkende til brug ved firmarelaterede aktiviteter. Dette kort er forbundet med firmaets

bankkonti og bruges til at købe forretningsrelaterede produkter, f.eks. en firmabil, udstyr,

computere, freelancere, etc.

Det bliver fremover forbudt at videresende kortgebyret til private forbrugere (B2C). Dette kommer til at gælde på de almindelige og mest anvendte forbrugerkort, dvs. betalingskort fra Visa, MasterCard, Dankort mv. på både danske og udenlandske betalinger. Det betyder, at forbrugeren fremover betaler samme pris, uanset hvilket kort der betales med – uagtet om det er debet- eller kreditkort. Reglerne gælder for såvel online- som fysiske butikker.

I forhold til erhvervskort (B2B) vil surcharging fortsat være tilladt. Således vil det stadig være lovligt at videresende gebyret til kunden, når denne benytter et firma- eller erhvervskort, da disse ikke er omfattet af reglerne om "surcharging".

Formålet med ovenstående regler på private forbrugerkort (B2C) er at harmonisere EU-medlemsstaters politik vedrørende "surcharging" – med andre ord, at forholdene er fair, gennemsigtige og ens på tværs af EU. En forventet konsekvens af dette vil være, at butikkerne vil blive mere selektive, når det gælder om at vælge, hvilke betalingsformer de skal tilbyde. Det er således en realistisk mulighed, at de billige betalingsformer bliver de foretrukne, og de meget dyre måske helt droppes. Alternativt kan butikkerne sætte administrationsgebyret op (eller introducere et), eller sætte priserne på varerne op. Uagtet hvad vil kravet medføre en revurdering af, hvorvidt der betales for meget for kortindløsninger, og/eller om der er andre steder, butikkerne kan spare på omkostningerne.

3.1.3 Forventede indvirkning af PSD2 – overordnet

Den traditionelle måde at anskue bankvirksomhed og finansielle tjenester er at opfatte banker som de primære udbydere. Det har bl.a. skyldtes de påkrævede banklicenser, som gør det vanskeligt og udfordrende for nye markedsaktører at komme ind på markedet. Samtidig har der typisk været en forholdsvis lav forbrugertillid til tredjeparter i forhold til varetagelse af finansielle tjenester. PSD2 forventes imidlertid at ændre billedet, så konkurrencen i den finansielle sektor vil blive øget bl.a. grundet følgende:

Nye finansielle markedsaktører, som ikke er banker, vil få lettere adgang til det finansielle

markedet som følge af PSD2.

11


Det bliver nemmere for kunderne at vælge nye udbydere af finansielle tjenester. Dermed

vil kunderne kunne vælge serviceudbydere som kan arbejde på tværs af banker i stedet

for at vælge en bestemt bank til alle økonomiske behov.

PSD2 indebærer derfor en betydelig økonomisk og strategisk udfordring for de

eksisterende banker. Eksempelvis vil IT-omkostningerne formentlig stige på grund af nye

sikkerhedskrav og kravet om åbne API'er, som er bankernes ansvar at få på plads (og

betale for).

Der er risiko for at nye finansielle leverandører overtager en større del af interaktionen

med kunderne. Dermed vil det blive svært for bankerne at differentiere sig på andet end

pris.

Der forventes altså en styrket konkurrence, samtidig med at forbrugerne i stigende grad går til nye typer af leverandører efter finansielle tjenester og rådgivning. Disse vil kunne fokusere på rådgivningen og at finde de rette priser, mens de lader bankerne om at være leverandører i baggrunden. Dette kan føre til en vækst i forbrugernes tillid til leverandører/serviceudbydere, som ikke er banker, i fremtiden, og en sådan tendens vil være en udfordring for de etablerede banker, da tillid tidligere har været deres styrke i forhold til de nye aktører.

Troen på, at nye leverandører/serviceudbydere vil spille en betydelig rolle i fremtidens finansielle landskab, er ligeledes godt rodfæstet i de finansielle markeder. De globale kumulative investeringer i finansiel teknologi er øget væsentligt igennem de senere år og ligger på et højt niveau samtidig med at fintech sektoren fortsat forventes at udvikle sig hastigt3. Desuden er PSD2 ikke kun en mulighed, der åbner sig for europæiske tredjeparter, hvorfor også internationale banker og andre finansielle aktører må forventes at ville have en bid af det europæiske marked for finansielle tjenester.

Ovennævnte udvikling understøttes af en række forhold:

Større afkast: I takt med, at det europæiske finansielle marked vokser fra en række autonome markeder til et samlet stort marked, bliver udbyttet meget større. Nye markedsaktører og nye tjenester vil blive tiltrukket, efterhånden som gevinsten øges.

Lempelige regelsæt En af måderne, hvorpå PSD2 åbner for nye typer af leverandører/serviceudbydere, er som nævnt via åbne API'er. Serviceudbydere og øvrige tredjepartsudbydere kan således anvende bankernes API'er til at gå ind i det finansielle marked uden den tunge compliance, infrastruktur og ikke mindst kapitalkrav, som er obligatorisk for bankerne. Det finansielle marked åbnes dermed for nye aktører med friske ideer til at designe nye og anderledes bankoplevelser. Nogle banker er allerede begyndt at gøre deres API'er tilgængelige. For eksempel Saxo Bank, som i september 2015 åbnede sine API'er, og Capital One, en UK-baseret bank, som allerede nu lader partnervirksomheder udnytte sine API'er. For nylig er såvel Nordea som Danske Bank gået i samme retning og inviterer særligt Fintechs til samarbejde.

Derudover tillader PSD2 tredjepartsudbydere af finansielle tjenester at operere i hele EU, hvis de blot er godkendt af de finansielle myndigheder i hjemlandet. Hvor bankerne fortsat skal have banklicens i alle lande, de opererer i, kan tredjepartsudbydere nøjes med at have én.

Teknologidrevet innovation: Innovationen inden for teknologi er gået hurtigt, og bankerne tvinges til at holde trit med den teknologiske udvikling. En del banker har hidtil traditionelt været tøvende over for fuld anvendelse af ny teknologi, idet gamle forretningsmodeller gav dem fuld kontrol i forhold til adgangen til og anvendelsen af deres kunders finansielle transaktionsoplysninger. Dette

3 Kilde: KPMG: "The Pulse of Fintech Q3 2017"

12


er dog en risikabel holdning, da over en tredjedel af de europæiske forbrugere siger, at de vil skifte bank, hvis den ikke tilbyder den nyeste teknologi4.

En forventet udvikling er, at de nye markedsaktører ikke vil tilbyde hele bankoplevelsespakken for at komme ind i det finansielle marked, men i stedet fokusere på udelukkende at tilbyde en enkelt tjeneste og forbinde sig med andre serviceudbydere via cloud-løsninger eller API'er (eksempelvis tilbyder Spiir at tage vare på bankkunders daglige økonomi og hjælpe dem i relation til f.eks. opsparing). Nye forbedrede betalingstjenester er desuden ved at vinde frem, hvilket gør bankforretninger både hurtigere og lettere (eksempelvis TransferWise som via en app tilbyder en nem og billig måde at lave internationale betalinger på, der er væsentlig billigere end bankerne). Senest har teknologien ført til kontaktløse betalinger og mobilløsninger.

Forbrugerpræferencer og tillid: Når forbrugerne bliver mere digitale og mobile i deres holdning til virksomhederne, vil både banker og nye tredjepartsleverandører blive tvunget til at følge trenden. De teknologibevidste forbrugere efterspørger finansielle tjenester, som er hurtigere, mindre omstændelige, mere personlige, lette at gå til og billige. Nye tredjepartsleverandører/ serviceudbydere har hidtil vist sig at opfylde disse krav mere innovativt og kundeorienteret end en del af de traditionelle banker.

Forbrugerne bliver desuden mere og mere åbne over for internethandel med internationale virksomheder. Denne indkøbsadfærd vil også få indflydelse på forbrugernes bankadfærd. Således forventes forbrugerne at vænne sig til at bruge tredjepartsleverandører til økonomiske formål, og trenden lader kun til at fortsætte. PayPal har allerede eksisteret i næsten 15 år og opnået stor forbrugertillid. Svenske Tink og danske Billy er virksomheder, som også har opnået stor markedsandel uden banklicens5. Desuden angiver hver femte europæiske forbruger, at de er parat til at anvende finansielle tjenester/produkter udbudt af aktører som Google, Facebook og Amazon6.

I takt med øget konkurrence i det forenede marked vil gennemsigtigheden i de finansielle tjenester og priser, som europæiske banker tilbyder, blive større. Dermed vil de europæiske forbrugere stå med bedre markedsinformation og indsigt, hvilket må formodes at motivere forbrugerne til i stigende grad at overveje udenlandske tilbud på finansielle tjenester.

3.1.4 PSD2 – fordele for erhvervskunder PSD2 vil som nævnt føre til konkurrence og innovation knyttet til betalingstjenester. Der vil blive udviklet nye og mere effektive betalingsløsninger og samtidig vil transaktions- og kontoinformation blive gjort tilgængelig på en hurtigere og mere tilgængelig måde. Dette vil kunne forbedre virksomhedens likviditetsstyring og risikohåndtering. For de største erhvervskunder kan PSD2 bidrage til at fjerne friktioner mellem bankernes og kundernes systemer. Banktjenester kan integreres endnu lettere med kundernes egne systemer (typisk ERP-systemer), så de får en endnu bedre oversigt over deres totale finansielle position på tværs af alle bankforbindelser. For de mindre virksomheder, som ikke selv har store systemer, vil der kunne udvikles omkostningseffektive tjenester og løsninger baseret på sammenholdelse og automatisering af regnskabs- og bankinformation. Disse vil dermed effektivt kunne håndtere og have kontrol over forskellige bankforbindelser i hele Europa på en måde, som ikke tidligere var mulig bl.a. grundet for høje omkostninger. Flere Fintechs tilbyder allerede account aggregation og med PSD2 åbnes dette marked helt op og bliver for alvor tilgængeligt.

4 Kilde: Fujitsu: "The Fujitsu European Financial Services Survey 2016" 5 Kilde: Evry: "PSD2 – Strategic opportunities beyond compliance" 6 Kilde: Fujitsu: "The Fujitsu European Financial Services Survey 2016"

13


Enklere og mere standardiseret dataudveksling mellem bank og virksomhed vil kunne føre til betydelige effektivitetsgevinster både for virksomheder og banker. Afstemning og sammenstilling af bank og regnskabsdata vil kunne automatiseres yderligere, virksomheder vil få adgang til omfattende information i realtid, og det vil blive enklere at synliggøre vigtig styringsinformation for beslutningstagere. Desuden vil hele kreditvurderings- og låntagningsprocessen for virksomheder blive effektiviseret, da de nødvendige analyser af eksempelvis cashflow og finansielle transaktioner vil være nemt tilgængelige og samtidig baseret på helt opdaterede data. Derudover vil det være muligt for tredjeparter at tilbyde virksomheder værdifuld indsigt i kunders forbrugeradfærd og købspræferencer på basis af deres transaktionsoplysninger (og under forudsætning af kundens samtykke hertil). Sådanne analyser vil styrke virksomhedernes forståelse af deres kunders behov og dermed gøre det muligt at målrette kunderettede aktiviteter. Desuden giver PSD2 virksomhederne mulighed for at kunne tilbyde deres kunder smarte og nemme betalingsløsninger til lavere omkostninger end tidligere. Virksomhederne vil således ikke længere opkræve gebyrer for kundernes anvendelse af kortbetaling. Endelig forventes PSD2 generelt at øge konkurrencen mellem aktørerne på det finansielle marked, hvilket alt andet lige bør forbedre vilkårene for virksomhederne, eksempelvis i form af reducerede betalingsomkostninger, bedre finansielle services og løsninger. Alle forhold der vil kunne styrke virksomhedernes konkurrenceevne.

Hvilke aktører forventes at udnytte mulighederne ved PSD2 og hvordan?

Konkurrencen i den finansielle sektor vil blive øget ved indførelsen af PSD2. Dette skyldes, at nye markedsaktører vil få lettere adgang til markedet efter PSD2. Særligt nye serviceudbydere med stærke kompetencer inden for teknologiske innovation og udvikling (såkaldt fintechs) må forventes at konsolidere sig yderligt på det finansielle marked. Dette vil ofte ske i samarbejde med etablerede banker.

Derudover gør indførelsen af PSD2 som nævnt det nemmere for kunderne at vælge nye udbydere af finansielle tjenester. Kunderne vil således kunne sammensætte deres eget udvalg af forskellige serviceudbydere eller blot vælge en enkelt serviceudbyder som kan arbejde på tværs af banker, i stedet for at vælge en bestemt bank til alle økonomiske behov. Så ud over en øget konkurrence vil forbrugerne samtidig i stigende grad gå til fintechs eller meta-banker (en AISP og PISP som fokuserer på rådgivning og kundeservices over for kunderne, mens de opererer på tværs af banker (ala Trivago inden for hotelbookning)) drevet af etablerede banker efter finansielle tjenester.

PSD2 medfører altså, at bankerne i fremtiden ikke længere udelukkende skal konkurrere mod andre banker, men mod alle udbydere af finansielle tjenester.

3.2.1 Nye aktører

Direktivet introducerer to nye typer af TPP (Third Party Providers) aktører på det finansielle landskab, PISP og AISP7:

7 Kilde: KPMG: "PSD2 and the power of APIs"

14


AISP (Account Information Service Provider) er udbydere med adgang til alle bankkunders kontoinformation på tværs af banker.

PISP (Payment Initiation Service Provider) er udbydere, som gennemfører en betaling for brugeren.

Begge typer af disse aktører (AISP og PISP) vil få adgang til kundernes kontooplysninger, herunder transaktionsdata, via åbne API'er – og det er bankernes ansvar at sørge for, at dette er klargjort.

PISP – Payment Initiation Service Provider

Disse tjenesteudebydere kan på vegne af en kunde gennemføre onlinebetalinger via denne kundes bank uden brug af betalingskort. Eksempler på PISP'er er Trustly, Sofort eller MobilePay (når de skifter fra kort- til kontobaseret betaling). PISP-aktører vil således kunne tilbyde at foretage betalinger for deres kunder via træk direkte fra kundens konti og dermed reducere omkostningerne knyttet til betalingen.

Figur 1: Rolle for PISP med PSD28

PISP er en såkaldt betalingsinitieringstjeneste, hvilket i direktivets forstand betyder en onlinetjeneste til initiering af en betalingsordre. Dvs. gennemførsel af en betalingstransaktion (indbetaling, overførsel, hævning) på anmodning af betaleren (kunden), som involverer kundens betalingskonto hos en anden betalingstjenesteudbyder (typisk banken).

Disse betalingsinitieringstjenester har især udviklet sig inden for internethandel og internetbetalinger og forventes således at spille en fremtrædende rolle ved at kunne etablere et link direkte mellem den forretningsdrivendes internetside/webshop og betalerens/kundens netbank hos den kontoførende bank med henblik på netop at gennemføre internetbetalingen.

Disse betalingsinitieringstjenester udgør et alternativ og ofte billigere betalingsløsning for både de forretningsdrivende og kunderne. Samtidig giver de kunderne mulighed for at foretage internetkøb helt uden brug af et betalingskort/kreditkort.

En AISP – Account Information Service Provider En AISP er en serviceudbyder med onlineadgang til bankkunders betalingskonti hos disses bankforbindelser (hvilket kan være hos flere forskellige banker). Disse giver mulighed for på vegne af en kunde at samle og konsolidere informationer på tværs af kundens bankforbindelser og tilbyde analyser (eksempelvis over forbrugsadfærd) og overblik.

8 Kilde: Evry: "PSD2 – Strategic opportunities beyond compliance"

15


Figur 2: Rolle for AISP med PSD29

AISP er en såkaldt kontooplysningstjeneste i direktivets forstand. Disse kontooplysningstjenester indsamler, kategoriserer og sammenstiller således betalingsoplysningerne (transaktionsdata) knyttet til betalerens/kundens forskellige betalingskonti, som er etableret hos en eller flere banker – og som er tilgængelige via netbank eller lignende onlineplatforme hos banken.

Derved får kunden mulighed for at få et hurtigt overblik over sin finansielle sitauation på et hvilket som helst tidspunkt, herunder mulighed for at analysere sine forbrugsmønstre og planlægge sine finansielle behov på en brugervenlig måde. Eksempelvis kunne man forestille sig en mere målrettet og proaktiv investeringsrådgivning baseret på kundens månedlige indtægt, opsparing og forbrugsvaner/-mønster. Dette sker allerede i Fintechs som f.eks. Personetics, hvor kunderne tilbydes proaktiv finansiel rådgivning og indsigt baseret på analyser af forbrugsadfærd/-mønstre.

3.2.2 Ændrede markedsvilkår

Adgangen til betalingskonti og transaktionsdata skal bankerne, jf. PSD2, stille til rådighed for PISP'erne og AISP'erne via åbne API'er, dvs. fælles og sikre åbne grænseflader/interfaces, som autoriserede tredjeparter (TPP'er) kan koble sig på. Bankerne pålægges således at give TPP’erne uhindret adgang til de værdifulde betalingskonti (transaktionsdata) og tilknyttede kontooplysninger og skal samtidig udvikle åbne API'er og stille disse til rådighed med henblik på, at TPP'erne kan udvikle og etablere deres nye finansielle løsninger og platforme herpå.

Derved vil bankerne kunne risikere at blive betragtet alene som tekniske underleverandører til TPP'erne på betalingsområdet og således være reduceret til bagvedliggende infrastruktur uden den direkte kundekontakt i lighed med den udvikling vi har set hos teleselskaberne over hele Europa. En trend lovgiverne også ønsker at se i banksektoren. Denne udvikling kan bankerne dog imødekomme gennem en strategisk tilpasning af deres forretningsmodel, eksempelvis gennem samarbejder med TPP'erne, ved selv at tilbyde de samme tjenester som TPP'erne eller udbyde tilknyttede tjenester. Man kunne eksempelvis forestille sig, at bankerne ville stå stærkt i forhold til at kunne tilbyde pålidelige sikkerheds- og godkendelsesservices, når dette er påkrævet. Endvidere vil bankerne selv kunne stå bag nye meta-banker, der tilbyder mere præcis og fuldstændig rådgivning, da de opererer på tværs af kundens anvendte banker. Endelig vil bankerne også kunne tjene penge på at indgå samarbejdsaftaler, der giver adgang til de konti, som ikke umiddelbart er omfattet af betalingsloven (eks. udlånskonti), men hvor adgangen vil give værdi ift. at skabe et totalt billede af kundens samlede finansielle situation.

De regulatoriske ændringer er dog ikke kun en udfordring for bankerne. TPP'erne, dvs. de mange fintechs på betalingsområdet, er indtil videre gået fri af den finansielle regulering. Men fremover vil disse blive omfattet heraf. Prisen for den nye attraktive og uhindrede adgang til bankernes

9 Kilde: Evry: "PSD2 – Strategic opportunities beyond compliance"

16


transaktionsdata er derfor, at PISP'erne og AISP'erne bliver underlagt en egentlig tilsynsregulering og et finansielt tilsyn – herhjemme i regi af Finanstilsynets tilsyn – på samme vis, som de andre regulerede betalingstjenesteudbydere, såsom bankerne. Dette indebærer, at PISP'erne fremover skal søge licens hos Finanstilsynet, og at AISP'erne skal registreres hos tilsynet. PISP'erne skal i denne forbindelse stille med en startkapital (på 50.000 EUR). Desuden skal både PISP'erne og AISP'erne tegne erhvervsansvarforsikring eller lignende garanti mod eventuelle erstatningskrav over for den kontoførende bank og/eller kunden.

Desuden kommer der til at gælde særlige krav om bl.a. ansvar og hæftelse, gennemsigtighed, fortrolighed og sikkerhed. Disse regulatoriske rammevilkår skal således sikre fornøden forbrugerbeskyttelse og databeskyttelse mv. på det nu udvidede betalingsområde samt sikre tilstrækkelig konkurrencemæssige vilkår – om TPP'erne vil det eller ej – mellem de forskellige betalingstjenesteudbydere, herunder bankerne og de nye udbydere af betalingsinitierings-tjenesterne og kontooplysningstjenesterne.

PSD2 er med andre ord ikke blot ubetingede muligheder, friheder og fordele for de nye tredjeparter – der er også en række udfordringer, begrænsninger og ulemper indeholdt i den nye regulering. Omvendt er PSD2 ikke blot en udfordring for de etablerede banker – der er også en række potentialer og muligheder for banker i den nye regulering.

3.2.3 Regler ift. nye tjenester – herunder krav til samtykke til tredjepartudbydere

Både hvad angår udbyderne af betalingsinitieringstjenesterne (PISP) og af kontooplysnings-tjenesterne (AISP), sikrer PSD2 den nødvendige adgang til de omhandlede betalingskonti og transaktionsdata. Dette sker som tidligere nævnt ved, at PSD2 foreskriver kundens ret til at gøre brug af disse udbyderes betalingsinitierings- og kontooplysningstjenester, så længe betalingskontoen er tilgængelig online.

Den kontoførende bank kan ikke kræve, at kunden skal indhente et samtykke hertil fra banken, ligesom banken ikke kan kræve, at der foreligger et aftaleforhold mellem banken og den pågældende PISP eller AISP. Omvendt skal PISP'en og AISP'en altid have kundens udtrykkelige samtykke til at gennemføre selve betalingen eller samle og konsolidere kundens transaktionsdata.

Da PISP'er eller AISP'er ikke er almindelige betalingsinstitutter, må PISP'en eller AISP'en aldrig komme i besiddelse af betalerens/kundens midler i forbindelse med leveringen af betalings-initieringstjenesten eller kontooplysningstjenesten. Til gengæld må en bank eller et andet gængs betalingsinstitut godt selv levere betalingsinitieringstjenester eller kontooplysningstjenester til kunderne.

PISP'er eller AISP'er må heller ikke tilgå, anvende eller gemme kundens oplysninger med andre formål end leveringen af betalingsinitieringstjenesten eller kontooplysningstjenesten. Med andre ord gives der ikke fuld adgang til betalingskontoen og til samtlige kontooplysninger (transaktionsdata), men kun til det der er nødvendigt for at levere den pågældende tjeneste. I den forbindelse skal PISP'en og AISP'en sikre, at kundens personlige og fortrolige sikkerheds-oplysninger ikke gøres tilgængelige for andre.

I forhold til om virksomheder forventes at gøre brug af de nye muligheder, som vil fremkomme på markedet, kan det antages at virksomheder, som allerede anvender en cloud-baseret ERP-leverandør eller lignende serviceudbyder, er mere tilbøjelige til at være indstillet på at gøre brug af de muligheder, som byder sig. Giver virksomheder adgang til, at deres transaktionsdata stilles til rådighed, kan det medføre adminsitrative lettelser for virksomhederne via eksempelvis automatiseret bogføring og øvrige "value added services" såsom finansielle analyser, benchmarks ift. markspriser mv. Dette vil blive gennemgået nærmere i afsnit 4.

17


Man kan dermed forestille sig, at en række virsomheder, som allerede er langt fremme i forhold til digitalisering og anvendelse af mere moderne cloud-baserede ERP- og bogføringssystemer vil være parate til at gøre brug af de nye muligheder. Virksomheder, som anvender mere konventionelle systemer, eller som har meget lav digital "modenhed" i forhold til administrative procedurer, kan forventes i mindre grad at gøre brug af de nye muligheder.

Som tidligere nævnt kan der derudover være forholdsvis lav forbrugertillid til tredjeparter i relation til varetagelse af finansielle tjenester, hvilket kan være en udfordring i forhold til at få virksomheder til at gøre brug af de nye muligheder, som PSD2 afstedkommer. Men dette vil være stærkt afhængig af hvilken tredjepart, der er tale om. Således har finanskrisen medført et dyk i tilliden til bankernes rådgivning som endnu ikke er overvundet, mens pensionsselskaber eksempelvis nyder væsentlig større tillid.

Samlet set kan det dog forventes, at der på sigt og i takt med øget digitalisering hos virksomhederne vil blive gjort brug af de nye muligheder, som bidrager til at nedbringe de administrative byrder og skabe nye muligheder for finansiel styring.

3.2.4 Betalingslovens regler

Reglerne for orientering, samtykke og adgang til og brug af data er fastlagt i betalingsloven, der træder i kraft den 1. januar 2018. Der er visse forskelle/nuancer i kravene, alt efter om det drejer sig om betalingsinitieringstjenester (PISP) eller kontooplysningstjenester (AISP).

Nedenstående skema synliggør kravene for hver af de to tjenesteformer10:

Betalingsinitieringstjenester – PISP Kontooplysningstjenester – AISP

Generelt Udbydere af betalingsinitieringstjenester skal efter betalingsloven (som gælder fra 1. januar 2018) have tilladelse som betalingsinstitut.

Efter den pt. gældende betalingstjenestelov skal udbydere af betalingsinitieringstjenester ikke have tilladelse. Hvis en udbyder af betalingsinitieringstjenester inden betalingslovens ikrafttræden den 1. januar 2018 allerede udbyder betalingsinitieringstjenester, kan udbyderen fortsætte driften, men skal senest indsende ansøgning om tilladelse som betalingsinstitut efter betalingsloven den 13. juli 2018.

Udbydere af kontooplysningstjenester skal leve op til nogle af de samme krav som udbydere af betalingsinitieringstjenester. Udbydere af kontooplysningstjenester er dog undtaget for nogle af kravene og skal bl.a. ikke leve op til kravene om startkapital eller udarbejde foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. En virksomhed der alene udbyder kontooplysningstjenester behøver ikke at opnå tilladelse som betalingsinstitut, men skal alene have tilladelse som udbyder af kontooplysningstjenester. Hvis virksomheden ønsker at udbyde andre tjenester end kontooplysningstjenester, skal virksomheden have tilladelse som betalingsinstitut.

Krav/regler Udbydere af betalingsinitieringstjenester bliver omfattet af en række oplysningskrav, som vederlagsfrit skal gives til brugeren. Oplysningskravene indebærer blandt andet, at udbyderen skal give følgende oplysninger til brugeren, når der foretages en betaling: Navn, adresse og e-mail på udbyderen og evt. dennes agent eller filial samt kontaktoplysninger til Finanstilsynet mv.

Efter en betaling skal følgende blandt andet oplyses til brugeren:

•En bekræftelse på at betalingen er iværksat.

•En reference som kan bruges til at identificere betalingstransaktionen.

•En bekræftelse på beløbets størrelse og de samlede gebyrer for betalingen.

Det er alene konti, som er oprettet med henblik på at gennemføre betalingstransaktioner, der omfattes af betalingsloven. Dette indebærer, at konti med tilknyttede betalingskort eller lignende omfattes, hvorimod konti som er oprettet med henblik på anvendelse til opsparing, pensionskonti mv. ikke omfattes.

Banker er således kun forpligtet til at give kontooplysningstjenester adgang til betalingskonti. Selvom øvrige konti ikke omfattes af betalingsloven, er det dog alligevel tilladt for en bank at give en kontooplysningstjeneste adgang hertil.

En udbyder af kontooplysningstjenester må kun tilgå oplysninger fra specifikt angivne betalingskonti. Brugeren skal således selv tilføje hver enkelt konto til tjenesten og kan udelade konti, hvis ikke de ønskes anvendt af kontooplysningstjenesten. Dette skal ses i sammenhæng med muligheden for at behandle betalingsdata, hvor brugeren derfor kan fravælge konti, hvorfra der foretages betalinger af privat karakter.

10 Kilde: Kammeradvokaten.

18



Samtykke Bankerne er forpligtede til at give betalingsinstitutter gratis adgang til betalingskontooplysninger, hvis indehaveren af kontoen giver sit udtrykkelige samtykke hertil. Udbyderen af betalingsinitieringstjenester skal tilsvarende indhente brugerens udtrykkelige samtykke, før betalingen kan iværksættes.

Et udtrykkeligt samtykke indebærer, at samtykket ikke kan gives stiltiende eller indirekte, og det er udbyderen af betalingsinitieringstjenesten, som har bevisbyrden for, at der er givet udtrykkeligt samtykke.

Udbyderen af betalingsinitieringstjenesten må ikke være i besiddelse af betalerens midler i forbindelse med betalingstransaktionen. Udbyderen skal således alene formidle kontakten mellem banken og betalingsmodtageren og sørge for, at pengene bliver overført.

Adgangen til betalingskontoen gives gennem de såkaldte åbne API'er (application programming interface). En API fungerer som en form for bindeled mellem to enheder.

Banken skal, umiddelbart efter den modtager en betalingsordre gennem en betalingsinitieringstjeneste, stille alle tilgængelige oplysninger om iværksættelsen af betalingstransaktionen til rådighed for udbyderen af betalingsinitieringstjenesten.

Kommunikationen mellem betalingsinitieringstjenesten og banken skal ske i overensstemmelse med de regler, som fastsættes af EBA i de reguleringsmæssige tekniske standarder for autentifikation og kommunikation. Det vil fortsat være uklart, hvordan dette skal foregå ved betalingslovens ikrafttræden den 1. januar 2018, da de reguleringsmæssige tekniske standarder forventes at træde i kraft i andet kvartal 2019.

Banker er forpligtede til at give betalingsinstitutter gratis adgang til betalingskontooplysninger, hvis indehaveren af kontoen giver sit udtrykkelige samtykke hertil. Da kontooplysningstjenester skal behandles som betalingsinstitutter, er bankerne således forpligtede til at give adgang til kontooplysningstjenester på samme vilkår som virksomheder med tilladelse som betalingsinstitut.

Definitionen af et udtrykkeligt samtykke følger persondatalovens samtykkebegreb og indebærer, at der ikke kan opnås indirekte eller stiltiende samtykke, men der kan heller ikke udledes et krav om skriftlighed.

Det anbefales at opnå skriftligt samtykke, da det er kontooplysningstjenesten som skal bevise, at brugeren har givet sit udtrykkelige samtykke.

Adgangen til konti gives gennem de såkaldte åbne API'er (application programming interface). En API fungerer som en form for bindeled mellem to enheder.

Brug af data Udbydere af betalingsinitieringstjenester må ikke: (i) anmode om, (ii) tilgå, (iii) anvende eller (iv) lagre oplysninger om betalingen med andre formål end at gennemføre den betaling, som betaleren udtrykkeligt har anmodet om.

Forbuddet er imidlertid ikke til hinder for, at der kan ske anvendelse af modtagne oplysninger til brug for de i § 125 tilladte formål. Betalingslovens § 125 giver mulighed for, at betalingsoplysninger kan benyttes til brug for tjenester, som brugeren selv udtrykkeligt har anmodet om. Dette kan eksempelvis være til opstilling af forbrugsprofiler, udarbejdelse af budget eller markedsføring målrettet til brugeren eller lignende.

Følsomme betalingsdata må aldrig lagres. Følsomme betalingsdata vil eksempelvis være personlige sikkerhedsforanstaltninger, der kan anvendes til at foretage misbrug såsom brugerens NemID-

nøglekort.

Udbydere af kontooplysningstjenester må ikke: (i) anmode om, (ii) tilgå, (iii) anvende eller (iv) lagre oplysninger om betalingen med andre formål end at levere den kontooplysningstjeneste, som parterne har aftalt. Oplysninger til brug for kontooplysningstjenesten må således ikke anvendes til at gennemføre en betalingsinitieringstjeneste.

Forbuddet er imidlertid ikke til hinder for, at der kan ske anvendelse af modtagne oplysninger til brug for de i § 125 tilladte formål. Betalingslovens § 125 giver mulighed for, at betalingsoplysninger kan benyttes til brug for tjenester, som brugeren selv udtrykkeligt anmoder om. Dette kan eksempelvis være til opstilling af forbrugsprofiler, udarbejdelse af budget eller markedsføring målrettet til brugeren eller lignende.

Nægtelse af adgang

Banken kan i særlige tilfælde nægte en udbyder af betalingsinitieringstjenester adgang til en betalingskonto, hvis adgangen sker på et svigagtigt eller uautoriseret grundlag. Tilsvarende gælder, hvis banken har begrundet mistanke om svig eller anden uautoriseret adgang.

Dette kan eksempelvis være:

•Situationer, hvor der ikke er indhentet behørigt samtykke fra brugeren.

•Situationer, hvor udbyderens IT-systemer er blevet kompromitteret af tredjemand.

Adgangen kan alene nægtes af objektive grunde, og brugeren skal umiddelbart herefter have en

En bank kan i særlige tilfælde nægte en udbyder af kontooplysningstjenester adgang til en betalingskonto, hvis adgangen sker på et svigagtigt eller uautoriseret grundlag. Tilsvarende gælder, hvis en bank har begrundet mistanke om svig eller anden uautoriseret adgang.

Dette kan eksempelvis være:

•Situationer, hvor der ikke er indhentet behørigt samtykke fra brugeren.

•Situationer, hvor udbyderens IT-systemer er blevet kompromitteret af tredjemand.

Adgangen kan alene nægtes af objektive grunde, og brugeren skal umiddelbart herefter have en

19



begrundelse. Banken skal også underrette Finanstilsynet om, at der er nægtet adgang for udbyderen af betalingsinitieringstjenesten.

begrundelse. Banken skal også underrette Finanstilsynet om, at der er nægtet adgang for udbyderen.

Som det fremgår af ovenstående, vil det altid kræve kundens samtykke, før en TPP kan få adgang til at tilgå kundens kontooplysninger og foretage betalinger.

Merværdi for bogholderidata

Med de nye muligheder, som PSD2 afstedkommer, herunder samkøring, aggregering og integration af finansielle og økonomiske data via kontooplysningstjenester (AISP), vil der skabes nye muligheder for at få et tidstro overblik over virksomheders finansielle status. Ved at gøre transaktions- og kontoinformation tilgængelig for en række aktører, herunder serviceudbydere, som leverer regnskabs- og bogføringssystemløsninger, understøttes muligheden for mere integrerede økonomi- og regnskabsløsninger til virksomheder. Virksomheder, som giver tredjepartsleverandører tilladelse til at tilgå deres transaktionsdata fra banken, og som har valgt en systemløsning/økonomisystem, der tilbyder disse nye typer af integrerede ydelser, vil således i højere grad kunne anvende transaktionsdata til øget automatisering af bogføringen. Dette indebærer, at relevante transaktionsposter afstemmes og bogføres automatisk på baggrund af den data, som stilles til rådighed af banker. Dette vil betyde færre manuelle indtastninger og dermed færre fejl og mere nøjagtig og tidstro bogføringsdata. Derudover vil transaktionsdata kunne anvendes til kontrol af bogføringsdata ved at foretage match på de enkelte posteringer. Ved at sammenholde transaktionsdata med det bogførte verificeres data, og på den måde kan en postering ikke eksistere, uden at der kan dannes par med den originale transaktion. Dette kaldes for "triple entry accounting" og er bygget op omkring samme principper som Blockchain. Der er således ikke kun to punkter (debet og kredit), der udgør datagrundlaget for bogføringen, som man kan kender det fra dobbeltbogføring, men tre punkter – deraf navnet "triple entry accounting". Ved at samkøre data fra transaktionerne og posteringsdata fra bogholderiet følges hele kæden, fra handlen er gennemført og betalt til selve bogføringen. Dette kan anvendes til at opdage fejl internt i virksomhederne, men kan også anvendes som et redskab i forbindelse med virksomhedskontrol. Herved kan fejl opdages såvel som bedrageri. Derudover bidrager det til at skabe et solidt datagrundlag, som kan anvendes til automatisering af en række processer. Figuren nedenfor er en simplificeret illustration af konceptet.

20


Figur 3: Triple entry accounting

De muligheder, som PSD2 bringer, vil således kunne betyde mere nøjagtig og evt. automatiseret bogføringsdata. Ved at få adgang til transaktionsdata vil de enkelte virksomheder samt øvrige interessenter således få bedre adgang til mere tidstro data og bedre mulighed for at foretage pengestrøms-opgørelser og -prognoser samt forbedret likviditetsstyring og risikohåndtering. Med PSD2 får virksomhederne således i højere grad mulighed for at få mere skræddersyede løsninger, der passer til deres individuelle behov.

Frem for en kreditvurdering, der baserer sig på historske data, vil der åbnes op for muligheden for, at disse kan gennemføres med afsæt i tidstro data. Disse nye muligheder for at opgøre og få indblik i virksomheders økonomi kan betyde, at virksomheder lettere kan få relevante kreditvurderinger og tiltrække investorer mv.

21


4. PSD2 og fremtidens automatiske rapportering

Med PSD2 understøttes mange af de målsætninger, som visionen for automatiseret erhvervsrapportering indebærer, herunder bedre adgang til data og øget automatisering af processerne, som knytter sig til rapportering af finansielle og økonomiske data. PSD2 retter sig ikke mod at forbedre eksisterende processer og systemer, men derimod at understøtte muligheden for at skabe nye. Med PSD2 er fokus således ikke på, hvordan eksisterende processer kan gøres mere effektive, men derimod på hvordan selve betalingstransaktionerne kan finde sted, og på hvilke aktører der kan spille en rolle og skabe overblik over transaktionerne. Derudover forsøger man med PSD2 ikke at diktere og beskrive, hvordan transaktionerne bedst håndteres. I stedet forsøger man at skabe bedre rammer for, at markedet selv kan udvikle passende løsninger og processer til dette. Det betyder, at der potentielt også åbnes op for nye muligheder for offentlige myndigheder ift. adgang til data. For de virksomheder, som ønsker at give adgang til deres transaktionsdata til eksempelvis Erhvervsstyrelsen, vil det således være muligt at etablere løsninger, som baserer sig på transaktionsdata. Hvis Erhvervsstyrelsen etablerer de nødvendige rammer og løsninger, herunder juridiske rammer, vil det være muligt, for de virksomheder der ønsker det, at opstille årsrapporter helt eller delvist automatisk for virksomhederne på baggrund af bl.a. transaktionsdata fra banker. Derudover vil offentlige myndigheder få mulighed for at udføre øget virksomhedskontrol eksempelvis ved kontrol af råbalance med afsæt i transaktionsdata. Der åbnes således op for, at flere datakilder kan samkøres for dels at kontrollere data og skabe et solidt datagrundlag af høj kvalitet og dels for at skabe nye muligheder for at foretage analyser, prognoser, likviditetsstyring mv. Dette skaber både nye markedsmuligheder for virksomheder og nye kontrolmuligheder for offentlige myndigheder såvel som nye muligheder for at skabe gode rammer for erhvervslivet ved eksempelvis at stille overordnede markedsanalyser til rådighed, baseret på den nye data som bliver tilgængelig. Der er dog en række juridiske forhold, som skal gennemtænkes og evt. ændres før at ovenstående kan realiseres for offentlige myndigheder. Dette vil blive gennemgået i det følgende. Nedenfor beskrives forskellige scenarier for adgang til transaktionsdata for Erhvervsstyrelsen og potentielle juridiske udfordringer.

PSD2 og konsekvenser for AER

Indberetning af årsrapport til Erhvervsstyrelsen sker i dag via enten Regnskab Basis eller Regnskab Special, som er de løsninger, som styrelsen stiller til rådighed herfor. De indberettede årsrapporter stilles herefter til rådighed for offentligheden på virk.dk.

Regnskab Basis henvender sig til mindre virksomheder med et relativt simpelt regnskab, som ønsker at indtaste de relevante oplysninger til årsrapporten manuelt. Regnskab Basis fungerer således som brugergrænseflade for manuelle indberetninger af årsrapporten. De indtastede

22


oplysninger konverteres efterfølgende til XBRL- og pdf-format. I år 2014 indberettede 19% af danske virksomheder årsrapporten via Regnskab Basis11.

Figur 4 er en forsimplet illustration af virksomheders egen indberetning af årsrapporten.

Figur 4: virksomheds egen indberetning af årsrapport (Regnskab Basis)

Som illustreret i figur 4 er der her tale om et scenarie, som det kendes i dag, hvor virksomheder selv er ansvarlige for at indberette årsrapporten. Dette scenarie kan forventes også at skulle være en mulighed i fremtiden for de virksomheder som ikke ønsker at involvere tredjeparter, og som ikke ønsker at give andre adgang til deres transaktionsdata. Regnskab Special henvender sig til virksomheder, som ikke ønsker at indtaste deres årsregnskab manuelt. Dette vil typisk dreje sig om virksomheder med mere avancerede regnskabsbehov og/eller behov for tilpasninger såvel som revisionhuse, som varetager indberetningen på vegne af et større antal virksomheder. Ved Regnskab Special vil virksomheden eller dennes revisor således indberette den færdige årsrapport i pdf- og XBRL-format ved at uploade disse i Regnskab Special. Dette forudsætter således, at virksomheden eller dennes revisor kan danne XBRL-filer lokalt. I 2014 indberettede 43% af danske virksomheder årsregnskabet via Regnskab Special.

Figur 5: Virksomhed eller revisors indberetning af årsregnskab (Regnskab Special)

Fiigur 5 er en forsimplet illustration af indberetning via Regnskab Special. I tillæg til Regnskab Special findes også en system-til-system løsning, så årsregnskabet ikke behøver at blive uploadet til Regnskab Special via log-in på Virk indberet, men derimod kan sendes direkte fra virksomhedens eller revisors eget regnskabssystem. System-til-system løsningen er således en integration mellem Regnskab Special og det pågældende regnskabssystem, som kræver, at virksomhedens eller revisors regnskabssystem har en passende applikation. Løsningen anvendes primært af revisionshuse med mange indberetninger på daglig basis. I 2014 indberettede 38% af danske virksomheder årsregnskabet via system-til-system løsningen. Ved de fremtidige muligheder, som PSD2 afstedkommer, kan der opstå nye muligheder for indberetning af enten et færdigopstillet årsregnskab eller indberetning af et andet relevant datagrundlag, såsom transaktionsdata, som kan opstilles helt eller delvist automatisk til en årsrapport. Dette forudsætter, at Erhvervsstyrelsen har etableret en løsning, der kan modtage transaktionsdata og at de øvrige juridiske rammer er til stede for at Erhvervsstyrelsen kan

11 Kilde: Business case for Projekt Digitale Regnskaber, Advice 2015.

23


modtage transaktionsdata for virksomheder. Givet at en sådan løsning er etableret, og af denne kan opstille årsrapporten, vil der være forskellige mulige scenarier, som kan udspille sig. I scenariet, som er illustreret i figur 6, vil virksomheder via aftale med en tredjepartsleverandør, her omtalt som service provider (serviceudbyder), kunne få denne til at varetage indhentning af transaktionsdata fra banker, som kan indberettes til Erhvervsstyrelsen. Dette kan være en fordel for virksomheder, som ikke selv ønsker at varetage indberetning af årsregnskab selv via Regnskab Basis, og som ikke ønsker eller har behov for en revisor, som indberetter et færdigt årsregnskab via Regnskab Special (jf. figur 4 og 5).

Figur 6: Indberetning af transaktionsdata via tredjepart

Dette scenarie vil være relevant for virksomheder, som gerne vil benytte en serviceudbyder og dennes såkaldte value added services til virksomhedens administrative og finansielle formål, herunder regnskab og indberetning af transaktionsdata til hel eller delvis automatisk opstilling af årsrapport. Dette scenarie forudsætter dog, at der enten er lovhjemmel til dette eller at virksomheden har givet udtrykkeligt samtykke til, at service provider må videregive transaktionsdata til Erhvervsstyrelsen og at formålet hermed er klart. Derudover er det værd at bemærke, at databeskyttelsesforordningen gør sig gældende i det øjeblik data går fra service provider til Erhvervsstyrelsen, hvorfor en række krav skal overholdes, herunder eksempelvis at data ikke må være personhenførbart, hvilke kan give udfordringer for enkeltmandsvirksomheder. Derudover kan der være udfordringer i relation til databeskyttelsesforordningen, hvis data skal samkøres med andre offentlige registre og databaser. Vi vil ikke komme nærmere ind på databeskyttelsesforordningen i indeværende rapport, men en nærmere afdækning af de juridiske rammer vil være nødvendig for gennemførsel af de beskrevne scenarier i figur 6 og 8. Man kan også forestille sig, at der kan opstå scenarier, hvor virksomheder ikke ønsker at indberette transaktionsdata til Erhvervsstyrelsen. Dette kan eksempelvis være grundet bekymringer vedr. øget kontrol, overvågning, datasikkerhed eller andre bekymringer. For disse virksomheder kan der således være et fortsat ønske om at indberette et færdigt årsregnskab. Frem for at anvende en revisor til dette eller manuelt via Regnskab Basis kan der med PSD2 skabes bedre mulighed for, at andre aktører og tredjepartsleverandører kan opstille et årsregnskab for virksomhederne på baggrund af transaktionsdata fra virksomhedernes banker.

Figur 7: Indberetning af årsregnskab via service provider (serviceudbyder)

Ovenstående scenarie svarer således til det, som er illustreret i figur 5, dog er årsrapporten ikke opstillet af en revisor, men af en tredjepartsleverandør, her omtalt service provider (serviceudbyder), som opstiller årsrapporten på baggrund af transaktionsdata fra banken. Dette scenarie forudsætter, at serviceudbyderen har udviklet en løsning til opstilling af årsrapport. Ved de fremtidige muligheder, som PSD2 afstedkommer, kan der potentielt åbnes op for, at offentlige myndigheder – herunder Erhvervsstyrelsen – kan få direkte adgang til virksomheders

24


transaktionsdata – forudsat at virksomhederne har givet tilladelse/samtykke hertil – via de åbne API'er, som bankerne stiller til rådighed. Inden for den gældende lovgivning skal kontooplysningstjenesteudbydere (service providers) ansøge og opnå tilladelse fra finanstilsynet før til kan tilgå transaktionsdata fra banker. Det betyder i praksis, at tjenesteudbydere, som ønsker at tilgå informationer fra banker på vegne af deres kunder, skal indsende dokumentation til Finanstilsynet for at de lever op til relevante lovkrav. Da lovgivning som Finanstilsynet i dette tilfælde arbejder under retter sig mod private virksomheder inden for specifikke selskabsformer, vil offentlige myndigheder såsom Erhvervsstyrelsen ikke høre under denne lovgivning, da de ikke er selskaber, og dermed vil de under nugældende lovgivning ikke kunne få tilladelse til at tilgå transaktionsdata fra åbne API'er. Der skal således etableres den nødvendige lovhjemmel for at Erhvervsstyrelsen kan få tilladelse til at tilgå transaktionsdata direkte fra banker. Givet at de juridiske rammer er til stede for at Erhvervsstyrelsen kan tilgå virksomheders transaktionsdata, forudsætter et sådan scenarie også, at Erhvervsstyrelsen har etableret de nødvendige tekniske løsninger og systemer, som muliggør, at data kan tilgås fra bankernes API'er, samt at transaktionsdataen udgør det nødvendige grundlag for udarbejdelse af årsrapport. Forudsat at disse forudsætninger er til stede, vil Erhvervsstyrelsen således i stil med private tredjepartsleverandører kunne tilgå data og opstille årsrapporten på baggrund af transaktionsdata. Scenariet er illustreret i figur 8.

Figur 8: Direkte indberetning af transaktionsdata til Erhvervsstyrelsen

Derudover skal det undersøges nærmere, i hvor høj grad transaktionsdataen opfylder de behov, som Erhvervsstyrelsen har i forbindelse med Erhvervsrapportering. Derudover kan det være en begrænsning for muligheden for at opstille årsregnskab, at der med PSD2 kun stilles krav til, at bankerne skal give adgang til transaktionsdata for betalingskonti. Konti som anvendes til eksempelvis opsparing eller investeringer er ikke omfattet, og banker er således kun forpligtede til at give adgang til betalingskonti. Det er dog alligevel tilladt for banker at give adgang til øvrige konti såsom opsparingskonti, men de er ikke forpligtede til dette. Samlet set kan der således udspillle sig forskellige scenarier og muligheder med PSD2, som kan have betydning for muligheden for automatiseret erhvervsrapportering. Hvis Erhvervsstyrelsen får adgang til nye former for data fra virksomheder, kan det også overvejes, om Erhvervsstyrelsen eksempelvis skal stille analyser eller benchmarks på finansielle nøgletal til rådighed for små- og mellemstore virksomheder. Ved et sådant scenarie skal det dog undersøges, om Erhvervsstyrelsen kan anses for konkurrenceforvridende, idet de på særlige fordelagtige vilkår kan ses som konkurrerende med tredjepartsleverandører/serviceudbydere – dvs. Erhvervsstyrelsen principielt indtager samme rolle som en serviceudbyder og dermed agerer som tredjepartsleverandører.

25


4.1.1 Tidsperspektiv og omkostninger

Det forventes, at langt størstedelen af bankerne vil leve op til kravene for PSD2, som træder i kraft den 1. januar 2018. I henhold til PSD2 skal loven være implementeret i Danmark senest den 13. januar 2018, men allerede nu er der banker, som stiller åbne API'er til rådighed. Der kan dog være enkelte mindre banker, som ikke er klar med en fuldt implementeret løsning pr. 13. januar 2018. Det er forventningen, at disse vil være klar med en løsning snarligt herefter. For banker, som på længere sigt ikke har stillet åbne API'er til rådighed er der lovhjemmel til, at Finanstilsynet kan give bødestraf. Der er dog ikke fastsat et beløb endnu og det er ikke forventningen, at dette vil blive taget i anvendelse så længe man er i en overgangs- og implementeringsfase.

Der vil derudover være tekniske sikkerhedstandarder, som først foreligger på et senere tidspunkt, hvorfor reglerne om stærk kundeautentifikation og sikker kommunikation først forventes at træde i kraft i december 2018 (18 måneder efter vedtagelse af de tekniske standarder).

Da banker og øvrige udbydere af betalingstjenester skal stille API'er tilgængelig frit og gratis (med virksomhedens samtykke), er der ikke direkte omkostninger forbundet hermed. Som tidligere beskrevet skal det bemærkes, at PSD2 kun omfatter betalingskonti – dvs. konti hvor der kan initieres betalinger fra. Banker er således ikke forpligtede til at stille information til rådighed for andre typer af konti såsom udlånskonti. For denne typer konto kan det derfor være nødvendigt at indgå en samarbejdsaftale med den pågældende bank evt. mod betaling, hvis der ønskes adgang til konti som ikke er omfattet af PSD2.

4.1.2 Fremtidige partnerskabsmodeller for AER

Som beskrevet ovenfor er der forskellige scenarier, som kan udspille sig i relation til automatiseret erhvervsrapportering og PSD2. Det indebærer nye partnerskaber serviceudbydere imellem såvel som imellem serviceudbydere og offentlige myndigheder.

Partnerskaber mellem serviceudbydere kan bl.a. indebære, at udbydere af betalingstjenester og lignende udbydere, som håndterer transaktioner, indgår strategiske partnerskaber med udbydere af ERP-systemer og bogføringssystemer. Hermed skabes mulighed for, at serviceudbydere kan tilbyde samlede løsninger, der kan håndtere både betalinger, fakturaer, bogføring, årsregnskaber, momsopgørelse og en række andre såkaldte value added services. Det vil sige, at virksomhedens adminsitrative og finansielle behov kan håndteres i én samlet løsning. Det vil også åbne op for, at disse serviceudbydere kan stå for erhvervsrapportering, herunder opstilling af årsrapport.

Dette vil potentielt kunne medføre betydelige adminstrative lettelser og skabe grobund for et interoperabelt netværk af udbydere, hvor data kan flyde frit imellem parterne.

Partnerskaber mellem serviceudbydere og offentlige myndigheder, herunder Erhvervsstyrelsen eller SKAT, kan tilsvarende give en række fordele for virksomheder, idet serviceudbydere vil kunne stå for at håndtere rapportering til disse myndigheder på vegne af virksomhederne. Dette kan være en fordel for virksomheder, som ikke alene ønsker at indrapportere, men som også ønsker andre services, som bærer præg af rådgivning, såsom forskellige typer af finansielle analyser, som serviceudbyderen stiller til rådighed automatisk på baggrund af den tilgængelige data. Herved bliver det ikke alene rapportering, som er fokus, men også de øvrige services, og samtidig behøver virksomhederne ikke at bruge mange ressourcer og tid på rapportering til det offentlige, men har alligevel assistance, som serviceudbyderen tilbyder.

Derudover kan offentlige myndigheder indgå samarbejde med banker om at få adgang til transaktionsdata, som kan indgå i det relevante datagrundlag til opstilling af årsrapport helt eller delvist automatisk for de virksomheder, som ikke ønsker at anvende en serviceudbyder eller lignende.

26


Overordnet set kan der være en fordel i, at Erhvervsstyrelsen åbner op for, at de serviceudbydere og øvrige tjenesteudbydere, der er på markedet, kan aflevere relevant data, herunder transaktionsdata på vegne af de virksomheder, hvis de ønsker det. De eksisterende systemløsninger hos Erhvervsstyrelsen er bygget op opkring årsrapporten, og der er dermed ikke etableret løsninger, der umiddelbart giver mulighed modtagelse af rådata.

Som nævnt af de serviceudbydere, der har været dialog med i forbindelse med tilblivelsen af indeværende rapport, vil der være en fordel i, at Erhvervsstyrelsen implementerer en standardkontoplan. Dette vil gøre transaktionsdata mere anvendelige, idet en standardkontoplan vil kunne fungere som standard for den mapning og strukturering af data, som efterfølgende skal foretages – både til kontrolformål og til opstilling af årsrapport. Uden en sådan vil mapning til stadighed være behæftet med usikkerhed.

Ydermere medfører PSD2 en overvejelse om hvorvidt Erhvervsstyrelsen, på basis af en godkendt adgang til virksomheders transaktionsdata, fremadrettet skal kunne tilbyde "value added services" til offentligheden. Eksempelvis i form af branchespecifikke markedsanalyser, prognoser og benchmarks (eks. på omkostningstyper). I forbindelse med sådanne eventuelle overvejelser bør følgende bl.a. afklares;

Er "value added services" noget som Erhversstyrelsen ønsker at udbyde?

Da lignende ydelser såvel i dag som fremadrettet udbydes af private aktører, vil Erhvervsstyrelsens eventuelle involvering på dette marked da anses som værende konkurrenceforvridende?

Samlet set vil PSD2 medføre forbedrede muligheder og incitamenter til nye strategiske partnerskaber både mellem private udbydere og offentlige myndigheder og særligt bedre muligheder for automatisering af udarbejdelse af årsrapporter.

27


www.kpmg.dk

© 2018 KPMG P/S, a Danish limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG har alene udarbejdet denne rapport til brug for Erhvervsstyrelsen. Ved offentliggørelse eller anmodning om aktindsigt skal KPMG have lejlighed til at høres, inden der offentliggøres eller gives aktindsigt. Tredjemand vil ikke kunne støtte ret på rapporten eller dele heraf.

psd2 og fremtidens automatiserede erhvervsrapportering

Documents