PSD 3, PSR 1 ve FIDA neler getirecek, Türkiye nasıl etkilenecek?

PSM DERGİSİ

Avrupa Birliği’nde açık bankacılık uygulamalarının çerçevesini belirginleştirecek, FinTek’leri daha da güçlendirecek yeni bir regülasyon ve direktif çalışması başlatıldı. Müşteri verileriyle ilgili de radikal bir düzenleme söz konusu. PSD2’yi model alan bir ülke olarak yakından izlememizde yarar var.

Avrupa Komisyonu ve Avrupa Birliği (AB), ödeme sektörünü düzenleyen mevzuatın güncellenmesi için 28 Haziran 2023 tarihinde “Finansal Veri Erişimi ve Ödemeler Paketi” başlıklı mevzuat önerilerini yayınladı.
Komisyon, bunun bir “devrim” değil “evrim” olduğu vurgusu yaparak, mevzuat önerilerinin amacının, AB finans alanını regüle eden düzenlemelerin amacına uygun, süregelen dijital dönüşüme ve tüketiciler için ortaya çıkan risklere ve fırsatlara uyum sağlayabilecek durumda olmasını sağlamak olduğunun altını çizdi.

Komisyonun önerdiği hukuki düzenleme taslakları

– Ödeme Hizmetleri Direktifi 3 – PSD 3: Bu taslak temel olarak ödeme ve elektronik para kuruluşlarının işleyişini ve lisans koşullarını düzenliyor. Ödeme Hizmetleri Direktifi 2’yi (PSD 2) yürürlükten kaldıracak.
– Ödeme Hizmetleri Regülasyonu 1 – PSR 1: Bu taslak, açık bankacılık dahil ödeme hizmetlerinin yürütülmesine ilişkin tarafların temel hak ve kurallarına ve hizmetlerin yürütülmesine ilişkin spesifik kuralları düzenliyor.
– Finansal Veri Erişimi Regülasyonu – FIDA: Bu yeni düzenleme, müşterilerin -ödeme hesaplarının da ötesindeki- finansal verilerinin AB içerisinde nasıl üçüncü kişilerle paylaşılacağına ilişkin hak ve kuralları belirliyor. Bu bağlamda, mevzuat önerilerinin ödemeler ve açık finans yani veri erişimi alanı olmak üzere iki alanda toplandığını söyleyebiliriz.

2 ya da 3 yıllık bir süreç bekleniyor

Mevzuat önerileri, Avrupa Parlamentosu ve Avrupa Konseyi’ne sunularak AB yasama sürecinden geçecek. Yasalaşması durumunda PSR 1 hemen yürürlüğe girecek. PSD 3 bakımından ise üye devletlere uyum sağlamak için belirli bir süre tanınacak ve ardından öneriler yürürlüğe girecek. Bu kapsamda, ilgili düzenlemelerin yürürlüğe girmesinin en az 2 ya da 3 yılı bulması bekleniyor.

Ödemeler alanında neler, nasıl değişecek?

Peki ödemeler alanındaki yeni mevzuat kurgusu ne anlam ifade ediyor? Komisyonun önerdiği yeni kurguya bakıldığında;
– AB’de halihazırda ayrı bir düzenleme (E-Money Directive) altında yönetilen elektronik para kuruluşlarının da artık PSD 3 kapsamında regüle edileceği anlaşılıyor.
– PSD 3, ödeme ve elektronik para kuruluşlarının lisanslanması ve bu kuruluşların uyması gereken kurallarla sınırlı bir çerçevede düzenlemeler içerecek.
– Ödemeler alanındaki tarafların hak ve yükümlülüklerini ve bu alanın temel kurallarını yöneten düzenleme ise PSD3 değil PSR1 olacak.

Regülasyan ve direktif farkının önemi

Bilindiği üzere, Avrupa Birliği hukuk sistematiğinde direktiflerin uygulanabilmesi için üye ülkelerin iç hukuklarına aktarılması gerekiyor. Regülasyonların ise herhangi bir aktarıma gerek olmadan doğrudan yürürlüğe girmesi söz konusu.
Direktiflerin üye ülkelerin iç hukukuna aktarımları esnasında, üye ülkeler arasında yaklaşım farkı olabiliyor. Bu da uzun vadede ilgili direktifin uygulanmasına ilişkin bütünlüğün kaybolmasına yol açabiliyor.
Bu perspektiften bakıldığında Avrupa Komisyonu’nun, FinTek’lerin lisanslanması ve bu kuruluşların tabi olduğu genel kuralların belirlenmesi için direktif statüsünde bir düzenlemeyi tercih ettiği gözleniyor. Böylece üye ülkelerin söz konusu alanlara ilişkin belirli kapsamda kendi iç kurallarını getirmesine şans verdiği söylenebilir.
Ödeme işlemlerinin yürütülmesi ile kullanıcıların hak ve yükümlülüklerini ise bir regülasyon altında düzenleyerek, bu alanda yeknesak bir uygulama olmasını ve üye ülkelere bir takdir yetkisi bırakılmamasını tercih ettiği görülüyor.

Ödemeler alanındaki değişim ihtiyacının sebepleri

Komisyon, mevzuat önerilerinin hazırlanması öncesinde yapılan etki analizi çalışmasında, PSD 2’nin başarılarına rağmen AB ödeme pazarında şu dört temel sorunun olduğunu tespit etmiş:

1- Tüketiciler dolandırıcılık riskiyle karşı karşıya ve ödemelere güven eksikliği duyuyor.
2- Açık bankacılık çerçevesi eksik işliyor.
3- AB denetçilerinin yetki ve yükümlülükleri tutarsız.
4- Banka olmayan ödeme hizmeti sağlayıcılar (PSP veya FinTek’ler) ile bankalar arasında dengesiz bir rekabet ortamı var.

Komisyon, bu sorunların yol açtığı belli başlı sonuçları da şöyle sıralıyor:

– Kullanıcılar (özellikle tüketiciler, satıcılar ve KOBİ’ler) hala dolandırıcılık riskine maruz kalıyor.
– Açık bankacılık hizmet sağlayıcıları, temel açık bankacılık hizmetlerini sunmada engellerle karşılaşıyor; inovasyon yapma veya kart şemaları gibi mevcut oyuncularla rekabet etme konusunda zorluklar yaşıyorlar.
– FinTek’ler yükümlülüklerine ilişkin belirsizliklerle karşılaşıyor ve bankalarla karşılaştırıldığında rekabet açısından dezavantajlı durumdalar.
– Ekonomik verimsizlikler ve ticari işlemlerin yüksek maliyetleri, AB’nin rekabet gücünü olumsuz etkiliyor.
– AB ödeme pazarı bölünmüş durumda ve forum alışverişi riski (kuruluşların kendileri lehine en uygun düzenlemeleri sunan veya en lehe yaptırımları uygulayacak üye ülkede lisans alma yoluna gitmesi) bulunuyor.

Bu sonuçlardan yola çıkılarak, mevzuat önerileri için şu dört temel hedef belirlendi:
1- Kullanıcı korumasını ve ödemelere olan güveni güçlendirmek.
2- Açık bankacılık hizmetlerinin rekabet gücünü artırmak.
3- Üye devletlerde (mevzuatların) işlerliğini ve uygulamasını iyileştirmek.
4- Banka olmayan PSP’ler yani FinTek’ler için ödeme sistemlerine ve banka hesaplarına (doğrudan veya dolaylı) erişimi iyileştirmek.

PSD 3 ve PSR1 düzenlemelerinin ana hedefleri

Avrupa Komisyonu, söz konusu etki analizi çalışması sonucunda PSD 3 ve PSR1 taslak metinlerini kamuoyuyla paylaştı ve ilgili düzenleme taslakları tarafından öngörülen önlem paketinin aşağıdaki başlıkları içerdiğini vurguladı:

Ödeme dolandırıcılığıyla mücadele etmek ve hafifletmek

Bu kapsamda ödeme hizmet sağlayıcılarının birbirleriyle dolandırıcılıkla ilgili bilgileri paylaşmalarına imkan sağlanması, tüketicilerin farkındalığının artırılması, müşteri kimlik doğrulama kurallarının güçlendirilmesi, dolandırıcılığa maruz kalan tüketicilerin iade haklarını genişletilmesi ve alıcıların IBAN numaralarının hesap isimleriyle uyumunu kontrol etme sisteminin tüm kredi transferleri için zorunlu hale getirilmesi hedefleniyor.

Tüketici haklarını geliştirmek

Örneğin fonlarının geçici olarak bloke edildiği durumlarda, hesap özetlerinde şeffaflığın artırılması ve ATM ücretleri hakkında daha şeffaf bilgi sağlanması amaçlanıyor.

Bankalar ile diğer ödeme hizmet sağlayıcıları arasındaki rekabeti dengelemek

Özellikle banka dışı ödeme hizmet sağlayıcılarına uygun güvenlik önlemleriyle AB’deki tüm ödeme sistemlerine erişim imkanı tanınması ve bu sağlayıcıların bir banka hesabına sahip olma haklarını güvence altına alınması hedefleniyor

Açık bankacılığın işleyişini iyileştirmek

Açık bankacılık hizmetleri sağlama konusundaki engelleri kaldırarak ve müşterilerin ödeme verileri üzerinde daha fazla kontrol sahibi olmasını sağlayarak, yeni yenilikçi hizmetlerin pazara girmesine imkan tanımak isteniyor.

Mağazalarda ve ATM’ler aracılığıyla nakit paranın kullanılabilirliğini artırmak
Perakendecilerin müşterilere satın alma zorunluluğu olmadan nakit hizmeti sunmalarına izin verilmesi ve bağımsız ATM işletmecileri için kuralların netleştirilmesi planlanıyor.

Uyum ve yaptırımı güçlendirmek

Ödeme kurallarının çoğunun doğrudan uygulanabilir bir düzenlemeyle yürürlüğe konulması, uygulama ve cezalar konusundaki hükümleri güçlendirilmesi amaçlanıyor.

Finansal veri erişimine ilişkin düzenleme önerisi

Komisyon, gerçek ve tüzel kişi fark etmeksizin finansal müşterilerin -ödeme hesaplarının da ötesindeki- hesaplara ilişkin verilerinin AB içerisinde nasıl üçüncü kişilerle paylaşılacağına ilişkin hak ve kuralların yönetilmesi için FIDA şeklinde kısaltılabilecek yeni bir regülasyon önerisinde bulundu.

Peki bu finansal veri erişimi düzenlemesi hangi ihtiyaç ve beklentilerden yola çıkarak öngörülüyor?

AB’de her ne kadar ödeme hesaplarına ilişkin verilerin paylaşımıyla ilgili kurallar açık bankacılık (şu an için PSD 2) kapsamında düzenlese de ödeme hesapları dışındaki verilerin üçüncü taraflarla paylaşımına ilişkin herhangi bir kural bütünü bulunmuyor.

Bilindiği gibi komisyon, inovatif hizmetler sunmak için müşteri verilerine erişmek isteyen FinTek’lerin, müşteri verilerini işleyen finansal kuruluşlar tarafından tutulan verilere erişim konusunda sorunlar yaşadığının altını çiziyor. Aynı zamanda, ilgili alanda herhangi bir hukuki düzenleme bulunmamasının birtakım sorunlara yol açtığını belirtiyor. Bunları da şöyle ifade ediyor:

– Müşteriler, veri paylaşım izinlerini yönetmek için kurallar ve araçlar olmadığından, veri paylaşımının potansiyel risklerinin ele alındığına güvenmiyor. Bu nedenle de verilerini paylaşmaktan çekiniyorlar.
– Müşteriler, veri paylaşmak isteseler bile, bu paylaşımı yöneten kurallar ya mevcut değil ya da belirsiz. Bu yüzden de müşteri verilerini tutan kredi kuruluşları, sigortacılar ve diğer finansal kuruluşlar, bu verileri katma değerli şekilde müşterilere sunmak isteyen FinTek’lerle veri paylaşımı yapmak zorunda değil.
– Veri paylaşımı alanında teknik altyapı anlamında bir standartlaşma olmadığı için veri paylaşımları maliyetli ve verimsiz hale geliyor.
Komisyon, bu doğrultuda finansal veri erişimi alanında bir etki analizi yapıldığını ve yukarıdaki sorunları bertaraf etmek amacıyla atılabilecek en önemli adımın çerçeve düzenleme niteliği taşıyan bir regülasyon çıkarılması olduğu sonucuna vardı. Sonuçta da FIDA taslağını önerdi.

FIDA neler getiriyor?

Avrupa Komisyonu, FIDA düzenleme taslağının, ödeme hesaplarından öte finans sektöründe müşteri veri paylaşımını yönetmek için açık hak ve yükümlülükler belirleyeceğinin altını çiziyor. FIDA ile birlikte şu yenilikler devreye girecek:
– Müşteriler yeni, daha ucuz ve daha iyi veri odaklı hizmetler (örneğin finansal ürün karşılaştırma araçları, kişiselleştirilmiş online tavsiyeler) almak için verilerini MRF formatında FinTek’lerle paylaşabilecek.
– Müşteri verilerini tutan finansal kuruluşlara, bu verileri FinTek’lerle paylaşması için gereken teknik altyapıyı oluşturma yükümlülüğü getirilecek.
– Müşterilerin verilerine kimin ve hangi amaçla erişeceğine dair tam kontrol sağlamak için müşteri izin panelleri oluşturulacak. Genel Veri Koruma Regülasyonu (GDPR) kapsamında müşterilerin kişisel verileri daha güçlü bir şekilde korunacak.
– Finansal veri paylaşım şemalarının bir parçası olarak müşteri verileri ve gerekli teknik arayüzler standartlaştırılacak.
– Finansal veri paylaşım şemalarının bir parçası olarak veri ihlalleri için net sorumluluk rejimleri ve anlaşmazlık çözüm mekanizmaları oluşturulacak.
– Verileri elinde tutan kuruluşların B2B veri paylaşımları esnasında bundan faydalanacak FinTek’ler için -belirli tutarlar karşılığında- yüksek kaliteli arayüzler oluşturmasına yönelik teşvikler sağlanacak.

Genel değerlendirme

PSD3 ve PSR 1 düzenlemelerine genel olarak bakıldığında, paradigmaları değiştirmekten ziyada sektör ihtiyacına karşılık vermeyi ve yeni riskleri hedefleyen bir yapıda olduğunu söylemek mümkün.
Bu bağlamda, her iki düzenlemede de ödemeler sektörünü baştan aşağıya yeniden değiştirecek bir kural yerine, mevcut düzenlemelerin detaylandırıldığı görülüyor. Özellikle açık bankacılık düzenlemelerine ilişkin detaylandırmalar yapıldığı ve FinTek’lerin (yakın zamanda ülkemizde de adımlarının atıldığı üzere) ödeme sitemlerine erişimine yönelik ön adımların atıldığı dikkat çekiyor.
Nitekim Avrupa Komisyonu da bu yaklaşımı bir “devrim” değil “evrim” olarak nitelendiriyor.
Ülkemizde ödeme ve elektronik para alanındaki temel düzenleme olan 6493 sayılı kanunun PSD2’yi mehaz (model) aldığı dikkate alınırsa, AB’deki PSD 3 ve PSR 1 düzenlemelerinin yakın gelecekte bize de etkisi kaçınılmaz olacaktır.

Bu noktada, PSD 3 ve PSR 1’da yer alan FinTek’lerin ödeme sistemlerine aktif şekilde doğrudan erişimi ve açık bankacılık API’lerine ilişkin yüksek derece standardizasyon yaklaşımları için ülkemizde TCMB’nin çok önceden harekete geçtiğini hatırlatmakta yarar var. Sanırım bu iki konuya ilişkin uygulama sonuçlarını yakın zamanda göreceğiz.
Avrupa Komisyonu’nun veri erişimi tarafında getirdiği düzenleme önerisi ise yeni bir duruma işaret ediyor. Çünkü müşterilerin, açık bankacılık hizmetlerinin konusu olan ödeme hesaplarına ilişkin verilerin de ötesindeki verilerini üçüncü kişilerle paylaşılmasını teşvik edecek nitelikte. Söz konusunu düzenlemeyle getirilen kural bütününün açık bankacılık kurallarından farklı olduğunu not etmek gerekir.
Türkiye’de finansal veri paylaşım alanına ilişkin çerçeve nitelikte bir düzenleme henüz yok. AB’nin bu alanda FIDA ile kazanacağı tecrübenin ileride bizim açımızdan da faydalı olacağını düşünüyoruz.