Evropa vstupuje do další fáze digitální finanční regulace. Návrhy směrnice PSD3 a nařízení FiDA přinášejí hluboké změny nejen pro fintechy a banky, ale i pro korporace a spotřebitele. Co všechno tyto nové rámce znamenají v praxi? O pohled na evropské návrhy i české reálie jsme požádali JUDr. Bc. Martina Stančíka, Counsel v advokátní kanceláři HAVEL & PARTNERS a odborníka na oblast finanční regulace a práva digitálních služeb.
📌 Infobox – Co je PSD3 a FiDA?
| Zkratka | Plný název | Co upravuje? |
| PSD3 | Payment Services Directive 3 | Nová směrnice upravující poskytování platebních služeb a ochranu uživatelů. |
| PSR | Payment Services Regulation (nařízení) | Doprovodné nařízení k PSD3 – závazné a přímo aplikovatelné v členských státech. |
| FiDA | Financial Data Access Regulation (nařízení) | Rámec pro přístup k finančním datům (open finance) – navazuje na open banking. |
Evropská komise představila návrh PSD3 a FiDA. Co je hlavním cílem těchto změn z pohledu legislativy?
Nový legislativní balíček reaguje na digitální transformaci a s tím související nová rizika a příležitosti, kterým trh platebních služeb v posledních letech čelí.
PSD3 se zaměřuje především na licencování a povolování platebních institucí, většina pravidel pro platební služby je pak nově obsažena v PSR. Zatímco PSD3 má formu evropské směrnice, kterou bude třeba transponovat do českého práva formou zákona, PSR má formu přímo použitelného evropského nařízení.
Zapomenout bychom neměli ani na nařízení FiDA, které nastavuje nový rámec pro sdílení finančních údajů mezi institucemi a fintechy.
Cílem těchto předpisů je zlepšit bezpečnost, posílit harmonizaci pravidel a dát spotřebitelům větší kontrolu nad jejich finančními údaji.
Jaké jsou hlavní rozdíly mezi PSD2 a novou PSD3 – a proč je vůbec potřeba revize?
V roce 2022 proběhlo ze strany Evropské komise hodnocení dopadů a uplatňování směrnice PSD2. Analýza ukázala, že ačkoli byla směrnice v mnoha ohledech úspěšná, ne všechny její cíle se podařilo naplnit.
Hlavním problémem byly zejména rozdílné nároky na provádění a prosazování směrnice napříč členskými státy, což vedlo k narušení rovného prostředí pro poskytovatele platebních služeb.
PSD3 proto staví na základech stanovených PSD2, ale přináší i nová opatření reagující na aktuální potřeby trhu. PSD3 přináší řadu změn, z nichž lze zmínit zejm. posílení práv a ochrany spotřebitelů, včetně větší kontroly nad platebními údaji a přístupem k nim či širších možností refundace v případě podvodů.
Nová pravidla by měla přispět k vytvoření vyváženějšího prostředí pro banky i nebankovní poskytovatele – zejména fintechy – přičemž právě fintechy získají lepší podmínky díky sjednocení licenčního režimu a přístupu do klíčových platebních systémů. To podpoří konkurenční prostředí a inovace.
PSD3 také odstraňuje překážky, které brání rozvoji open bankingu a posiluje harmonizaci a vymahatelnost napříč členskými státy, mimo jiné sloučením právního rámce pro platební služby a elektronické peníze či posílením pravomocí dozorových orgánů.
PSD3: Regulace platebních služeb
Jaké konkrétní dopady bude mít PSD3 na poskytovatele platebních služeb v Česku?
PSD3 se dotkne všech poskytovatelů platebních služeb v Česku – bank, fintechů i dalších nebankovních subjektů. Fintechům se otevřou nové možnosti a jednodušší působení napříč EU.
Přibudou však i nové povinnosti: hráči na trhu platebních služeb budou muset přizpůsobit své systémy novým požadavkům v oblasti silného ověřování klienta (SCA), prevence podvodů, odpovědnosti za neoprávněné transakce a bezpečného sdílení dat.
Zásadní změnou bude dále sjednocení licencí pro platební instituce a instituce elektronických peněz. To sice zjednoduší regulatorní rámec, ale zároveň může zvýšit požadavky na compliance, zejména pro menší poskytovatele.
Posiluje PSD3 ochranu spotřebitelů a boj proti podvodům – v čem bude tato ochrana nově silnější?
Ano, PSD3 výrazně posiluje ochranu spotřebitelů, a to zejména v oblasti prevence platebních podvodů. Reaguje na nové formy podvodného jednání, jakým je například tzv. spoofing – tedy situace, kdy se útočník věrohodně vydává za banku nebo jinou instituci a přiměje uživatele, aby sám autorizoval škodlivou transakci.
Zpřísní se také požadavky na silné ověření klienta s cílem zpřehlednit výjimky a zvýšit bezpečnost i v případě plateb přes digitální peněženky. Nová pravidla pak zavádějí dodatečné preventivní mechanismy, například ověřování shody jména a čísla účtu (IBAN). Spotřebitel bude upozorněn, pokud se údaje nebudou shodovat, a může platbu zamítnout. Tím se významně snižuje riziko podvodných transakcí.
Nově vznikne právní rámec pro sdílení informací o podvodech mezi poskytovateli platebních služeb, což by mělo přispět k rychlejšímu odhalování a účinnějšímu omezování podvodného jednání. Kromě toho se rozšiřují i situace, kdy mají spotřebitelé právo na vrácení peněz, pokud se stanou obětí podvodu.
Celkově PSD3 zavádí jasnější a silnější pravidla pro prevenci, rychlé odhalení a řešení platebních podvodů.
Kde vidíte největší compliance výzvy pro české fintechy a tradiční banky?
Velkou výzvou bude časový tlak a technická složitost implementace nových pravidel. Návrh PSD3 počítá s dvouletým přechodným obdobím, během kterého budou muset poskytovatelé platebních služeb doložit České národní bance splnění všech nových požadavků.
V praxi to ale znamená nutnost včas upravit interní procesy, dokumentaci i technologické systémy. To může být především pro menší subjekty náročné. Zároveň se výrazně zvýší nároky na zpracování a správu dat. Požadavky na větší transparentnost a sdílení informací povedou k nárůstu objemu dat, který bude třeba zvládnout pomocí lepší infrastruktury a efektivnějších nástrojů na jejich správu.
FiDA: Otevřený přístup k finančním datům
FiDA zavádí koncept tzv. „open finance“. Jak se liší od dosavadního open bankingu pod PSD2?
Na rozdíl od dosavadního open bankingu, který byl zaveden směrnicí PSD2 a umožňoval sdílení údajů jen o platebních účtech, koncept open finance podle nařízení FIDA rozšiřuje přístup i na další oblasti finančních služeb.
Klienti finančních institucí tak budou moci – na základě svého výslovného souhlasu – prostřednictvím tzv. držitelů údajů (data holders) umožnit třetím stranám přístup nejen k údajům o platebních účtech, ale nově i k informacím například o úvěrech a hypotékách, investicích nebo penzijních produktech. Samozřejmým požadavkem je přitom dodržování pravidel pro ochranu osobních údajů v souladu s GDPR.
Cílem je vytvořit datově propojený finanční ekosystém, který klientům dá lepší přehled o financích, snadnější přístup k personalizovaným službám a zároveň podpoří inovace a konkurenci na trhu.
Jak bude fungovat přístup k datům nebankovních institucí – pojišťoven, investičních platforem apod.?
Nebankovní instituce, které v tomto rámci vystupují jako tzv. uživatelé údajů (data users), budou mít přístup k finančním údajům zákazníků jen tehdy, dá-li k tomu zákazník výslovný souhlas. Přístup jim poskytnou držitelé údajů (data holders), tedy zpravidla licencované finanční instituce, které tyto údaje shromažďují, uchovávají a zpracovávají. Držitelé údajů odpovídají za bezpečné zpřístupnění, uživatelé údajů za jejich další zpracování.
Data budou dostupná v reálném čase, standardizovaně a bezpečně prostřednictvím aplikačních programovacích rozhraní. Zákazníci přitom zůstanou plně v kontrolní pozici a v tzv. přehledu povolení (permission dashboard) budou moci snadno spravovat, prodlužovat nebo rušit přístupy ke svým údajům.
Přinese FiDA reálný přínos i koncovým zákazníkům? Jaký konkrétně?
Hlavním přínosem bude lepší přehled a kontrola nad vlastními finančními údaji a jejich sdílením, což se projeví zejména v možnosti aktivně spravovat, jak a s kým jsou data sdílena.
Tím se otevře prostor pro vývoj personalizovaných finančních služeb, které budou lépe odpovídat konkrétním potřebám daného klienta. Díky snadnějšímu porovnávání nabídek a možnosti jednoduše přejít k výhodnějším poskytovatelům získají zákazníci více možností a často i lepší podmínky. To zároveň podpoří konkurenci a inovace na trhu – budou vznikat nové produkty a aplikace.
FiDA tak může výrazně zvýšit transparentnost, přehlednost, rozsah a dostupnost finančních služeb.
💡 Přínos pro různé cílové skupiny
Jaké příležitosti přinese FiDA pro veřejnost? Např. z hlediska inovativních služeb, správy osobních financí apod.?
Zákazníci získají větší kontrolu nad svými daty a sami rozhodnou, kdo a za jakých okolností k nim bude mít přístup.
Fintechy pak díky zpřístupnění širokého spektra údajů – od běžných účtů přes spořicí produkty až po cenné papíry či kryptoměny – budou moci provádět komplexnější analýzy a poskytovat přesnější finanční doporučení i rozhodnutí.
Tím se otevře prostor pro vznik ještě více personalizovaných služeb. Jako příklad lze uvést systém, který automaticky vyhodnocuje podmínky jednotlivých úvěrů klienta a v případě výhodnější nabídky jej upozorní na možnost konsolidace či refinancování.
Fintechové společnosti nově získají přístup k datům, která měla dříve výhradně tradiční banky. To vytvoří tlak na kvalitnější služby, větší transparentnost a výhodnější nabídky pro koncové zákazníky.
Co může FiDA znamenat pro velké korporace – např. v oblasti cash flow managementu, datové analýzy nebo fintech spolupráce?
FiDA pro velké korporace znamená především nové strategické příležitosti, nikoli zásadní regulatorní zátěž. Finanční instituce samozřejmě nebudou mít povinnost sdílet detailní provozní či cash flow data.
Úspěch v novém prostředí otevřených financí bude záviset zejména na schopnosti rychle identifikovat a využít nové příležitosti, které FiDA přináší. Lze očekávat, že FiDA podpoří vznik nových, pokročilejších nástrojů pro správu firemních financí. Banky i fintechy budou motivovány nabízet integrovaná řešení pro efektivnější řízení likvidity, přesnější predikce a hlubší analýzy. Firmy, které dokážou tato data a nástroje smysluplně využít, tak budou moci získat konkurenční výhodu – ať už v optimalizaci interních procesů, nebo v nabídce lepších služeb svým zákazníkům.
Dá se také očekávat, že dojde ke zrodu nových partnerství mezi tradičními finančními institucemi – bankami a pojišťovnami – a fintechovými společnostmi v rámci vývoje a implementace nových řešení.
Otevírá FiDA prostor pro novou generaci „datově řízených“ finančních aplikací i mimo sektor bank?
Ano, FiDA otevírá prostor pro vznik podobných aplikací a tedy přináší příležitosti pro nové fintechy nebo rozvoj těch již fungujících.
Klienti budou moci bezpečně sdílet svá finanční data napříč různými institucemi. Díky tomu získají fintechy, pojišťovací zprostředkovatelé i další nebankovní subjekty přístup k širokému spektru informací – od úvěrů a investic až po pojištění a penzijní produkty.
Budou tak vznikat aplikace, které nabídnou klientům komplexní pohled na jejich finance, personalizované poradenství nebo automatizovanou optimalizaci finančních produktů.
Český kontext
Jaká je připravenost Česka na transpozici PSD3 a implementaci FiDA?
Česko je aktuálně v počáteční fázi příprav na transpozici PSD3 a implementaci FiDA. Finální evropské předpisy se očekávají koncem roku 2025, přičemž PSD3 nabude účinnosti pravděpodobně až po roce 2025 s 18měsíční transpoziční lhůtou. FiDA bude implementována postupně podle kategorií dat během 24, 36 a 48 měsíců od účinnosti nařízení.
České finanční instituce budou muset provést gap analýzu, aktualizovat systémy silného ověření klienta, upravit smlouvy s technickými poskytovateli a připravit se technologicky. Výhodou je, že český finanční trh má dobré základy z implementace PSD2 a existuje Český Open Banking Standard (ČOBS), který se dále rozvíjí.
Jak vnímáte roli ČNB nebo Ministerstva financí v celém procesu – jsou spíše podporující, nebo zdrženlivé?
Na začátek je nutné říct, že oba návrhy jsou z dílny EU, a nejedná se tak o tuzemské iniciativy. Možnosti ovlivnit výslednou podobu regulace jsou tak velmi omezené.
Obecně ČNB zaujímá progresivní, ale opatrný přístup – podporuje inovace, ale klade důraz na stabilitu finančního trhu a rizikově orientovaný dohled. Cílí na snížení regulatorní zátěže (což dokládá mimo jiné od července účinný balíček snižující regulatorní zátěž na finančním trhu) a má posílené pravomoci vynucovat jednotná pravidla podle PSD3.
Ministerstvo financí je pak aktivní v podpoře finančních inovací při zachování ochrany spotřebitelů. Vede konzultace s trhem, podporuje rozvoj firem a obchodních modelů a navrhuje zákony pro podporu stability finančního prostředí, což ukazuje na aktivní přístup k digitalizaci.
Celkově lze říci, že obě instituce jsou spíše podporující, ale s důrazem na obezřetnost a ochranu trhu i spotřebitelů.
Existuje u nás nějaký konsenzus mezi veřejným a soukromým sektorem na tom, jak regulaci uchopit?
Mezi veřejným a soukromým sektorem v této oblasti obecně existuje funkční dialog, ale konsensu zatím dosaženo nebylo. Základem je dlouhodobá spolupráce prostřednictvím České bankovní asociace (ČBA), která spravuje ČOBS a komunikuje s regulátory, a České fintech asociace, která propojuje inovátory, regulátory a investory.
Obzvlášť v oblasti platebních služeb je dialog dobře nastaven, ale pro širší oblast finančních dat (FiDA) zatím chybí systematická koordinace. Větší banky jsou technicky připravenější, menší instituce a fintechy čelí větším výzvám. Pro úspěšnou implementaci bude klíčové zintenzivnit dialog, rozšířit standardy ČOBS na FiDA a koordinovat přípravy napříč sektorem.
Výhled a závěr
Mohou PSD3 a FiDA vést k přeskupení trhu – tedy odlivu některých hráčů a nástup nových?
Nová regulace bude mít podle mého názoru výrazný dopad na složení trhu zejména v důsledku většího otevření prostoru pro nové, inovativní subjekty. Zároveň se zvýší tlak na ty, kteří zaostávají v digitalizaci nebo nemají dostatek zdrojů ke splnění nových regulatorních požadavků.
Nové požadavky a technologická náročnost změn mohou být velkou výzvou zejména pro menší nebo méně flexibilní instituce. Náklady spojené s compliance, kybernetickou bezpečností či plněním regulatorních povinností mohou být pro některé subjekty příliš vysoké. Lze proto očekávat odchod části hráčů z trhu, případně jejich fúzi s většími partnery.
Trh se tak v konečném důsledku může stát koncentrovanější, ale zároveň otevřenější inovacím a rozmanitější v nabídce služeb pro koncového uživatele.
Co by měly firmy a finanční instituce dělat už nyní, aby změny využily jako konkurenční výhodu?
Nová evropská legislativa představuje podle mého názoru pro finanční instituce nejen regulatorní výzvu, ale hlavně významnou strategickou příležitost. Subjekty, které se na změny připraví včas a proaktivně, získají velkou konkurenční výhodu.
Prvním krokem by měla být důkladná analýza, která odhalí rozdíly mezi současným stavem a požadavky nové regulace. Na jejím základě je třeba naplánovat a postupně provádět potřebné technické a procesní změny. Včasná adaptace umožní plynulejší přechod a dává prostor pro testování nových služeb ještě před účinností nové regulace.
Subjekty, které využijí otevřený přístup k datům a nabídnou třeba personalizované finanční produkty, přehledy nebo zjednodušené uživatelské procesy, si mohou upevnit silnou konkurenční pozici. Klíčem bude schopnost proměnit dostupná data v užitečné a bezpečné služby, které posílí důvěru, a v jejím důsledku i loajalitu zákazníků.
Jaká jsou největší rizika, která by při implementaci PSD3 a FiDA neměla být přehlížena?
Z právního hlediska je největší výzvou komplexnost požadavků a jejich provázanost s dalšími regulacemi, jako je GDPR, DORA či AML. Například v rámci nové regulace FiDA bude třeba najít rovnováhu mezi sdílením finančních údajů a jejich ochranou – a to jak získáním platného souhlasu klienta, tak zavedením jednoduchých nástrojů pro správu oprávnění. Navíc může rozdílná transpozice PSD3 v jednotlivých státech způsobit nejistotu, zejména pro přeshraničně působící instituce.
Z technického hlediska je hlavní výzvou především vývoj odpovídající bezpečné infrastruktury. Zavádění nových API, nástroje pro ověřování údajů o příjemci v reálném čase či pokročilý monitoring podvodů znamenají výrazné nároky na IT kapacity a kybernetickou bezpečnost. Z obchodního pohledu nelze přehlédnout dopad na konkurenceschopnost – tradiční banky budou pod tlakem inovativních fintechů, zatímco menší firmy mohou mít problém zvládnout náklady a složitost nových požadavků.
Z pohledu právníka – co osobně považujete za nejrevolučnější aspekt těchto návrhů?
PSD3 a PSR zpřesňují pravidla, posilují ochranu spotřebitele a zlepšují technické standardy pro sdílení dat v rámci platebních služeb. FiDA pak zásadně rozšiřuje okruh sdílených dat na celý finanční sektor.
Největší posun osobně vidím v tom, že FiDA už nemluví jen o open bankingu, ale nastavuje pravidla pro celý systém open finance. To znamená odklon od dosavadního sektorového přístupu a vznik jednotného datového ekosystému, který úplně změní způsob, jakým se bude na finančním trhu pracovat s informacemi. Tento posun podle mě otevírá prostor pro vznik zcela nových služeb a obchodních modelů, které mohou zásadně změnit způsob, jakým lidé i firmy spravují své finance.
Jak tradiční finanční instituce, tak fintechy s novými obchodními záměry pak budou potřebovat podporu zkušených právních profesionálů, kteří jim pomohou novou regulaci implementovat. V HAVEL & PARTNERS máme zkušený tým expertů, který se na fintech specializuje a už nyní se novou regulací v oblasti platebních služeb podrobně zabývá a je připraven zajistit, aby naši klienti měli vždy náskok.
Autor