Toezicht op aanbieders mobile wallets? Mobiel betalen vanuit een financieelrechtelijk perspectief



Vergelijkbare documenten
Update financieel recht. Implementatie richtlijn betaaldiensten. 9 november 2009

Kabinetsreactie op het groenboek Naar een geïntegreerde Europese markt voor kaartinternet- en mobiele betalingen

SEPA for mobile. Agenda. Wat is SEPA? Wat is de European Payments Council? Wat doet de EPC op het gebied van mobiel betalen?

Bronnen De geldeconomie in ontwikkeling

Tweede Kamer der Staten-Generaal

ESSAY. DreamDiscoverDo. Nhung Bui JDE-UXD2 JDE-SEMUX.3V-13 December 2014 Pauline Weseman

Titelstijl van model bewerken. Online ontwikkelingen met impact. Gaston Aussems. Jaarcongresaccountant.nl

Eerste Kamer der Staten-Generaal

ALGEMENE VOORWAARDEN CONSUMENTEN GET1,2 NEDERLAND B.V. Deze algemene voorwaarden zijn op 4 november 2014 gedeponeerd bij de Kamer van Koophandel.

ABN AMRO. Welkom bij ABN AMRO ideal Algemene handleiding

Toelichting MasterCard SecureCode & Verified by Visa

Whitepaper Meer weten over ideal

Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009

Wat doet de NFC chip? Coen Visser

SEPA Veranderingen voor onderwijsland. 18 Juni 2010 Ernst Kokke, Capgemini

Aanbieder: de natuurlijke of rechtspersoon die de Producten of Diensten op afstand aan de Consumenten aanbiedt.

Stabiliteit in tijden van disruptie

Consultatieversie ECB, 20 oktober 2015

Betaaldiensten Sectie Ondernemingsrecht Amsterdam Bauke Falkena 28 april 2009

Voorlichtingsbijeenkomst VFI. P.M. Mallekoote Algemeen Directeur Currence. Den Haag, 8 april 2008

Internet bankieren. Is bankieren via internet veilig?

Vanaf 15/04/2019 werden een aantal reglementen gepubliceerd als toekomstige versie naast de huidige reglementen:

De Minister van Financiën, Besluit: De Tijdelijke regeling invoering Wft wordt als volgt gewijzigd:

Loyens & Loeff N.V., M. van Schuppen en J.M. van Poelgeest. memorandum regulatoire aspecten financiering apotheken

Een kennismaking met DNB Finnius seminar

PSD2 Verandering, of toch niet?

Voorstel herziene richtlijn betaaldiensten en toegang tot de betaalrekening Betalingsinitiatie- en rekeninginformatiediensten gereguleerd

EBA Final Guidelines on the security of internet payments

Een veranderd landschap: PSD 2 en toestemming onder de AVG

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Scannen, herkennen, elektronische factuurverwerking en.. betalen.

Tweede Kamer der Staten-Generaal

Veel gemak met je bank op zak. Overal je geldzaken regelen met de SNS Mobiel Bankieren app

Online betalen via uw eigen bank

Online betalen via uw eigen bank

SEPA Kansen en bedreigingen voor Click Retail

Creo cashless payment: innovatief, efficiënt en klantgericht!

Voorwaarden Betalen Moneyou Go. September 2017

Verkoop- en leveringsvoorwaarden WashWallet

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Oranje is Samen ondernemen WELKOM

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Tarifering van de verwerking van transacties met betaalpassen en creditcards

Directeur Triodos Bank: Privacy wordt dit jaar een groot thema Marco Visser 16 februari Een nieuwe Privacywet in 2018: kansen en uitdagingen

Voorwaarden ideal Januari 2019

Hessel Kuik CEO Bizcuit

Gemakkelijk en veilig voor iedereen

Vindplaats: Bb 2009, 58 Bijgewerkt tot: Auteur: Mr. E.P.M. Joosen [*]

Hessel Kuik CEO Bizcuit

deze richtlijn heeft als doelstellingen:

ING Corporate Card Programma Instructies voor kaarthouders

Betaalmethoden en kassaservices

GEDATEERD [DATUM] 200[_] ABN AMRO BANK N.V. OVEREENKOMST INZAKE INTERNET BETAALPRODUCTEN

Voorwaarden Betaaldiensten Particulieren

Hessel Kuik CEO Bizcuit

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Voorwaarden Betaaldiensten Particulieren

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Voorwaarden Betaaldiensten Particulieren

Hessel Kuik CEO Bizcuit

Probleemloos naar één Europese markt voor betalingen

Betalen in het eurogebied: nog niet alle wensen vervuld

Aan de slag met de Mobiel Bankieren App voor iphone & ipad (ios) Met deze handleiding kunt u simpel van start

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

EUROPESE CENTRALE BANK

Whitepaper Veilig online betalen met 3-D Secure

a) Titel voorstel Proposal for a directive of the European Parliament and of the Council on countering money laundering by criminal law.

No.W /III 's-gravenhage, 21 augustus 2015

Informatieblad Moneyou Go. 7 november 2017

Vertrouwen in betaalinstrumenten. Rob Heijjer MSc, CISSP Rabobank Nederland Vurore, 11 november 2009

Veel gemak met je bank op zak. Overal je geldzaken regelen met de SNS Mobiel Bankieren app

FAQ Accept . Antwoorden op veelgestelde vragen

Voorwaarden Mobiel Betalen

Laveren naar sepa: de overgang naar Europese betaalmiddelen in Nederland

Levering & verzending

De Nederlandsche Bank N.V. Consultatie. CRD II Implementatie (nieuwe) Regeling Hybride kapitaalinstrumenten banken 2010

De Nadere regeling gedragstoezicht financiële ondernemingen Wft wordt als volgt gewijzigd:

Voorwaarden SNS Mobiel Betalen

De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.

Europeanen sluiten nieuwe betaalmethodes in de armen: goed nieuws voor mobiele betalingen

Voorwaarden Betaaldiensten Particulieren

Privacyverklaring loyaliteitsprogramma

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

60 minuten actualiteiten privacy & gegevensbescherming

Onderwerp: Visie Maatschappelijk Overleg Betalingsverkeer Inleiding

Onderwerp: Tech monitor: Ontwikkelingen van mobiel betalen

Algemene Voorwaarden Friendgift

Handleiding Mobiel Bankieren app

SafeKey - Bijzondere voorwaarden voor de Merchant Versie 1.0: 15 mei 2016

Verwerkersovereenkomst

Handleiding Groenhuysenpas

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Voorschriften Moneycard

Samenvatting. 1. Procesverloop. De Commissie beslist met inachtneming van haar reglement en op basis van de volgende stukken:

OpenX Hosting. Opties en Alternatieven

Mogelijkheden van de Privérekening

Transcriptie:

Toezicht op aanbieders mobile wallets? Mobiel betalen vanuit een financieelrechtelijk perspectief mr. J.A. Voerman * Dit artikel bespreekt de ontwikkelingen op het gebied van mobiel betalen en mobile wallets vanuit een financieelrechtelijk perspectief. Centraal staat onder meer de vraag of aanbieders van mobile wallets onder financieel toezicht (komen te) staan. 1. Inleiding De traditionele betaal- en kredietkaarten verdwijnen. Zij worden vervangen door betaalapplicaties op de smartphone. Ook de leren portemonnees zullen er aan geloven. Digitale portemonnees (mobile wallets) op de smartphone nemen hun plaats in. Daarin is ook plaats voor bijvoorbeeld loyalty-kaarten van grote winkelketens of benzinemaatschappijen. Waar u nu ongetwijfeld meerdere (betaal)kaarten op zak heeft, bent u binnenkort op uw smartphone aangewezen. Dat dit geen ver toekomstbeeld betreft, blijkt onder meer uit de pilot voor mobiel betalen van ABN AMRO, ING Bank en Rabobank gehouden in Leiden in de tweede helft van 2013. Met deze pilot, de publiciteit daar omheen en verdere (individuele) initiatieven van de genoemde banken, raakt de Nederlandse consument langzamerhand gewend aan mobiel betalen. Deze bijdrage bespreekt ten eerste de ontwikkelingen op het gebied van mobiel betalen en mobile wallets. Ten tweede wordt stilgestaan bij het huidige financieelrechtelijk kader. Daarna is er aandacht voor de (concept) aanbevelingen die in Europees verband voor de veiligheid van mobiele betalingen zijn opgesteld. Vervolgens komt de vraag aan de orde of aanbieders van mobile wallets onder financieel toezicht (komen te) staan. In dat verband komt ook het voorstel voor een herziene richtlijn betaaldiensten (PSD2) aan bod. Tot slot wordt kort stilgestaan bij de poortwachtersfunctie van banken en betaalinstellingen. 2. Mobiel betalen en mobile wallets 2.1 Definitie mobiel betalen Mobiel betalen is een ruim begrip. In essentie betreft het alle betaalmethoden waarbij een mobiele telefoon (tegenwoordig bijna altijd een smartphone 1 ) in meer of mindere mate een rol vervult. De Europese Centrale Bank (hierna: ECB) heeft mobiele betalingen (m-betalingen) omschreven als betalingen waarvoor de betalingsgegevens en de betalingsopdracht worden doorgegeven en/of bevestigd via mobiele communicatie- en datatransmissietechnologie (bijv. spraaktelefonie, sms of Near Field Communication - NFC) via een mobiel apparaat tussen de klant en zijn/haar betaaldienstaanbieder in de loop van een online of offline aankoop van diensten, digitale of fysieke goederen. M-betalingen worden geïnitieerd, bevestigd en/of ontvangen via een mobiel apparaat met behulp van een toetsenpaneel of een touchscreen (voor mobiele betalingen op afstand) of het activeren van contactloze radiotechnologieën, zoals NFC of Bluetooth (voor mobiele contactloze betalingen). 2 2.2 Hoofdvormen Mobiel betalen kent drie hoofdvormen. De eerste betreft zogenaamde proximity betalingen. Dit zijn betalingen waar bij de plaats van aankoop (Point of Sale ofwel POS) met een mobiele telefoon via Near Field Communication (hierna: NFC)of een andere contactloze radiotechnologie zoals (Low Energy)Bluetooth kan worden afgerekend. De mobiele telefoon communiceert op afstand met de betaalterminal in de winkel, waarna de betaling via de reguliere (kaart)betalingssystemen wordt afgewikkeld. Dat is de manier waarmee in Leiden de pilot mobiel betalen is gehouden. Het verschil met de huidige kaartbetalingen is dat niet wordt geswiped of gedipt, maar dat contactloos wordt betaald. Het is voldoende de mobiele telefoon in de buurt van de betaalterminal te houden. Afhankelijk van de persoonlijke instellingen van de gebruiker kan wel of geen PIN zijn vereist voor een betaling. 3 Bij de tweede vorm hoeft de winkelier niet aangesloten te zijn op het reguliere (kaart)betalingssysteem. Het betreft zo- * Arno Voerman is advocaat te Amsterdam. 1. Een smartphone is kort gezegd een mobiele telefoon waarop een besturingssysteem draait. Dat systeem maakt het mogelijk programma s (applicaties of apps) te installeren. 2. Zie het 7e SEPA Progress Report (2010), p. 33 (te vinden via www.ecb.eu). De ECB geeft daarin ook aan dat niet iedere betaling via een smartphone als een mobiele betaling wordt aangemerkt. Betalingen waarbij de telefoon alleen wordt gebruikt om via een webbrowser en/of app toegang te krijgen tot een betaalapplicatie op het internet (bijv. internetbankieren), worden als een elektronische betaling (e-betaling) getypeerd. Hybride vormen zijn echter denkbaar. Het SEPA Progress Report noemt als voorbeeld een oplossing waarbij de initiëring online plaatsvindt en de betaalopdracht wordt gegeven via de mobiele telefoon (bijvoorbeeld door het invoeren van een PIN-code). Volgens de ECB zou deze betaling moet worden beschouwd als een m-betaling. 3. In Leiden was de standaardinstelling dat betalingen van minder dan EUR 25 geen PIN vereisten. 186 Tijdschrift voor Financieel Recht Nr. 5 mei 2014

Toezicht op aanbieders mobile wallets? genaamde remote betalingen. De mobiele telefoon is niettemin ook hier weer de spil waar het om draait. Zo kan de winkelier bijvoorbeeld een QR-code (Quick Response) laten genereren met relevante betaalgegevens en aanwijzing van een betaalmethode (bijvoorbeeld een creditcard of ten laste van een e-money account als PayPal). Deze QR-code wordt met de mobiele telefoon gescand, waarna onmiddellijk de betaalopdracht wordt gegenereerd en de klant deze opdracht alleen nog maar op zijn telefoon hoeft te accorderen, waarna deze wordt verzonden naar zijn betaaldienstverlener. Communicatie tussen de winkelier en de klant kan ook op andere manieren plaatsvinden dan via een QR-code. 4 De derde vorm is die waar mobiele telefoons worden gebruikt voor person-to-person (P2P) betalingen. Het veel aangehaalde voorbeeld is het Keniaanse M-Pesa. Dit systeem werkt via de SIM-kaarten van mobiele telefoons. De gebruiker koopt virtueel tegoed (de e-float), dat per sms kan worden overgedragen aan een andere persoon. De ontvanger van de sms kan de verstuurde e-float in een winkel die is aangesloten bij M-Pesa weer in contanten laten uitbetalen. De algemene perceptie is dat deze vorm vooral aanslaat in gebieden waar mensen nauwelijks over bankrekeningen beschikken. Eerder dit jaar is aangekondigd dat M-Pesa ook in Europa wordt geïntroduceerd en wel in Roemenië (waar kennelijk meer dan een derde van de bevolking niet over een bankrekening beschikt). 5 In deze bijdrage blijft deze vorm van mobiel betalen buiten beschouwing. 2.3 Het Secure Element De huidige bankpassen hebben een EMV-chip. De afkorting EMV staat voor EuroPay, MasterCard en Visa. Zij hebben de EMV-standaard ontwikkeld waarmee op een chip kaartgegevens versleuteld kunnen worden opgeslagen. Bij mobiel betalen worden de EMV-data opgeslagen in een zogenaamd Secure Element. Voor de plaats van een dergelijk Secure Element bestaan meerdere oplossingen. Mobile Network Operators (hierna: MNOs), zoals in Nederland Vodafone, KPN en Tele2, hebben een voorkeur voor plaatsing op de SIM-kaart. Voor de MNOs ligt hier een nieuw verdienmodel. Binnen het Secure Element worden door de MNO afgeschermde kamers ingericht die afzonderlijk kunnen worden verhuurd. De issuing bank (dat is de bank die de betaal- of kredietkaart uitgeeft) verkrijgt van de MNO de sleutel tot de kamer, waarna de issuing bank (althans haar Trusted Service Manager, zie hierna) de sleutel onmiddellijk verandert. Daarmee heeft de MNO geen toegang meer tot de verhuurde kamer en kan de issuing bank veilig software en de EMV-gegevens over-the-air naar de kamer op het Secure Element (doen) wegschrijven. Het Secure Element kan ook worden geplaatst op een door de leverancier van de smartphone geïntegreerde chip. Ook kan een zogenoemde microsd kaart in het geheugenkaartslot in de telefoon worden geplaatst, maar deze vorm wordt weinig toegepast gezien de complexe logistiek. Cloud-oplossingen zijn tevens mogelijk. De EMV-gegevens worden dan niet naar de smartphone weggeschreven, maar via de smartphone wordt toegang tot de cloud verkregen. Het Secure Element staat bij wijze van spreken dan in de cloud. Het voordeel van deze alternatieve oplossingen is voor de issuing banken dat zij niet afzonderlijk met de diverse MNOs contracten hoeven aan te gaan. Voorwaarde is wel steeds dat er een snelle verbinding voor dataverkeer is, zoals wifi of 4G. 2.4 De Trusted Service Manager Voor het veilig doorgeven van gegevens schakelen betaaldienstverleners en MNOs zogenoemde Trusted Service Managers (hierna: TSMs) in. De TSM fungeert als intermediair en kan bijvoorbeeld in opdracht van een MNO er voor zorgen dat de TSM van de betaaldienstverlener de sleutel tot de kamer(s) op het Secure Element krijgt. De TSM van de MNO kan er ook voor zorgen dat, in overeenstemming met de tussen MNO en betaaldienstverlener gemaakte afspraken, de toegang tot de kamer(s) bij diefstal van de smartphone wordt geblokkeerd. De TSM van de betaaldienstverlener zal zorgen voor de inrichting van de gehuurde kamer(s) op het Secure Element en de installatie van software en de EMV-gegevens. Bij de uitvoering van de dienstverlening maakt de TSM van de betaaldienstverlener gebruik van het communicatienetwerk van de MNO. Bij transmissie van gegevens worden de gegevens door de TSM versleuteld. De MNO heeft geen toegang daartoe. Bekende TSMs zijn Gemalto en Oberthur. Dit zijn beide grote, internationaal opererende technologiebedrijven die onder meer traditionele betaal- en kredietkaarten voor issuing banken produceren en distribueren. 2.5 De mobile wallet: war of the wallets Met alleen de software en EMV-gegevens opgeslagen op het Secure Element zal de gebruiker nog geen betaling kunnen verrichten. Hij zal daarvoor nog een applicatie (een app) op zijn smartphone moeten downloaden om ook daadwerkelijk een mobiele betaling te kunnen verrichten. Een dergelijke app kan door de betreffende issuing bank worden aangeboden, maar toegang kan ook worden verkregen via een mobile wallet. Onder mobile wallet versta ik de digitale portemonnee die via een smartphone toegankelijk is. Deze portemonnee bevat onder meer gegevens van de gebruiker en biedt toegang tot één of meerdere betaalmethoden. Ook kan in de mobile wallet elektronisch geld worden aangehouden. Om deze wallets is een ware strijd om de gunst van de gebruiker ontstaan die wel als war of the wallets wordt aangeduid. Zo hebben de grote cardschemes MasterCard en Visa respectievelijk de wallets MasterPass en V.me by Visa gelanceerd. 6 Beide wallets zijn open wallets. Een gebruiker kan derhalve ook andere kaarten in de wallet opnemen. Het principe van dergelijke wallets is dat de gegevens van de door wallet-aanbieder ondersteunde creditcards, pinpassen of prepaidkaarten in de wallet worden opgeslagen. Toegang tot de wallet wordt verkregen met één pincode. Vervolgens kan de gebruiker kiezen met welke kaart of andere betaalmetho- 4. Het Luxemburgse betaalplatform Digicash heeft een betaalmethode gelanceerd die via Low Energy Bluetooth functioneert. Met de Digicash Beacon kan de winkelier via Bluetooth een betaalopdracht naar de mobiele telefoon van de klant versturen. Na accordering vindt betaling plaats door middel van een SEPA overboeking (een SEPA Credit Transfer). De bankrekening van de klant wordt meteen gedebiteerd, terwijl de winkelier ook onmiddellijk ziet dat de betaling is geslaagd. Zie verder www.digicash.lu. 5. Persbericht van Vodafone van 31 maart 2014 (te vinden via www.vodafone.com). 6. Zie https://masterpass.com/ en https://eu.v.me/. Nr. 5 mei 2014 Tijdschrift voor Financieel Recht 187

Toezicht op aanbieders mobile wallets? de (zoals ten laste van een e-money account) 7 hij wil betalen, om daarna de betaling eenvoudig te bevestigen zonder dat additionele gegevens moeten worden ingevoerd. De gebruiker hoeft dus geen verdere kaartgegevens of veiligheidskenmerken in te voeren. 8 Ook de aflevergegevens van de gebruiker staan in de wallet. Daardoor kan sneller online en mobiel worden besteld. De gebruiker hoeft minder gegevens in te vullen dan nu bij (online) bestellingen het geval is. Het ontwikkelen van wallets is niet alleen voorbehouden aan financiële ondernemingen. 9 Google heeft bijvoorbeeld ook een eigen wallet ontwikkeld. Nu is Google in feite een databedrijf, dat data verzamelt voor marketingdoeleinden. Het is daarom weinig verwonderlijk dat Google belang heeft bij een eigen wallet. De betaaldata hebben voor Google enorme waarde. De waarde zit in de verrijking van de Google database om vervolgens daarmee commercieel voordeel te doen (door verkoop van data analyses aan klanten). Het zal Google dus minder gaan om de verdiensten aan de betaaltransacties zelf. Hoewel de Google Wallet nog geen gemeengoed is, wordt het vanwege de marktkracht van Google nog steeds als een mogelijke disruptor van de wallet markt gezien. De vraag of Google en vergelijkbare walletaanbieders door hun activiteiten mogelijk toch als financiële ondernemingen kwalificeren en vergunningplichtig zijn, komt in paragraaf 5 aan bod. 2.6 Nederland Nederland kende Sixpack. Medio 2011 tekenden ABN AMRO, ING Bank, Rabobank, Vodafone en T-Mobile een samenwerkingsovereenkomst om in Nederland gezamenlijk mobiel betalen te introduceren. 10 De samenwerking is echter per 1 juli 2012 beëindigd. Partijen vonden de oorspronkelijk gekozen weg te complex en te lang duren. De samenwerking tussen de banken bleef. Onder de naam Mobiel Betalen Nederland werd een samenwerkingsverband opgericht waarin de drie banken tijdelijk samenwerkten ten behoeve van de pilot mobiel betalen in Leiden. De partners bij deze samenwerking waren de Gemeente Leiden, KPN en MasterCard. 11 Nu de pilot is afgelopen, gaan de partijen individueel verder. Rabobank heeft op 29 januari 2014 met een persbericht als eerste laten weten vol in te zetten op betaalmogelijkheden via de mobiele telefoon. In het tweede kwartaal van 2014 gaat Rabobank mobiel betalen breder beschikbaar stellen. 12 ING Bank en ABN AMRO hebben beide een mobiel bankieren app, maar via deze apps kan nog niet in winkels met bijvoorbeeld NFC worden afgerekend. Beiden banken introduceerden al wel contactloos betalen door middel van betaalpassen met een NFC-chip. Verder heeft ING Bank laten weten dat op haar actiepuntenlijstje van dit jaar een verdere uitbreiding staat van de mogelijkheden met mobiel ideal. In de winkel zou dan bij een aankoop via de smartphone met ideal kunnen worden afgerekend. Ook andere partijen zitten niet stil. Zo lanceren de Nederlandse credit card issuer International Card Services (ICS) en Vodafone Nederland medio 2014 een mobiele creditcard in Nederland voor contactloze betalingen met de smartphone. Vodafone heeft zelf op 27 maart 2014 SmartPass gelanceerd. SmartPass is een prepaid mobiele betaaldienst die samen met Visa is ontwikkeld. 13 3. Financieelrechtelijk kader - ontwikkelingen Het financieelrechtelijk kader voor betaaldiensten wordt op dit moment vooral bepaald door de richtlijn betaaldiensten (de Payment Service Directive ofwel - afgekort - PSD) 14 en de herziene elektronischgeldrichtlijn (de Second Electronic Money Directive ofwel 2EMD). 15 De PSD is op 13 november 2007 tot stand gekomen. De 2EMD dateert van 16 september 2009. Implementatie van de PSD en 2EMD vond plaats in de Wet op het financieel toezicht (Wft) en het Bur- 7. Zie daarover R.E. van Esch, Giraal betalingsverkeer/elektronisch betalingsverkeer, Deventer: Kluwer 2011, p. 20 e.v. De wallet met elektronisch geld laat ik in deze bijdrage verder buiten beschouwing. 8. In België is op basis van de MasterPass-betaaloplossing in november 2013 Sixdots gelanceerd. Negen Belgische banken en drie Belgische MNOs hebben dit initiatief inmiddels omarmd. Een 6-cijferige pincode is voldoende om mobiel te betalen. Sixdots kent naast betalingen ook andere mogelijkheden, zoals beveiliging en identificatie, betalingen, couponing, loyalty en ticketing. Zie www.sixdots.be. 9. PayPal is ook een financiële onderneming met een eigen wallet-app. Een extra functie die PayPal in het najaar van 2013 heeft getest, is gezichtsherkenning. In een aangesloten winkel kan de klant via zijn smartphone inchecken. De winkelier kan de foto van de betreffende klant op bijvoorbeeld zijn ipad selecteren uit de foto s van alle aanwezige klanten en vervolgens het bedrag in rekening brengen. Vervolgens wordt de transactie voltooid. De klant ontvangt een notificatie van de betaling en een e-mail met de kassabon. Zie http://www.mobilepaymentstoday.com/ article/217643/paypal-pilots-face-verification-for-mobilepayments-in-london-video. 10. Hiervoor zou een nieuw bedrijf worden opgericht als ondersteunende serviceorganisatie. In feite was het een vergelijkbare opzet als het Belgische Sixdots. 11. De pilot startte in september 2013. Ongeveer 1.000 consumenten en 180 ondernemers hebben aan de introductie in Leiden deelgenomen. Door consumenten en de ondernemers werd mobiel betalen als (zeer) positief ervaren, aldus het persbericht van de pilot-partners van 29 januari 2014 (onder meer te vinden via www.rabobank.com). 12. Het persbericht is ook te vinden via www.rabobank.com. Rabobank lanceert daarvoor de Rabo Wallet. Bovendien heeft de Rabobank haar diensten MyOrder en Cashless Betalen samengevoegd, waardoor betalen aan de kassa nu ook mogelijk is met MyOrder. Deze app, die ook beschikbaar is voor klanten van andere banken, biedt mobiel bestellen en betalen voor onder meer horeca, bioscopen en parkeren. Naast betalen zal de Rabo Wallet een aantal extra opties kennen, zoals het inscannen van kassabonnen, het tonen van een actueel saldo, het toevoegen van bonus- en klantenkaarten. 13. Het contactloos betalen kan door middel van NFC-technologie in de telefoon of een sticker met NFC-chip die op de telefoon wordt geplakt. 14. Richtlijn nr. 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de Richtlijnen 97/7/ EG, 2002/65/EG, 2005/60/EG, en tot intrekking van Richtlijn 97/5/EG, PbEU 2007 L 319/1. 15. Richtlijn nr. 2009/110/EG van het Europees Parlement en de Raad van 16 september 2009 betreffende de toegang 188 Tijdschrift voor Financieel Recht Nr. 5 mei 2014

Toezicht op aanbieders mobile wallets? gerlijk Wetboek (BW) met ingang van respectievelijk 1 november 2009 en 1 januari 2012. Verder is de Wet ter voorkoming van witwassen en financieren van terrorisme van belang. In al deze regelgeving zal tevergeefs worden gezocht naar definities of beschrijvingen van mobiele betaaldiensten. Ondanks aandacht van de Europese Commissie zijn er (vooralsnog) geen plannen voor een financieelrechtelijk kader ten aanzien mobiel betalen (zie daarover paragraaf 3.1 en 3.2). Wel hebben de gezamenlijke Europese financieel toezichthouders ter consultatie concept veiligheidsaanbevelingen opgesteld die specifiek op mobiele betalingen zijn gericht (zie daarover paragraaf 3.5 en 4). Ook is er het - vorige zomer gepubliceerde - voorstel voor de PSD2 (hierna: het Richtlijnvoorstel), 16 dat mogelijk gevolgen heeft voor aanbieders van mobile wallets (zie daarover paragraaf 5). 3.1 Groenboek Europese Commissie De Europese Commissie publiceerde op 11 januari 2012 een groenboek over het bereiken van een geïntegreerde markt voor kaart-, internet- en mobiele betalingen. 17 Het groenboek dient vooral ook als consultatiedocument. De Commissie constateert dat het aantal betalingen met mobiele telefoons het snelste toeneemt van alle betalingsmethoden. Niettemin constateert de Commissie ook dat de marktreactie in Europa trager is dan op andere continenten. Volgens de Commissie kan het ontbreken van een concreet Europees kader voor de regeling van de belangrijkste aandachtspunten zoals technische normen, veiligheid, interoperabiliteit en de samenwerking tussen marktdeelnemers de bestaande versnippering van de mobiele betalingsmarkt in stand houden. 3.2 NFC-standaardisatie: mandaat aan ESOs Ondanks de constateringen in het Groenboek zijn er tot op heden geen plannen voor een concreet (algemeen) juridisch kader voor mobiele betalingen. Dat is een bewuste keuze van de Europese Commissie. Uit de Impact Assessment bij het voorstel voor de PSD2 blijkt dat de Europese Commissie er voor kiest standaardisatie over te laten aan Europese Standaardisatie Organisaties (hierna: ESOs). 18 Een en ander laat vanzelfsprekend onverlet dat de Europese Commissie alsnog een juridisch kader voor mobiel betalen zou kunnen introduceren, waarin bijvoorbeeld informatieverplichtingen en aansprakelijkheden zouden kunnen worden geregeld. 3.3 White papers EPC Ook de white papers Mobile Payments en Mobile Wallet Payments van de European Payments Concil (hierna: EPC) moeten worden genoemd. 19 De Europese banken hebben in 2002 de EPC opgericht om de Single European Payment Area (hierna: SEPA) voor te bereiden. De EPC is in feite het zelfregulerend orgaan van de Europese bankensector. De genoemde white papers zijn vooral van belang voor een eenduidig begrippenkader rondom de thema s mobiel betalen en mobile wallets. 3.4 FATF Guidance Dat óók in het kader van de bestrijding van witwassen en terrorismefinanciering specifiek moet worden gekeken naar de bijzonderheden van mobiele betalingen, is onderkend door de Financial Action Task Force (hierna: FATF). 20 Voor prepaid kaarten, mobiele betalingen en online betaaldiensten publiceerde de FATF in juni 2013 de Guidance for a riskbased approach. 21 3.5 SecuRe Pay Forum Het Europese Forum on the Security of Retail Payments (hierna: SecuRe Pay Forum) is begin 2011 opgericht als vrijwillig overleg orgaan tussen Europese toezichthouders en overseers, 22 met als doel het opstellen van minimumveiligheidseisen voor retailbetalingen. 23 De rapporten van het SecuRe Pay Forum zijn bedoeld om door de Europese toezichthouders en overseers toegepast te worden bij hun toetsingen. Voor de veiligheid van mobiele betalingen startte de Raad van Bestuur van de ECB op 15 november 2013 een twee maanden durende consultatie van de Recommendations for the security of mobile payments opgesteld door het SecurePay Forum. In de volgende paragraaf wordt nader bij de aanbevelingen stilgestaan. tot, de uitoefening van en het prudentieel toezicht op de werkzaamheden van instellingen voor elektronisch geld, tot wijziging van de Richtlijnen 2005/60/EG en 2006/48/ EG en tot intrekking van Richtlijn 2000/46/EG, PbEU L 267. 16. Voorstel van de Europese Commissie voor een Richtlijn van het Europees Parlement en de Raad betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2013/36/EU en 2009/110/EG en houdende intrekking van Richtlijn 2007/64/EG, Brussel, 24.7.2013, COM(2013) 547 final. 17. Groenboek Europese Commissie, Naar een geïntegreerde Europese markt voor kaart-, internet- en mobiele betalingen, Brussel, 11.1.2012, COM(2011) 941 definitief. 18. Zie Impact Assessment van de Europese Commissie bij het Richtlijnvoorstel, Brussel, 24.7.2013, SWD(2013) 288 final, (hierna: Impact Assessment), p. 224. Als reden wordt genoemd dat de ESOs al aanzienlijke ervaring hebben op het gebied van telecommunicatie en in het begeleiden van standaardisatie initiatieven ten aanzien van m-commerce. Een alternatief zou een mandaat aan de SEPA Council zijn geweest. Nu er bij m-betalingen echter ook andere stakeholders zijn (MNOs, handset fabrikanten) zou dat een te grote aanpassing vergen. Ook de optie van regelgeving valt volgens de Commissie af. Regulering zou innovatie kunnen ophouden. 19. De meeste recente versies van beide white papers zijn te vinden via www.europeanpaymentscouncil.eu. 20. De in 1989 door de G-7 opgerichte FATF is het belangrijkste internationale orgaan voor de bestrijding van het witwassen van geld en terrorismefinanciering. Leden, waaronder Nederland, zijn gebonden aan de aanbevelingen van de FATF (FATF-aanbevelingen). De FATF-aanbevelingen worden periodiek herzien en aangepast. 21. Te vinden via www.fatf-gafi.org. 22. Oversight is toezicht op afwikkelsystemen (clearing en settlement) voor het girale betalings- en effectenverkeer en op betaalproducten. Zie daarover verder de brochure Oversight van DNB (te vinden via www.dnb.nl). 23. Het eerste rapport van Secure Pay Forum betreft Recommendations for the security of internet payments. Dit rapport bevat aanbevelingen voor minimum beveiligingseisen voor internetbankieren en voor kaartbetalingen via internet. Het finale rapport verscheen op 31 januari 2013. In die maand verscheen ter consultatie ook het tweede rapport van het SecurRe Pay Forum. Het ziet op Recommendations for payment account services. Nr. 5 mei 2014 Tijdschrift voor Financieel Recht 189

Toezicht op aanbieders mobile wallets? 4 Veiligheid - aanbevelingen SecuRe Pay Forum 4.1 Algemeen De Recommendations for the security of mobile payments (Aanbevelingen), die ter consultatie aan de markt zijn voorgelegd, kennen veertien aanbevelingen die elk nader zijn ingevuld door hoofdoverwegingen (key considerations). Het is aan de partijen die onder de werking van de Aanbevelingen vallen, te weten Mobile Payment Solution Providers (hierna: MPSPs), de Aanbevelingen en key considerations na te leven of anders uit te leggen en te rechtvaardigen waarom is afgeweken (het comply or explain principe). De reikwijdte komt ook in paragraaf 4.3 aan bod. De Aanbevelingen zijn gebaseerd op vijf basisprincipes. Het eerste principe is dat MPSPs specifieke risico s die verband houden met mobiel betalen moeten identificeren, beoordelen en beperken. Het gaat daarbij onder meer om het risico van afhankelijkheid van derde partijen, zoals MNOs, TSMs alsook de fabrikanten van de hardware (handsets, Secure Elements etc). Vanuit veiligheidsperspectief dient rekenschap te worden gegeven dat de smartphone inherent kwetsbaar is. Een voortdurende identificatie en beoordeling van de risico s is van groot belang. 24 Het tweede basisprincipe is dat de veiligheid van mobiele betalingen sterk afhankelijk is van de robuustheid van authenticatie en registratiecontroles. Daarom moeten MPS- Ps de initiatie van mobiele betalingen, evenals de toegang tot gevoelige betaaldata, door versterkte cliëntauthenticatie (strong customer authentication) borgen. In paragraaf 4.2 wordt bij dit onderdeel uitgebreider stilgestaan. MPSPs moeten ten derde robuuste mechanismen implementeren om gevoelige data (persoonlijke gegevens of gevoelige betaalgegevens) te beschermen wanneer deze worden overgedragen, verwerkt of opgeslagen. Dataverkeer moet via beveiligde kanalen plaatsvinden en regelmatig op veiligheid worden gecontroleerd. Klanten moeten verder in staat zijn de betaaloptie van hun mobiele telefoon te deactiveren en MPSPs moeten in staat zijn de betaalfunctie op afstand uit te schakelen. Het vierde basisprincipe is dat MPSPs veilige processen moeten implementeren voor de goedkeuring van transacties. Ook moeten zij over goede procedures beschikken om transacties te monitoren en systemen hebben om abnormale betalingspatronen te identificeren en fraude te voorkomen. Tenslotte moeten MPSPs het begrip van klanten van mobiele betalingen verbeteren alsmede inzicht en informatie geven over de veiligheidsvraagstukken in verband met het gebruik van mobiele betaaldiensten. 4.2 Mobile wallets en versterkte cliënt authenticatie Versterkte cliëntauthenticatie van klanten is een procedure voor het valideren van de identiteit van de betaaldienstgebruiker op basis van het gebruik van twee of meer van de volgende elementen: (i) iets dat de gebruiker weet (kennis zoals een pincode); (ii) iets dat de gebruiker bezit (zoals een authenticatie calculator); en (iii) iets dat de gebruiker heeft (een persoonlijke eigenschap, zoals een vingerafdruk). Tenminste één van de elementen moet niet herbruikbaar en niet repliceerbaar zijn en niet heimelijk kunnen worden gestolen. 25 Bij mobile wallets is de verstrekte cliëntauthenticatie zeker een aandachtspunt. Vanwege het bezit van een smartphone is namelijk al meteen aan één van de elementen voldaan. Verder is bij sommige wallets slechts één vaste pincode nodig om betalingen te kunnen verrichten (Single Sign-on), terwijl bij versterkte cliëntauthenticatie een element niet herbruikbaar en niet repliceerbaar moet zijn. In een noot bij de Aanbevelingen wordt opgemerkt dat wanneer de telefoon wordt gebruikt als onderdeel van sterke cliëntauthenticatie, aan alle elementen van de definitie van sterke cliëntauthenticatie moet worden voldaan. Als voorbeeld wordt genoemd dat wanneer het bezit van de telefoon wordt gebruikt als een sterke authenticatiefactor, veiligheidsmaatregelen in de telefoon nodig zijn om te waarborgen dat het tweede element, gerelateerd aan iets dat alleen de gebruiker weet of wat de gebruiker is, niet gemakkelijk door het gebruik van de telefoon kan worden geschonden. Of nu daadwerkelijk wordt bedoeld dat aan alle drie elementen moet worden voldaan, is mede gelet op de verdere uitleg twijfelachtig. Vanwege technologische ontwikkelingen is deze vraag wellicht minder actueel. Steeds meer smartphones krijgen namelijk een vingerafdruk scanner. Daarmee kan eenvoudig aan de drie elementen worden voldaan, namelijk: (i) iets dat de gebruiker weet (pincode of wachtwoord), (ii) iets dat de gebruiker bezit (de smartphone) en (iii) iets dat gebruiker heeft (vingerafdruk). 4.3 Reikwijdte Aanbevelingen Voor zover de aanbieder van een mobile wallet zelf in Europa onder financieel toezicht staat (zie daarover paragraaf 5) zullen de Aanbevelingen rechtstreeks van toepassing zijn. Volgens de Aanbevelingen zijn MPSPs namelijk in de eerste plaats betaaldienstverleners zoals gedefinieerd in de PSD (te weten ondernemingen met een vergunning om betaaldiensten te mogen verlenen of één van de andere in art. 1 lid 1 PSD genoemde betaaldienstverleners, zoals bijvoorbeeld banken). Een MPSP is verder ook een governance authority of a payment instrument scheme developing and offering mobile payment services. Daarbij moet worden gedacht aan een cardscheme zoals MasterCard of Visa. Kwalificeert een walletaanbieder niet als een MPSP, dan kan er toch indirecte binding zijn. Een MPSP moet namelijk op grond van de Aanbevelingen er voor zorgen dat derden, zoals MNOs, TSMs en hardware fabrikanten, ook de Aanbevelingen naleven. 5. Aanbieders van mobile wallets onder financieel toezicht? Financieel toezicht zal er (in beginsel) zijn indien de aanbieder één van de betaaldiensten verricht die is opgenomen in bijlage I bij de PSD. Het uitgeven van betaalinstrumenten is daar één van. Kwalificeert de mobile wallet nu als een betaalinstrument en zo ja, is degene die een mobile wallet aanbiedt, gehouden een vergunning aan te vragen om als betaaldienstverlener te mogen opereren? 24. Op zich is dit niet nieuw. Ook in het kader van uitbesteding door financiële ondernemingen geldt nu al als basisvoorwaarde dat de risico s aantoonbaar gekend en beheerst moeten worden. 25. In het Richtlijnvoorstel wordt deze eis niet gesteld. Zie de definitie van versterkte cliëntauthenticatie in art. 4 onder 22 Richtlijnvoorstel. 190 Tijdschrift voor Financieel Recht Nr. 5 mei 2014

Toezicht op aanbieders mobile wallets? 5.1 Begrip betaalinstrument Een betaalinstrument is in de PSD gedefinieerd als gepersonaliseerd(e) instrument(en) en/of het geheel van procedures, overeengekomen tussen de betaaldienstgebruiker en de betaaldienstverlener, waarvan de betaaldienstgebruiker gebruik maakt om een betaalopdracht te initiëren. 26 Een betaalopdracht is gedefinieerd als een door een betaler of begunstigde aan zijn betaaldienstverlener gegeven instructie om een betaaltransactie uit te voeren. 27 Betaalinstrument is daarmee een ruim begrip. Een mobiele telefoon kan ook als betaalinstrument kwalificeren. 28 5.2 Implementatie in het Nederlands recht In de Memorie van Toelichting bij het wetsvoorstel implementatie van de richtlijn betaaldiensten staat vermeld dat betaalinstrumenten kunnen worden gebruikt om een betaaltransactie die wordt uitgevoerd als onderdeel van een betaaldienst, zoals een automatische afschrijving, een kaartbetaling of een overschrijving, te initiëren. Bij betaalinstrumenten kan met name worden gedacht aan betaalkaarten. Andere instrumenten of procedures waar aan gedacht kan worden zijn mobiele telefoons, PIN codes of TAN codes, 29 inloggegevens en wachtwoorden bij het geven van betaalopdrachten via internet. Ook andere, bijvoorbeeld nog te ontwikkelen, instrumenten of procedures zouden kunnen worden aangemerkt als betaalinstrument. 30 In de juridische literatuur wordt weinig aandacht besteed aan de definitie van betaalinstrument. Wel schreef Van Esch eerder dat verdedigbaar is de definitie van betaalinstrument zo uit te leggen dat een (fysiek) instrument in combinatie met een set procedures weer als één betaalinstrument kan worden aangemerkt. 31 5.3 De mobile wallet als betaalinstrument? Vanzelfsprekend bestaan er vele soorten mobile wallets. Wanneer via de mobile wallet andere betaalinstrumenten toegankelijk zijn, maar voor een betalingsopdracht nog steeds wel per betaalinstrument een aparte authenticatie is vereist, zal de mobile wallet waarschijnlijk niet kwalificeren als (nieuw) betaalinstrument. In dat geval fungeert de mobile wallet min of meer hetzelfde als een fysieke portemonnee, waarvan ook niet zal worden gezegd dat die portemonnee een betaalinstrument is. Een dergelijke wallet is ook vergelijkbaar met een webportal die toegang geeft tot applicaties internetbetalen van verschillende betaaldienstverleners. Dit is wellicht anders bij de wallet die slechts met één code toegankelijk is en waarna verder geen andere codes meer nodig zijn om een betaling te verrichten (omdat de gepersonaliseerde veiligheidskenmerken van het onderliggende betaalinstrument in de wallet zijn opgeslagen). Een dergelijke wallet zou wel als een betaalinstrument kunnen kwalificeren. Er is immers minstgenomen sprake van een geheel van procedures waarvan gebruik wordt gemaakt voor het initiëren van een betalingsopdracht. Een en ander moet echter wel zijn overeengekomen tussen de betaaldienstgebruiker en de betaaldienstverlener. 32 Aan deze voorwaarde is voldaan wanneer de mobile wallet wordt aangeboden door een bank, zoals Mobiel Bankieren van ING Bank, waarmee (ook) betaalopdrachten kunnen worden gegeven. De betreffende ING Voorwaarden vermelden uitdrukkelijk dat Mobiel Bankieren dus een betaalinstrument is. 33 Gelet op de ruime definitie is overigens goed verdedigbaar dat dit geen nieuw (zelfstandig) betaalinstrument is, maar een onderdeel van het betaalinstrument van de betaaldienstverlener. De app van ING Bank is echter geen open wallet. Kaarten van andere banken kunnen daarin niet worden opgenomen. Stel dat dit wel mogelijk zou zijn, dan is de vraag of de app wel als betaalinstrument kwalificeert voor zover betalingsopdrachten worden geïnitieerd ten aanzien van rekeningen bij andere banken. Wanneer de definities van betaalinstrument en betalingsopdracht in combinatie worden gelezen, wordt een betaalinstrument aan de gebruiker door zijn betaaldienstverlener ter beschikking gesteld, zodat de gebruiker daarmee aan die bewuste betalingsaanbieder betalingsopdrachten kan geven. Stel dat een ABN AMRO debetkaart in de ING app is opgenomen, dan berust dat niet op een initiatief (of instemming) van ABN AMRO. Daarvan uitgaande zou in de relatie tussen de betaaldienstgebruiker en ABN AMRO de ING Bank app dus niet als betaalinstrument kunnen kwalificeren. Mogelijk ligt dat anders in het geval banken gezamenlijk een wallet hebben ontwikkeld of een gezamenlijk wallet-platform ondersteunen. De wallet zou dan steeds in de relatie tussen een klant en een individuele bank wellicht toch als betaalinstrument kunnen worden gezien. Wanneer er betaalkaarten van meerdere banken in de wallet zijn opgenomen, zou dat wel betekenen dat de wallet ten opzichte van iedere bank een zelfstandig betaalinstrument (of steeds een onderdeel van verschillende bestaande betaalinstrumenten) is. Op zich zou dit ook logisch zijn bezien vanuit bijvoorbeeld de verplichting van de gebruiker om diefstal of onrechtmatig gebruik van het betaalinstrument onverwijld aan de betaaldienstverlener (of een door deze aangewezen onderneming) te melden. 34 Om dezelfde reden zou men geneigd kunnen zijn de ING app in het genoemde voorbeeld 26. Art. 4 onder 23 PSD. 27. Art. 4 onder 16 PSD. Beide definities zijn vertalingen van de Engelse tekst van de PSD. De officiële Nederlandse versie van de PSD en de definities in de Wft wijken (enigszins) af. In deze bijdrage gebruik ik overigens het Wft-begrip betaaldienst en niet het EU-begrip betalingsdienst. 28. De Europese Commissie heeft op haar website (te vinden via http://ec.europa.eu) bij de Frequently Asked Questions (FAQ) de volgende uitleg aan betaalinstrument gegeven: this definition is meant to cover physical devices (such as cards or mobile phones) and/or set of procedures (such as PIN codes TAN codes, digipass, login/password etc) which a payment service user can use to give instructions to his payment service provider in order to execute a payment transaction. If the payment transaction is initiated by paper, the paper slip is not considered as a payment instrument. 29. TAN staat voor Transactie Autorisatie Nummer. De TANcode is een code die door de betaaldienstverlener wordt verstrekt waarmee de gebruiker een betaalopdracht kan bevestigen. 30. Kamerstukken II 2008/09, 31 892, nr. 3, p. 15. 31. R.E. van Esch, De privaatrechtelijke aansprakelijkheid voor schade als gevolg van misbruik van een betaalinstrument, in: D. Busch, C.J.M. Klaassen & T.M.C. Arons (red.), Aansprakelijkheid in de financiële sector, Deventer: Kluwer 2013, p. 1033-1034. 32. Vgl. R.E. van Esch, a.w., p. 1033. 33. Art. 2 lid 2 Voorwaarden Mobiel Bankieren ING Bank. Te vinden via www.ing.nl. 34. Art. 56 lid 1 onder b PSD. Ook art. 7:524 lid 1 onder b BW. Nr. 5 mei 2014 Tijdschrift voor Financieel Recht 191

Toezicht op aanbieders mobile wallets? toch als onderdeel te beschouwen van het betaalinstrument dat ABN AMRO uitgeeft aan de betaaldienstgebruiker. Verlies van de telefoon met de ING app zou dan bijvoorbeeld ook meteen aan ABN AMRO moeten worden gemeld. Dan nu de vraag hoe het zit bij een MNO of andere onderneming die een eigen wallet uitgeeft. Hierboven is duidelijk geworden dat een betaalinstrument een (verbintenisrechtelijke) relatie vereist tot een betaaldienstverlener, dat een gedefinieerd begrip is. Volgens art. 1 lid 1 PSD zijn vooral banken en betaalinstellingen (dat zijn ondernemingen met een vergunning om betaaldiensten te mogen verlenen) betaaldienstverlener. Om die reden zal een eigen wallet van een MNO of een andere onderneming die geen betaaldienstverlener is, in de relatie tot de MNO of andere onderneming niet als betaalinstrument kwalificeren. In feite is het uitgeven van betaalinstrumenten volgens de PSD een accessoire betaaldienst. Betaalinstrumenten worden uitgegeven door ondernemingen die ook andere betaaldiensten mogen verrichten. Het alleen uitgeven van fysieke instrumenten voor betalingen (zoals fysieke betaalkaarten) of technische betaalapplicaties door een MNO of een andere niet-betaaldienstverlener kwalificeert voor hen dus niet als de uitgifte van betaalinstrumenten, zodat er door hen ook geen betaaldienst wordt verricht. Maar zelfs als daar anders over wordt gedacht, dan nog brengt dat niet automatisch een vergunningplicht met zich. Hieronder wordt daar bij stilgestaan. 5.4 Vergunning voor walletaanbieder? Bepaalde activiteiten vallen niet onder de reikwijdte van de PSD (en de regels over betaaldiensten in de Wft en het BW). De uitgezonderde activiteiten worden - wat betreft Nederland - opgesomd in art. 1:5a, tweede lid, Wft. 35 Voor de mobile wallet is de uitzondering in onderdeel j van dat tweede lid van belang. Het betreft de uitzondering voor technische dienstverleners. Uitgezonderd is het verlenen van diensten door technische dienstverleners ter ondersteuning van het verlenen van betaaldiensten zonder dat de technische dienstverlener op enig moment in het bezit komt van de over te maken geldmiddelen, daarbij inbegrepen het verwerken en opslaan van gegevens, diensten ter bescherming van het vertrouwen en het privéleven, authenticatie van gegevens en entiteiten, het aanbieden van informatietechnologie- en communicatienetwerken en het aanbieden en onderhouden van voor betaaldiensten gebruikte automaten en instrumenten. De aanbieders van mobile wallets die geen andere activiteiten verrichten die wel onder de reikwijdte van de PSD vallen, kunnen zich beroepen op de uitzondering van onderdeel j (en hebben derhalve geen vergunning nodig). 36 Op basis van het Richtlijnvoorstel kan dat echter anders worden. 5.5 PSD2 - de wallet als betalingsinitiatie- of rekeninginformatiedienst? De Europese Commissie heeft aanleiding gezien in het Richtlijnvoorstel regels te introduceren voor zogenoemde betalingsinitiatie- en rekeninginformatiediensten. Bij een betalingsinitiatiedienst gaat het volgens het Richtlijnvoorstel om een door een derde betaaldienstverlener aangeboden betaaldienst die toegang biedt tot een betaalrekening, waarbij de betaler actief betrokken kan zijn bij de initiatie van de betaling of de software van de derde betaaldienstverlener of waarbij de betaler of de begunstigde betaalinstrumenten kan gebruiken om de gegevens van de betaler door te geven aan de rekeninghoudende betaaldienstverlener. 37 Een rekeninginformatiedienst is een betaaldienst waarbij aan een betaaldienstgebruiker geconsolideerde en gebruikersvriendelijke informatie wordt verstrekt over een of meer betaalrekeningen die de betaaldienstgebruiker aanhoudt bij een of meer rekeninghoudende betaaldienstverleners. 38 Aanbieders van betalingsinitiatie- en/of rekeninginformatiediensten zullen, uitgaande van het Richtlijnvoorstel, een vergunning nodig hebben (of een beroep moeten kunnen doen op een ontheffing). Met de vergunningplicht wordt beoogd op deze aanbieders dezelfde hoogwaardige toezicht- en regelgevingsnormen te laten gelden als voor alle andere betaalinstellingen. 39 Het Richtlijnvoorstel voorziet óók in aanpassing van de huidige uitzonderingen. Belangrijk is dat de uitzondering voor technische dienstverleners (waaronder ook aanbieders van IT- en communicatienetwerken) blijft, met dien verstande dat zij geen betalingsinitiatiediensten of rekeninginformatiediensten mogen aanbieden. Dit roept de vraag op of een MNO die een mobile wallet uitgeeft wellicht toch een betaaldienst verleent (en daarvoor dus een vergunning nodig heeft). Opnieuw uitgaande van de mobile wallet die met één code toegankelijk is en waarna verder geen andere codes vereist zijn om een betaling te verrichten, kan aan de omschrijving van betalingsinitiatiedienst worden voldaan. Afhankelijk van de verdere mogelijkheden, kan ook sprake zijn van een rekeninginformatiedienst. Nu de uitzondering van technische dienstverleners niet geldt voor betalingsinitiatie- en rekeninginformatiediensten, moeten MNOs er naar mijn idee rekening mee houden, dat wanneer de PSD2 conform het Richtlijnvoorstel wordt vastgesteld, zij wel eens onder de reikwijdte zouden kunnen vallen (en dus een vergunning moeten verkrijgen). 40 35. Op grond van art. 7:515 lid 4 BW is afdeling 7.7B BW niet van toepassing op betaaldiensten bedoeld in art. 1:5a, tweede lid, Wft. 36. In onderdeel l van art. 1:5a, tweede lid Wft, is ook nog een uitzondering opgenomen voor ondernemingen die diensten leveren voor het uitvoeren van betaaltransacties via een telecommunicatie-instrument, digitaal instrument of informatietechnologie-instrument. Onder deze uitzondering valt met name het systeem waarbij voor de verkoop van digitale inhoud (zoals beltonen) gefactureerd wordt via de exploitant of aankopen rechtstreeks via de telefoonrekening worden afgerekend. Wellicht dat bij sommige wallets ook van deze uitzondering gebruik kan worden gemaakt. 37. Art. 4 onder 32 Richtlijnvoorstel. 38. Art. 4 onder 33 Richtlijnvoorstel. 39. Zie voor een uitgebreidere beschrijving mijn artikel Voorstel herziene richtlijn betaaldiensten en toegang tot de betaalrekening, Betalingsinitiatie- en rekeninginformatiediensten gereguleerd in FR 2013, nr. 11. 40. Tenminste twee belangenorganisaties wezen hier al op. De eerste is de GSM Association (hierna: GSMA). De GSMA geeft aan in een blog van 18 februari 2014 duidelijkheid te zoeken over het begrip betalingsinitiatie teneinde zeker te stellen dat mobile wallets niet onder de reikwijdte van de richtlijn vallen (te vinden via www.gsma.com). Ook de German Association for Information Technology, Telecommunications and New Media (BITKOM) heeft dit punt 192 Tijdschrift voor Financieel Recht Nr. 5 mei 2014

Toezicht op aanbieders mobile wallets? Inmiddels heeft het Europees Parlement op 3 april 2014 in eerste lezing het Richtlijnvoorstel geamendeerd. 41 Een van de amendementen betreft de toevoeging van een nieuwe overweging waarin - samengevat - staat dat de vrijstelling voor technisch dienstverleners ook geldt voor de ontwikkeling van technische betalingsoplossingen voor betaaldienstaanbieders (soms digitale portemonnees genoemd), die hun betaaldiensten meestal beschikbaar stellen op een mobiel of IT-apparaat. Mogelijk dat hiermee uitsluitend ontwikkelaars zijn bedoeld die in opdracht van betaaldienstverleners wallets ontwikkelen en (technisch) faciliteren. Mocht ook bedoeld zijn aanbieders van eigen mobile wallets uit te zonderen, dan kan de vraag worden gesteld of de consument daarmee is gediend. Zoals besproken, is veiligheid een belangrijk thema. Wanneer aanbieders van mobile wallets niet onder toezicht staan, bestaat het risico dat er in de betaalketen een zwakke schakel ontstaat. De argumenten die worden gebezigd voor het onder toezicht stellen van betalingsinitiatie- en rekeninginformatiediensten gaan in zekere zin ook op voor aanbieders van mobile wallets. 5.6 Afwikkelonderneming Interessant is verder of aanbieders van mobile wallets als afwikkelondernemingen kunnen worden aangemerkt. Met de inwerkingtreding van de Wijzigingswet financiële markten 2014 per 1 januari 2014 is de afwikkelonderneming als financiële onderneming in de Wft geïntroduceerd. Een afwikkelonderneming is degene die afwikkeldiensten aanbiedt, waaronder de werkzaamheid gericht op het doorzenden door een ander dan een aanbieder van communicatienetwerken van verzoeken die betrekking hebben op de goedkeuring van betaalopdrachten. 42 Volgens de Nota naar aanleiding van het verslag wordt het verlenen van betaaldiensten aan eindgebruikers echter niet als een afwikkeldienst gezien. Het verlenen van deze diensten leidt er volgens de Nota niet toe dat betaalinstellingen en banken worden gekwalificeerd als afwikkelondernemingen. 43 Voor andere aanbieders van mobile wallets neem ik aan dat dit niet anders zal zijn. Aanvankelijk was het de bedoeling óók het aanbieden (uitgeven en licenseren) van betaalproducten als afwikkeldienst te kwalificeren. Een betaalproduct zou dan zijn gedefinieerd als het geheel van verbintenissen die zijn overeengekomen tussen de afwikkelonderneming en een betaaldienstverlener op basis waarvan aan de betaaldienstgebruiker betaalinstrumenten worden aangeboden. 44 Tot de overeengekomen voorwaarden zouden bepaalde processen, procedures, technische middelen en licenties worden gerekend. Een mobile wallet die, bijvoorbeeld als whitelabel product, aan een bank in licentie wordt gegeven, zou hier zomaar onder kunnen vallen. De Memorie van Toelichting laat de mogelijkheid open dat betaalproducten alsnog onder toezicht worden gebracht. 45 5.7 Bemiddelen? Aanbieders van mobile wallets zullen ook moeten nagaan of zij wellicht in Nederland bemiddelen. Voor bemiddelingsactiviteiten is in beginsel een vergunning van de Autoriteit Financiële Markten vereist. 46 Wanneer de gebruiker via de wallet nieuwe betaalproducten kan afnemen, zou sprake kunnen zijn van bemiddelen in de vorm van werkzaamheden in de uitoefening van een beroep of bedrijf gericht op het als tussenpersoon tot stand brengen van een overeenkomst inzake een betaal- of spaarrekening, elektronisch geld 47 of inzake krediet tussen een consument en een aanbieder. Ook zou in bepaalde gevallen wellicht sprake kunnen zijn van assistentie bij het beheer en de uitvoering van een overeenkomst inzake consumentenkrediet. 48 6. Afronding - poortwachtersfunctie In de brochure Thema s DNB toezicht 2014 49 biedt De Nederlandsche Bank N.V. (DNB) een overzicht van de toezichtthema s die in 2014 extra aandacht krijgen. Eén van de thema s betreft nieuwe betaalmethoden. DNB wil onder meer innovatieve aanbieders die de regels overtreden in kaart brengen en aanpakken. Daarbij doet DNB een beroep op de poortwachtersfunctie van banken en betaalinstellingen. DNB laat in de brochure weten dat er samen zal moeten worden opgetrokken. 50 Door de combinatie van nieuwe technologieën, nieuwe spelers in het betalingsverkeer (zoals MNOs en derde aanbieders van mobile wallets) alsook een financieelrechtelijk kader dat niet is afgestemd op nieuwe betaalmethoden, zal het voor banken en betaalinstellingen niet (altijd) eenvoudig zijn de hen door DNB toegemeten poortwachtersfunctie te vervullen. In deze bijdrage heb ik al enkele thema s belicht, maar er zullen ongetwijfeld meer hoofdbrekens zijn. Daarbij gaat het niet alleen om financieelrechtelijke thema s, maar ook om bijvoorbeeld privacy. Zoals reeds aangegeven gaat het sommige aanbieders niet alleen om het betalen op zich, maar ook om het vergaren van de onderliggende (aankoop) data. Discussies over de (on)mogelijkheden van het (commerciële) gebruik van dergelijke data worden al in volle omvang gevoerd en zullen de gemoederen nog wel even bezig houden. op haar agenda gezet. BITKOM spreekt in een position paper van 14 december 2013 de wens uit dat aanbieders van (mobiele) wallets niet als derde betaaldienstverlener kwalificeren (te vinden via www.bitkom.org). 41. Amendementen van het Europees Parlement op het Richtlijnvoorstel aangenomen op 3 april 2014, T7-0280/2014. 42. Art. 1:1 Wft. Zie ook Kamerstukken II 2012/13, 33 632, nr. 3, p. 54. 43. Kamerstukken II 2012/13, 33 632, nr. 6, p. 3. 44. Ontwerp toelichting Wijzigingswet financiële markten 2014, p. 2 en 38; te vinden via https://www.internetconsultatie.nl/wijzigingswetfm2014. 45. Kamerstukken II 2012/13, 33 632, nr. 2, p. 3. 46. Art. 2:80 Wft. 47. Dit zijn financiële producten. Zie de definitie van financieel product in art. 1:1 Wft. 48. Zie de definitie van bemiddelen in art. 1:1 Wft. 49. Brochure Thema s DNB toezicht 2014, p. 36 (te vinden via www.dnb.nl). 50. In 2014 inventariseert DNB of banken en betaalinstellingen in het retail betalingsverkeer actief zijn met nieuwe betaalmethoden. DNB beoordeelt in hoeverre deze instellingen de integriteitsrisico s beheersen. De beheersing moet effectieve maatregelen bevatten ten aanzien van cliëntacceptatie en de monitoring van nieuwe innovatieve aanbieders. Een vergelijkbare beoordeling zal DNB uitvoeren indien de instelling zelf nieuwe betaalmethodes in de markt zet. Bij instellingen die de integriteitsrisico s onvoldoende beheersen zal DNB aansturen op verbeteringen. Terugkoppeling vindt plaats op individuele basis en via reguliere nieuwsbrieven. Nr. 5 mei 2014 Tijdschrift voor Financieel Recht 193

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback