PSD2 – czyli RODO sektora fintech?
W ostatnich tygodniach coraz głośniej jest o Dyrektywie PSD2, co prawda szum medialny nie jest tak duży jak przy RODO, ale zmiany, które wprowadziła PSD2 są w sektorze fintech znacznie dalej idące niż zmiany, które pojawiły wraz z RODO. Co ważne – wbrew błędnej opinii PSD2 nie zacznie obowiązywać od 14 września. PSD2 w Unii Europejskiej weszła w życie w 2016 roku, ale banki i instytucje finansowe zaczęły się do niej przygotowywać jeszcze wcześniej. 14 września 2019 roku to dzień rozpoczęcia stosowania przepisów wykonawczych wydanych w oparciu o PSD2 (tzw. RTS, regulacyjnych standardów technicznych – mających formę rozporządzenia delegowanego Komisji Europejskiej). Od 14 września m.in. banki muszą udostępnić produkcyjnie API umożliwiające innym dostawcom dostęp do prowadzonych przez siebie rachunków – niektóre banki zrobiły to jednak już wcześniej.
Co tak naprawdę wprowadza PSD2 i RTS? Wśród licznych zmian najistotniejsze z punktu widzenia niniejszego artykułu wydają się dwie nowe usługi płatnicze, usługi oparte właśnie o wspomniane API i dostęp do rachunków prowadzonych przez inne podmioty. W ramach usług „typu PSD2” podmiot posiadający odpowiednią licencję może poprzez API uzyskać dostęp do rachunku prowadzonego dla innej osoby (klienta) przez bank, a następnie pobrać dane zawarte na tym rachunku czy nawet wykonać z niego przelew. Jednocześnie taki podmiot nie ma dostępu do danych autoryzacyjnych wykorzystywanych przez klienta do logowania się w banku.
Kiedy fintech potrzebuje licencji?
PSD2 (a wcześniej PSD1) przewiduje szeroką pulę usług płatniczych, których świadczenie wymaga spełnienia dodatkowych obowiązków, w szczególności uzyskania statusu dostawcy usług płatniczych. Z zasady uzyskanie licencji będzie konieczne w przypadku:
- Przekazywania środków między użytkownikami;
- Przechowywania środków na potrzeby późniejszych transferów;
- Przeglądania historii cudzych rachunków bankowych;
- Zlecania przelewów z cudzych rachunków bankowych;
Co istotne – usługi transferów pieniężnych to nie tylko bardzo popularne bramki płatnicze. Często transfery realizowane są np. przez serwisy typu marketplace. W przypadku gdy operator serwisu przyjmuje na swoje rachunki płatności od kupujących, a następnie przekazuje je sprzedawcy – najczęściej świadczy usługi płatnicze i potrzebuje stosownej licencji.
Licencja licencji nie równa
Polski język prawny nie zna pojęcia „licencji dla fintechu”. Pojęcie to jednak funkcjonuje potocznie i odnosi się do całego szeregu wpisów czy zezwoleń na prowadzenie określonej działalności. W Polsce za dokonywanie wpisów do rejestrów i wydawanie zezwoleń w obszarze finansowym odpowiada Komisja Nadzoru Finansowego. Czasem swój głos ma również Narodowy Bank Polski. Licencja jest tutaj terminem raczej potocznym, ale powszechnie używanym.
Polskie przepisy przewidują kilka rodzajów uprawnienia do świadczenia usług płatniczych – od „okrętu flagowego”, jakim jest krajowa instytucja płatnicza, po bardzo ograniczony wpis do rejestru biur usług płatniczych. Oczywiście z pozoru mogłoby się wydawać, że im szersza i pozwalająca na więcej licencja tym lepiej – ale z punktu widzenia zarządzania przedsiębiorstwem jest to przekonanie błędne. Zezwolenie na prowadzenie działalności w charakterze krajowej instytucji płatniczej choć może pozwalać na świadczenie wszystkich usług płatniczych to wiąże się ze znacznie większymi wymogami regulacyjnymi niż np. w przypadku Małej Instytucji Płatniczej.
Biuro Usług Płatniczych (BUP)
To najprostsza i zarazem najbardziej uboga licencja fintechowa. Biuro usług płatniczych może świadczyć tylko usługę przekazu pieniężnego i tylko na terytorium Polski. Dodatkowo średnia miesięczna kwota zrealizowanych transakcji nie może być wyższa niż równowartość 500 000 euro. Biura usług płatniczych to głównie podmioty, które działalność finansową prowadzą jako poboczną – np. sklepy spożywcze umożliwiające przyjmowanie płatności za rachunki. Co prawda wśród ponad 1300 (tak, tysiąca trzystu!) BUP-ów były również projekty fintechowe, ale większość z nich przekształciła się już w znacznie bardziej zaawansowane i rozwojowe Małe Instytucje Płatnicze. W praktyce – od wprowadzenia w czerwcu 2018 roku licencji Małej Instytucji Płatniczej uzyskiwanie licencji BUP nie ma w fintechu w zasadzie żadnego uzasadnienia.
Mała Instytucja Płatnicza (MIP)
Najbardziej fintechowa z fintechowych licencji. Mała Instytucja Płatnicza funkcjonuje w Polsce od ponad roku i łączy w sobie prostotę postępowania oraz relatywnie nieduże wymogi odnoszące się do dokumentacji wewnętrznej zbliżone do tych znanych z BUP-ów z możliwościami, jakie do niedawna miały wyłącznie Krajowe Instytucje Płatnicze. MIP może świadczyć wszystkie klasyczne usługi płatnicze – w tym prowadzić rachunki czy wydawać karty płatnicze. I to właśnie prowadzenie rachunków (możliwość przechowywania środków dla klientów) jest tym, czego fintechom najbardziej brakowało w licencji BUP.
Niemniej – MIP również ma swoje ograniczenia. Może prowadzić działalność wyłącznie na terytorium Polski, a na rachunkach dla jednego klienta nie może przechowywać w jednym czasie więcej niż 2000 euro, a miesięczna kwota wszystkich transakcji, które może on zrealizować ograniczona jest do 1 500 000 euro.
Dodatkowo MIP nie może świadczyć usług wprowadzonych przez PSD2 – czyli usług opartych o dostęp do rachunku (z wykorzystaniem API). Będąc Małą Instytucją Płatniczą nie możemy ani pobierać historii rachunku bankowego, ani inicjować transakcji z rachunku prowadzonego przez bank.
Patrząc jednak na to, że licencje MIP udzielane są w około 3 miesiące od złożenia wniosku, a koszty związane z przygotowaniem się do świadczenia usług jako MIP są relatywnie niskie (nie ma np. wymogów kapitałowych) – wydaje się, że jest to najlepszy wybór dla projektów, które jeszcze nie zostały przetestowane biznesowo.
O popularności MIP-ów niech świadczy fakt, że przez rok od zarejestrowania pierwszego z nich powstało ich prawie tyle, ile „dużych” instytucji płatniczych przez ostatnie osiem lat, a z pewnością będzie ich jeszcze więcej.
Krajowa Instytucja Płatnicza (KIP)
Krajową Instytucję Płatniczą można w zasadzie porównać do małego banku, zresztą takie porównania pojawiały się już w 2011 roku, gdy wdrażano w Polsce pierwszą dyrektywę PSD. Duża instytucja płatnicza może świadczyć wszystkie usługi płatnicze, w tym usługi z PSD2. KIP może więc nawet „zalogować” się na rachunek bankowy i zlecić z niego przelew w Twoim imieniu – a w zasadzie będzie mógł, bo usługi te zaczną funkcjonować od połowy września 2019, co ciekawe jeszcze żaden KIP nie otrzymał stosownego zezwolenia – choć za granicą wydano sporo licencji tego typu. KIP może też działać transgranicznie – w tym posiadać agentów lub oddziały w innych państwach UE.
Instytucja, która niemal dorównuje małym bankom musi spełnić szereg wymogów regulacyjnych. KIP-y muszą posiadać rozbudowane procedury i mechanizmy wewnętrzne, a KNF dokładnie weryfikuje je przed wydaniem zezwolenia. Dodatkowo istotne zmiany w strukturze udziałowej czy w zarządzie wymagają poinformowania KNF. Co więcej KNF ma wręcz uprawnienie, aby sprzeciwić się sprzedaży udziałów/akcji takiej instytucji, może też uznać, że np. członek zarządu nie spełnia wymogów, żeby zarządzać KIP.
Wiele podmiotów zainteresowanych licencją KIP zniechęca również czas trwania postępowania. Do tej pory postępowania te zazwyczaj trwały co najmniej półtora roku. Tymczasem – KIP może działać dopiero po uzyskaniu zezwolenia. KIP musi również posiadać odpowiednie kapitały własne – w większości przypadków wynoszące co najmniej 125 000 euro.
Niemniej – jeśli Twój fintech działający jako MIP mocno się rozrośnie to sięgnięcie po licencję KIP stanie się koniecznością. Warto przy tym pamiętać, że MIP, który przekroczył dopuszczalny średniomiesięczny wolumen transakcji (1 500 000 euro), może po wystąpieniu o KIP kontynuować działalność do czasu uzyskania nowej licencji – bez konieczności zmniejszania działalności.
Dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku (AISP)
Wraz z PSD2 pojawiła się jeszcze jedna kategoria dostawców usług płatniczych – AISP (a raczej AISP-Only), czyli dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku. AISP może logować się na cudze rachunki bankowe i pobierać zawarte tam informacje (np. historię transakcji).
Dostawca ten nie może jednak świadczyć żadnych innych usług płatniczych. Dodatkowo musi spełnić szereg wymogów prawnych oraz posiadać stosowną polisę ubezpieczeniową lub gwarancję bankową. To właśnie polisy i gwarancje są największym wyzwaniem dla AISP-ów – trudno je uzyskać i są kosztowne. Mimo to na rynku jest bardzo wiele podmiotów zainteresowanych uzyskaniem tej licencji. Wśród nich są zarówno typowe fintechy (np. firmy sektora pożyczkowego), jak i podmioty, które wcześniej nie były bezpośrednio związane ze światem finansów. Licencja AISP pozwala bowiem na dostęp do cennych informacji o użytkowniku (za jego zgodą), ale też na monitorowanie przepływów na wielu rachunkach bankowych.
A może licencja za granicą?
Pytanie, czy nie przenieść fintechu za granicę zadaje sobie bardzo wielu przedsiębiorców. Do niedawna miejscem docelowym często była Wielka Brytania – jednak widmo Brexitu spowodowało exodus fintechów z wysp. Bardzo popularną lokalizacją stała się… Litwa. To właśnie tam swoje „fintechowe licencje” uzyskały Google czy Revolut, a z bardziej lokalnych przykładów – polski Kontomatik. Uzyskanie licencji na Litwie wymaga przeniesienia działalności właśnie tam (przy czym na Litwie można powołać spółkę dopiero po uzyskaniu licencji). Dodatkowo sam koszt obsługi prawnej takiego postępowania jest zdecydowanie wyższy – niezależnie od tego, czy obsługuje nas kancelaria litewska, czy prawnicy z Polski. Zdecydowanie największą zaletą Litwy jest czas trwania postępowania. Od złożenia wniosku do uzyskania licencji równoważnej z polską krajową instytucją płatniczą na Litwie zazwyczaj mija od 3 do 8 miesięcy. W Polsce na uzyskanie zezwolenia potrzeba około dwóch lat. Litewska instytucja płatnicza, po przeprowadzeniu tzw. procedury paszportowej, może działać w dowolnym państwie unijnym. Oczywiście taka instytucja również musi spełnić szereg wymogów formalnych oraz posiadać odpowiednie kapitały własne – tutaj wymogi są niemal ujednolicone w całej Unii Europejskiej.
Kolejną zaletą jest podejście litewskiego regulatora do nowych fintechów. Bank Litwy, odpowiednik polskiej Komisji Nadzoru Finansowego, bardzo przyjaźnie patrzy na nowe podmioty i często stosuje wobec nich swoistą taryfę ulgową w przypadku popełnienia mniejszych naruszeń prawa.
Oczywiście – Litwa to też minusy. Obok wspomnianych kosztów początkowych związanych z obsługą prawną (i tak sporo niższych niż w przypadku np. Niemiec czy Wielkiej Brytanii, ale wyższych niż w Polsce) pojawiają się problemy natury technicznej. Tajemnicą poliszynela jest, że banki w innych państwach członkowskich niechętnie otwierają rachunki fintechom z litewską licencją. Co prawda przepisy zabraniają dyskryminacji innych dostawców usług płatniczych – ale z doświadczenia naszych klientów wynika, że w przypadku spółek zagranicznych, nawet z licencją dostawcy usług płatniczych, otworzenie rachunków bankowych w Polsce czy Niemczech jest mozolnym procesem, choć nie jest niemożliwe.
Licencja dla giełd kryptowalut?
W Polsce nie funkcjonuje coś takiego jak odrębna licencja dla giełd kryptowalut i wbrew niektórym opiniom KNF nie nadzoruje obrotu walutami wirtualnymi samymi w sobie, niemniej KNF już kilka razy wpisywała takie giełdy na listę ostrzeżeń publicznych, tj. listę podmiotów, które prowadzą działalność na rynku finansowym bez zezwolenia. O co więc chodzi? Wszystkie zastrzeżenia, jakie KNF zgłaszała pod adresem wspomnianych giełd dotyczyły… wykonywania transferów pieniężnych oraz prowadzenia rachunków płatniczych bez zezwolenia. W ocenie KNF giełdy wpisane na listę ostrzeżeń powinny były posiadać odpowiednie uprawnienia np. w postaci wpisu do rejestru MIP, gdyż przechowywały środki od użytkowników (waluty tradycyjne – FIAT) lub pośredniczyły w rozliczeniach płatności.
Stąd też – w większości przypadków – giełdy kryptowalut świadczą usługi płatnicze (chyba, że całkowicie wyeliminują obrót FIAT-ami). A w przypadku świadczenia usług płatniczych taka giełda powinna mieć licencję co najmniej Małej Instytucji Płatniczej. To właśnie ta licencja jest coraz popularniejsza wśród firm z sektora walut wirtualnych.
Podsumowanie
Jak widać startupy z sektora fintech mają wiele możliwości działania. Co prawda w sektorze finansowym bariera wejścia postawiona przez przepisy znajduje się zdecydowanie wyżej niż np. w przypadku większości projektów e-commerce, jednak obecnie dzięki istnieniu licencji Małej Instytucji Płatniczej czy licencji AISP na pewno jest to łatwiejsze niż jeszcze dwa lata temu.
Tomasz Klecor
Prawnik, Partner w Legal Geek
Od prawie dekady doradza prawnie spółkom sektora finansowego (także branży kryptowalut), w tym reprezentuje je zarówno w krajowych jak i zagranicznych postępowaniach licencyjnych. Prywatnie miłośnik „dłubania” w samochodach starszych od niego (35+), a także gadżeciarz i pasjonat innowacyjnych, lecz czasem zbędnych rozwiązań.
Artykuł powstał we współpracy z Legal Geek.