Open Banking: Luxemburgo implementa PSD2
Mercados SecundáriosTecnologia e High-frequency Trading
Luxemburgo revisou sua lei sobre serviços de pagamento, visando a adoção da versão revisada da Diretiva Europeia sobre Serviços de Pagamentos (ou PSD2, na sigla em inglês). Esse novo diploma amplia o escopo da regulação sobre o tema, trazendo novas categorias de prestadores de serviço (em particular, dentro do conceito de third party payment service providers ou TPPs). Outras novidades incluem mudanças nos requisitos mínimos para as instituições que atuam nesse segmento, com o intuito de ampliar a concorrência e aprimorar a proteção do consumidor, além de mudanças nos requisitos de segurança e transparência.
A extensão do escopo deu-se com a introdução de dois novos tipos de instituições de serviços de pagamentos – regulando especificamente as TPPs. Em adição aos serviços de pagamento já previamente regulamentados, o PSD2 inclui os Provedores de Serviços de Iniciação de Pagamento (PISPs, em inglês) e os Prestadores de Serviços de Informação de Conta (AISPs, em ingês). Enquanto as PISPs facilitam os pagamentos pela internet, iniciando um pagamento da conta do consumidor para a conta do ofertante do cliente, as AISPs coletam e consolidam informações sobre as diferentes contas bancárias de um consumidor em um único local.
Entre as mudanças chaves do PSD2, estão as relacionadas ao acesso a serviços de conta de pagamento e ao acesso propriamente às contas de pagamentos. No primeiro caso, as instituições bancárias passarão a fornecer às instituições de pagamento o acesso aos seus serviços de contas de pagamento; e tal acesso deve ser suficientemente extenso para permitir que as instituições de pagamento forneçam serviços de pagamento de forma acessível e eficiente, sem obrigatoriamente possuir relação contratual com a instituição detentora da conta. No segundo caso, a partir de setembro de 2019, os acessos às contas de pagamento poderão ser realizados via API, estabelecidos conforme padrões técnicos editados pela autoridade bancária da região.
Até a implementação de um padrão de utilização dos APIs, a lei garante o acesso às TPPs das contas de pagamento online através do Prestador de Serviços de Pagamento e de Serviços de Conta (ASPSP, em inglês), sempre com o consentimento dos clientes, sem exigir relação contratual entre as TPPs e as ASPSPs.
Outra mudança importante tem caráter geográfico. A PSD2 implementada por Luxemburgo estende o escopo da aplicação para pagamentos internacionais que ocorram parcialmente fora da União Europeia, desde que uma ponta da transação esteja em Luxemburgo. Ou seja, independentemente da outra parte na transação, a parte em Luxemburgo está sujeito (a) à aplicação da Lei de Serviços de Pagamento reformulada.
Em relação à segurança, a lei enfatiza a proteção dos dados e a segurança do consumidor. Provedores de serviços de pagamentos deverão manter uma estrutura apropriada para prover medidas de redução de riscos e controles de mecanismos operacionais de riscos de segurança inerentes aos seus serviços de pagamentos, reportando tais medidas e mecanismos anualmente à CSSF, órgão responsável pela regulação financeira de Luxemburgo. Incidentes eventuais deverão ser notificados à CSSF e aos consumidores atingidos, conjuntamente com medidas propositivas para redução de riscos e resoluções de problemas. Ademais, qualquer movimentação na conta do cliente que possua algum risco de utilização fraudulenta, deverá seguir rigoroso processo de autenticação do cliente quando realizada.
As opções adotadas por Luxemburgo, por exemplo no tratamento de TTPs, ajudam a evidenciar as decisões que outros países deverão tomar. Outro país que legislou sobre essa matéria foi o México, por meio da Ley para Regular las Instituciones de Tecnología Financiera. Essa legislação define requerimentos para as instituições de tecnologia financeira (incluindo aí, por exemplo, as instituições de pagamento eletrônico, cujos requerimentos já foram publicados pelo regulador competente), disciplina a definição de padrões para os APIs e exigirá o consentimento dos clientes no compartilhamento de dados. A lei do país latino estabelece o limite para a disposição final dos APIs em março de 2020.