Avrupa Komisyonu (“Komisyon”), Avrupa Birliği (“AB”) ödeme sektörünü düzenleyen mevzuatın güncellenmesi için 28 Haziran 2023 tarihinde “Finansal Veri Erişimi ve Ödemeler Paketi” (“Mevzuat Önerileri”) başlıklı mevzuat önerilerini yayımladı.

Komisyon, bunun bir devrim değil, evrim olduğu vurgusu yaparak, Mevzuat Önerileri'nin amacının, AB finans alanını regüle eden düzenlemelerin i) amacına uygun, ii) süregelen dijital dönüşüme ve iii) tüketiciler için ortaya çıkan risklere ve fırsatlara uyum sağlayabilecek durumda olmasını sağlamak olduğunun altını çizdi.

Bu kapsamda, Komisyon'un önerdiği hukuki düzenleme taslakları aşağıdaki gibidir;

  • Ödeme Hizmetleri Direktifi 3 [Payment Services Directive] (“PSD 3”): Bu yeni düzenleme taslağı temel olarak ödeme ve elektronik para kuruluşlarının işleyişini ve lisans koşullarını düzenlemekte olup, Ödeme Hizmetleri Direktifi 2'yi [Payment Services Directive 2] (“PSD 2”) yürürlükten kaldıracaktır.
  • Ödeme Hizmetleri Regülasyonu 1 [Payment Services Regulation 1] (“PSR 1”): Bu yeni düzenleme taslağı açık bankacılık dahil ödeme hizmetlerinin yürütülmesine ilişkin tarafların temel hak ve kurallarına ve hizmetlerin yürütülmesine ilişkin spesifik kuralları düzenlemektedir.
  • Finansal Veri Erişimi Regülasyonu [Financial Data Access Regulation] (“FIDA”): Bu yeni düzenleme müşterilerin -ödeme hesaplarının da ötesindeki- finansal verilerinin AB içerisinde nasıl üçüncü kişilerle paylaşılacağına ilişkin hak ve kuralları belirlemektedir.

Bu bağlamda, Mevzuat Önerileri'nin i) ödemeler ve ii) açık finans yani veri erişimi alanı olmak üzere iki alanda toplandığını söyleyebiliriz.

Mevzuat Önerileri, Avrupa Parlamentosu ve Konseyi'ne sunulacak ve AB yasama sürecinden geçecektir. Yasalaşması durumunda, PSR 1 hemen yürürlüğe girecekken, PSD 3 bakımından ise üye devletlere uyum sağlamak için belirli bir süre tanınacak ve ardından öneriler yürürlüğe girecektir. Bu kapsamda, ilgili düzenlemelerin yürürlüğe girmesinin en az iki veya üç yılı bulması beklenmektedir.

Ödemeler Alanına İlişkin Düzenleme Önerileri

Ödemeler Alanındaki Yeni Mevzuat Kurgusu Ne Anlam İfade Ediyor?

Komisyon'un önerdiği yeni kurguya bakıldığında;

  • AB'de halihazırda ayrı bir düzenleme (E-Money Directive) altında yönetilen elektronik para kuruluşlarının da artık PSD 3 kapsamında regüle edileceği,
  • PSD 3'ün ödeme ve elektronik para kuruluşlarının lisanslanması ve bu kuruluşların uyması gereken kurallar ile sınırlı bir çerçevedeki düzenlemeleri içereceği,
  • Ödemeler alanındaki tarafların hak ve yükümlülüklerini ve bu alanın temel kurallarını yöneten düzenlemenin ise PSD3 değil, PSR1 olacağını  söylemek mümkündür.

Avrupa Birliği Hukuk sistematiğinde direktiflerin uygulanabilmesi için üye ülkelerin iç hukuklarına aktarılması gerekirken, regülasyonların herhangi bir aktarıma gerek olmadan doğrudan yürürlüğe girmesi söz konsudur.

Direktiflerin üye ülkelerin iç hukukuna aktarımları esnasında ise üye ülkeler arasında bir yaklaşım farkı olabilmektedir ve bu uzun vadede ilgili direktifin uygulanmasına ilişkin bütümlüğün kaybolmasına neden olmaktadır.

Bu perspektiften bakıldığında, Komisyon'un, fintechlerin lisanslanması ve bu kuruluşların tabi olduğu genel kuralların belirlenmesi için direktif statüsünde bir düzenleme tercih ederek, üye ülkelerin bu alanlara ilişkin belirli kapsamda kendi iç kurallarını getirmesine şans verdiği; ödeme işlemlerinin yürütülmesi ve kullanıcıların hak ve yükümlülükleri ise bir regülasyon altında düzenleyerek bu alanda yeknesak bir uygulama olmasını ve üye ülkelere bir takdir yetkisi bırakılmamasını tercih ettiği görülmektedir.

Ödemeler Alanındaki Değişim İhtiyacının Sebepleri

Komisyon, yaptığı basın açıklamasında, Mevzuat Önerilerinin hazırlanması öncesinde yapılan etki analizi çalışmasında, PSD 2'nun başarılarına rağmen AB ödeme pazarında dört temel sorununun  olduğunun tespit edildiğini açıklamıştır.

  1. Tüketiciler dolandırıcılık riskiyle karşı karşıya ve ödemelere güven eksikliği yaşamaktadır.
  2. Açık bankacılık çerçevesi eksik işlemektedir.
  3. AB denetçilerinin yetki ve yükümlülükleri tutarsızdır.
  4. Banka olmayan ödeme hizmeti sağlayıcılar (“PSP” veya “Fintechler”) ve bankalar arasında dengesiz bir rekabet ortamı vardır.

Bu sorunların sonuçlarının ise aşağıdakiler olduğu ifade edilmiştir;

  • Kullanıcılar (özellikle tüketiciler, satıcılar ve KOBİ'ler) hala dolandırıcılık riskine maruz kalmaktadır.
  • Açık bankacılık hizmet sağlayıcıları temel açık bankacılık hizmetlerini sunmada engellerle karşılaşmakta; inovasyon yapma veya kart şemaları gibi mevcut oyuncularla rekabet etme konusunda zorluklar yaşamaktadır.
  • Fintechler yükümlülüklerine ilişkin belirsizliklerle karşılaşmakta ve bankalarla karşılaştırıldığında Fintekler rekabet açısından dezavantajlı durumdadır.
  • Ekonomik verimsizlikler ve ticari işlemlerin yüksek maliyetleri, AB'nin rekabet gücüne olumsuz etki etmektedir.
  • AB ödeme pazarı pazar bölünmüş durumdadır ve forum alışverişi riski (kuruluşların kendileri lehine en uygun düzenlemeleri sunan veya en lehe yaptırımları uygulacak üye ülkede lisans alma yoluna gitmesi)  bulunmaktadır.

Bu sonuçlardan yola çıkılarak ise, Mevzuat Önerileri'nin dört temel hedefi olması gerektiği  değerlendirilmiştir;

  1. Kullanıcı korumasını ve ödemelere olan güveni güçlendirmek.
  2. Açık bankacılık hizmetlerinin rekabet gücünü artırmak.
  3. Üye Devletlerde (mevzuatların) işlerliğini ve uygulamasını iyileştirmek.
  4. Banka olmayan PSP'ler yani Fintechler için ödeme sistemlerine ve banka hesaplarına (doğrudan veya dolaylı) erişimi iyileştirmek.

Önerilen PSD 3 ve PSR1 Düzenlemelerinin Ana Hedefleri

Komisyon, yukarıda detaylarına yer verilen etki analizi çalışması sonucunda PSD 3 ve PSR1 taslak metinlerini kamuoyuyla paylaşmış ve ilgili düzenleme taslakları tarafından öngörülen önlem paketinin aşağıdaki başlıkları içerdiğini vurgulamıştır.

  • Ödeme dolandırıcılığıyla mücadele etmek ve hafifletmek kapsamında  ödeme hizmet sağlayıcılarının birbirleriyle dolandırıcılıkla ilgili bilgileri paylaşmalarına imkan sağlanması, tüketicilerin farkındalığının arttırılması, müşteri kimlik doğrulama kurallarının güçlendirilmesi, dolandırıcılığa maruz kalan tüketicilerin iade haklarını genişletilmesi ve alıcıların IBAN numaralarının hesap isimleriyle uyumunu kontrol etme sisteminin tüm kredi transferleri için zorunlu hale getirilmesi.
  • Tüketici haklarının geliştirilmesi;  Örneğin fonlarının geçici olarak bloke edildiği durumlarda, hesap özetlerinde şeffaflığı artırmak ve ATM ücretleri hakkında daha şeffaf bilgi sağlanması.
  • Bankalar ile banka dışı ödeme hizmet sağlayıcıları arasındaki rekabet ortamını daha da dengelenmesi; Özellikle banka dışı ödeme hizmet sağlayıcılarına uygun güvenlik önlemleriyle AB'deki tüm ödeme sistemlerine erişim imkanı tanınması ve bu sağlayıcıların bir banka hesabına sahip olma haklarını güvence altına alınması.
  • Açık bankacılığın işleyişini iyileştirmek; Açık bankacılık hizmetleri sağlama konusundaki engelleri kaldırarak ve müşterilerin ödeme verileri üzerinde daha fazla kontrol sahibi olmalarını sağlayarak, yeni yenilikçi hizmetlerin pazara girmesine imkan tanınması.
  • Mağazalarda ve ATM'ler aracılığıyla nakit paranın kullanılabilirliğini artırmak;  perakendecilerin müşterilere satın alma zorunluluğu olmadan nakit hizmeti sunmalarına izin verilmesi ve bağımsız ATM işletmecileri için kuralları netleştirilmesi.
  • Uyum ve yaptırımı güçlendirmek; ödeme kurallarının çoğunu doğrudan uygulanabilir bir düzenlemeyle yürürlüğe konulması ve uygulama ve cezalar konusundaki hükümleri güçlendirilmesi.

Komisyon'un yukarıdaki hedefler kapsamında hazırladığı PSR 1 ve PSD 3 düzenleme taslaklarına buradan ve buradan erişmek mümkündür.

Finansal Veri Erişimine İlişkin Düzenleme Önerisi

Komisyon, gerçek ve tüzel kişi farketmeksizin finansal müşterilerin -ödeme hesaplarının da ötesindeki- hesaplara ilişkin verilerinin AB içerisinde nasıl üçüncü kişilerle paylaşılacağına ilişkin hak ve kuralların yönetilmesi için FIDA şeklinde kısaltılabilecek yeni bir regülasyon önerisinde bulunmaktadır; Finansal Veri Erişimi Regülasyonu.

Finansal Veri Erişimi Alanındaki Düzenleme İhtiyacı

AB'de her ne kadar ödeme hesaplarına ilişkin verilerin paylaşımı ile ilgili kurallar açık bankacılık alanındaki düzenlemeler (Şu an için PSD 2) ile düzenlese de, ödeme hesapları dışındaki verilerin üçüncü taraflarla paylaşımına ilişkin herhangi bir kural bütünü bulunmamaktadır.

Komisyon, inovatif hizmetler sunmak için müşteri verilerine erişmek isteyen fintechlerin, müşteri verilerini işleyen finansal kuruluşlar tarafından tutulan verilere erişim konusunda sorunlar yaşadığının altını çizmiştir.

Komisyon, aynı zamanda, ilgili alanda herhangi bir hukuki düzenleme bulunmamasının bir takım sorunlara yol açtığını belirtmiştir.

  1. Müşteriler, veri paylaşım izinlerini yönetmek için kurallar ve araçlar olmadığından, veri paylaşımının potansiyel risklerinin ele alındığına güvenmemektedir; bu nedenle verilerini paylaşmaktan çekinmektedirler.
  2. Müşteriler, veri paylaşmak isteseler bile, bu paylaşımı yöneten kurallar ya mevcut değildir ya da belirsizdir. Bu nedenle de müşteri verilerini tutan kredi kuruluşları, sigortacılar ve diğer finansal kuruluşlar, bu verileri katma değerli şekilde müşterilere sunmak isteyen fintechler ile veri paylaşımı yapmak zorunda değildirler.
  3. Veri Paylaşımı alanında teknik altyapı anlamında bir standartlaşma olmadığı için veri paylaşımları maliyetli ve verimsiz hale gelmektedir.

Komisyon, bu açıklamaların devamında, finansal veri erişimi alanında bir etki analizi gerçekleştirildiğini ve yukarıdaki sorunları bertaraf etmek amacıyla atılabilecek en önemli adımın finansal veri erişimi konusunda çerçeve bir düzenleme niteliği taşıyan bir Regülasyon çıkartılması olduğu  sonucuna varıldığını belirtmiş ve FIDA Düzenleme Taslağının bu nedenele önerildiğini not etmiştir.

FIDA Düzenleme Taslağı'nın Hedefleri

Komisyon, FIDA Düzenleme Taslağınının, ödeme hesaplarından öte finans sektöründe müşteri veri paylaşımını yönetmek için açık hak ve yükümlülükler belirleyeceğinin altını çizip, özellikle aşağıdaki başlıklara ilişkin düzenlemeler içerdiğini not etmiştir.

  • Müşterilerin yeni, daha ucuz ve daha iyi veri odaklı hizmetler (örneğin finansal ürün karşılaştırma araçları, kişiselleştirilmiş online tavsiyeler) almak için verilerini MRF formatında fintechlerle paylaşabilmesi.
  • Müşteri verilerini tutan finansal kuruluşlara, bu verileri fintechlerle paylaşması için gereken teknik altyapıyı oluşturma yükümlülüğü getirilmesi.
  • Müşterilerin verilerine kimin ve hangi amaçla erişeceğine dair tam kontrol sağlamak için müşteri izin panellerinin gerekliliği ve Genel Veri Koruma Regülasyonu (GDPR) kapsamında müşterilerin kişisel verilerinin daha güçlü bir şekilde korunması.
  • Finansal veri paylaşım şemalarının bir parçası olarak müşteri verilerinin ve gerekli teknik arayüzlerin standartlaştırılması.
  • Finansal veri paylaşım şemalarının bir parçası olarak veri ihlalleri için net sorumluluk rejimleri ve anlaşmazlık çözüm mekanizmalarının oluşturulması
  • Verileri elinde tutan kuruluşların B2B veri paylaşımları esansaında bundan faydalanacak fintechler için -belirli tutarlar karşılığında- yüksek kaliteli arayüzler oluşturmasına yönelik teşviklerin sağlanması

Komisyon'un bu hedefleri gerçekleştirmek üzere hazırladığı FIDA Düzenleme Taslağı'nın tam metnine buradan erişmek mümkündür.

Genel Değerlendirme

Komisyon'un önerdiği PSD3 ve PSR 1 düzenlemelerine genel olarak bakıldığında, ilgili düzenlemelerin sektörel paradigmaları değiştiren bir yapıda olmaktan çok, sektör ihtiyacına karşılık vermeyi ve yeni riskleri hedefleyen bir yapıda olduğunu söylemek mümkündür.

Bu bağlamda, her iki düzenlemede de, ödemeler sektörünü baştan aşağıya yeniden değiştirecek bir kural yerine, mevcut düzenlemelerin detaylandırıldığı ve özellikle açık bankacılık tarafındaki düzenlemelere ilişkin detaylandırmalar yapıldığı ve fintechlerin (yakın zamanda ülkemizde de adımlarının atıldığı üzere) ödeme sitemlerine erişimine yönelik ön adımların atıldığı görülmektedir.

Komisyon yukarıdaki yaklaşımı “devrim değil, evrim” [evolution, not revolution]  olarak açıklamıştır.

Ülkemizde ödeme ve elektronik para alanındaki temel düzenleme olan 6493 sayılı Kanun'un mehaz düzenlemesinin PSD2 olduğu dikkate alındığında, AB'deki PSD 3 ve PSR 1 düzenlemelerinin ülkemize yakın gelecekte etkisinin olacağını, bu nedenle de bu iki düzenlemeyi takip etmenin önemli olacağının altını çizmek gerekir.

Bu noktada, PSD 3 ve PSR 1'da yer alan i) fintechlerin ödeme sistemlerine aktif şekilde doğrudan erişimi ve ii) açık bankacılık API'lerine ilişkin yüksek derece standardizasyon yaklaşımları için ülkemizde TCMB'nin çok önceden harekete geçtiğini ve bu iki konuya ilişkin uygulama sonuçlarını yakın zamanda göreceğimizi belirtmek gerekir.

Öte yandan, Komisyon'un veri erişimi tarafında getirdiği düzenleme önerisi ise yeni bir düzenleme olup, müşterilerin, açık bankacılık hizmetlerinin konusu olan ödeme hesaplarına ilişkin verilerin de ötesindeki verilerini üçüncü kişilerle paylaşılmasını teşvik edecek niteliktedir. Söz konusunu düzenleme ile getirilen kural bütününün açık bankacılık kurallarından farklı olduğunu not etmek gerekir.

Ülkemizde finansal veri paylaşı alanına ilişkin çerçeve nitelikte bir düzenleme olmadığı için, AB'nin bu alanda FIDA ile kazanacağı tecrübenin ileride ülkemiz açısından faydalı olabileceğini düşünmekteyiz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.