Väljaläinud kiri

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Rahandusministeerium

[email protected] Teie: 20.02.2026 nr 1.1 – 10.1/858-1

Meie: 9.03.2026 nr 13

Tagasiside VÕS ja KAS muutmise seaduse eelnõule (finantspettuste ennetamine ja tõkestamine) Täname Rahandusministeeriumi (edaspidi ministeerium) võlaõigusseaduse ja krediidiasutuste seaduse muutmise seaduse eelnõu (edaspidi eelnõu) ettevalmistamise eest ning hindame jõupingutusi pettuste ennetamise ja tõkestamise õigusliku raamistiku tugevdamisel. Nõustume ministeeriumiga seoses andmete jagamist reguleeriva eelnõu osaga kuniks see sätestab pankade ja makseteenuse osutajate õiguse andmeid jagada ning selles osas täiendavaid kommentaare ei esita. Soovime tagasisides adresseerida maksejuhise täitmisest keeldumist, mille puhul on meie hinnangul vajalik eelnõu täiendamine ning põhimõtteliste muudatuste sisseviimine. ETTEPANEK 1.1 Olukord tuleb reguleerida maksejuhise kättesaamise ja autoriseerimise hetke kaudu Esitatud eelnõust on välja jäetud regulatiivne mehhanism, mis seob maksejuhise kättesaamise hetke ja autoriseerimise protsessi. Eelnõu reguleerib vaid autoriseeritud maksejuhise poolt, kuid pettuse kahtlusega seotud maksejuhise (tehnilise) autoriseerimise saab lõpule viia alles pärast täiendavate turvameetmete rakendamist. Esmases tagasisides pakkusime välja sõnastuse, mille kohaselt on makseteenuse pakkujal õigus lükata maksejuhise kättesaamine edasi täiendavate turvameetmete rakendamiseks ning maksejuhis loetakse kättesaaduks ning autoriseerituks alles siis, kui makseteenuse pakkuja on lõpetanud täiendavate turvameetmete rakendamise ja on veendunud, et maksejuhis vastab nõuetele:

„(41) Makseteenuse pakkujal on õigus lükata maksejuhise kättesaamine edasi täiendavate turvameetmete rakendamiseks, maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontrolliks, sealhulgas autentimise ja riskipõhiste turvameetmete rakendamiseks ning juhul, kui on põhjendatud alus kahtlustada, et maksejuhist ei ole maksja poolt autoriseeritud, maksjat on manipuleeritud või on autoriseerimine tehtud pettuse teel.

Maksejuhis loetakse makseteenuse pakkujale siduvaks, kui makseteenuse pakkuja on lõpetanud täiendavate turvameetmete rakendamise ja maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontrolli ning on veendunud, et maksejuhis vastab käesoleva lõike esimeses lauses nimetatud nõuetele.

(42) Makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast täiendavate turvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksetehing ei ole maksja poolt autoriseeritud või on autoriseerimine tehtud pettuse teel.“

Meie hinnangul peaks seletuskiri selgelt avama, et luuakse võimalus reageerida nii enne kui ka pärast maksejuhise makseteenuse kasutajalt kättesaamist, kuid enne autoriseerimist, et tagada pankade/makseasutuste võimalus operatiivselt ja põhjendatult reageerida enne rahade edasi liikumist, mis on ka eelnõu eesmärk.

1.2 Makse loetakse autoriseerituks alles pärast täiendavate turvameetmete rakendamist Oleme seisukohal, et maksejuhis loetakse PSD2 RTS kontekstis autoriseerituks (tehniliselt) alles pärast maksejuhise osas täiendavate turvameetmete rakendamist. Tegevused pärast PIN2 kinnitamist, sealhulgas täiendavad kontrollimeetmed, moodustavad osa täielikust autoriseerimisprotsessist ning pettuse kahtlus saab maandatud alles siis, kui autoriseerimine on lõppenud. Vajalik on protsess, kus peale PIN2 kinnitamist ja summa debiteerimist: (1) klient saab teate, et makse suunatakse täiendavasse kontrolli; (2) rakendatakse täiendav tehniline meede (nt ID-kaardi skännimine, biomeetria vms); (3) kui pettuse kahtlust ei ole kõrvaldatud, peab klient esitama täiendavat infot ning pank võtab kliendiga ühendust; (4) kui pettuse kahtlust ei saa kõrvaldada, keeldub pank makse teostamisest ning raha tagastatakse kliendi kontole. See lähenemine on meie hinnangul kooskõlas PSD2 põhimõtetega, mille kohaselt on autoriseerimine direktiivi keskne mõiste ning põhjendatud pettuse kahtluse välistamine ja turvameetmete rakendamine peaks olema seotud autoriseerimise kehtivusega. 1.3 Kooskõla EL välkmaksete määrusega Maksejuhise kättesaamise hetke reguleerimine läbi autoriseerimisprotsessi tagaks meie hinnangul ka kooskõla EL välkmaksete määrusega. Välkkreeditkorralduse puhul tuleks maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontroll ning maksejuhise vastuvõtmisest keeldumine teha kümne sekundi jooksul alates maksekäsundi vastuvõtmise hetkest, nagu näeb ette välkmaksete määrus. See tähendab, et kui autoriseerimisprotsess hõlmab täiendavaid turvameetmeid, ei loeta maksejuhist kättesaaduks enne nende meetmete rakendamist. See on ainus loogiline ja õiguslikult järjepidev lähenemine välkmaksete kontekstis. 1.4 Turvameetmete rakendamise aeg Mõistame, et osapooled võivad väljendada muret, et selline regulatsioon võib viia selleni, et pangad hoiavad makseid ebamõistlikult kinni, kuid rõhutame, et seadusandja poolt on võimalik sätestada, et turvameetmeid tuleb rakendada ilma ebamõistliku viivituseta. Täiendavate turvameetmete rakendamine peab olema proportsionaalne ja põhinema objektiivselt põhjendatud kahtlusel. Sama punkti sätestab meie varasemas tagasisides pakutud kahju välistamise punkt: Makseteenuse pakkuja ei vastuta kahju eest, kui turvameetmete täiendava rakendamise tulemusel täidetakse makse hilinemisega, tingimusel, et nimetatud turvameetmete rakendamine viiakse läbi põhjendamatu viivituseta ning rakendamise aluseks on objektiivselt põhjendatud kahtlus. Sama põhimõte peaks olema selgelt sätestatud ka siis, kui regulatsioon puudutab maksejuhise kättesaamise hetke.

TAGASISIDE EELNÕULE 2.1 Välkkrediidikorralduste regulatsiooni ebapiisavus Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse puhul tuleb maksejuhise täitmisest keelduda kooskõlas välkmaksete määrusega ning et makseteenuse pakkuja peab autoriseeritud maksetehingu riskianalüüsi tegema kümne sekundi jooksul ning otsustama, kas on vajalik turvameetmete täiendav rakendamine. Juhul, kui autoriseeritud maksetehingu riskianalüüsi põhjal selgub, et vajalik on turvameetmete täiendav rakendamine, siis täidetakse maksejuhis pärast täiendavat kontrolli ning sellisel juhul ei rakendu välkmaksete määruse kümne sekundi nõue, kuid turvameetmete täiendav rakendamine peab toimuma ebamõistliku viivituseta. Meie hinnangul jääb välkkrediidikorralduste regulatsioon eelnõus ebapiisavaks, sest ei sisalda selget regulatsiooni selle kohta, kuidas toimub välkkrediidikorralduse hilinemisega täitmine olukorras, kus turvameetmete täiendav rakendamine võtab aega kauem kui 10 sekundit. Kuigi seletuskiri mainib, et kümne sekundi nõue sel juhul ei rakendu, puudub selge raamistik selle kohta, millises täiendavas ajavahemikus peab välkkrediidikorraldus täidetama ning millised on mõlema poole (maksja ja saaja makseteenuse pakkuja) täpsed kohustused viivituse korral. Eelnõus ei ole üheselt välja toodud selget regulatsiooni selle kohta, kuidas kooskõlastatakse välkkrediidikorralduse hilinemisega täitmine välkmaksete määruse nõuetega, mis on eelnõu üks alusaktidest. Regulatsiooni ebatäpsus võib tekitada praktilist ebakindlust nii pankade kui makseteenuse kasutajate jaoks. Juhul, kui ministeerium jääb oma esialgselt pakutud sõnastuse juurde, siis palume eelnõud täiendada selge ja konkreetse regulatsiooniga välkkrediidikorralduste hilinemisega täitmise mehhanismi, sealhulgas mõlema poole makseteenuse pakkuja kohustuste ja vastutuse osas. 2.2 Konkreetne viide PSD2 delegeeritud määruse (RTS) riskianalüüsi sättele ei ole eesmärgipärane Eelnõuga nähakse ette, et makseteenuse pakkuja õigus keelduda autoriseeritud maksejuhise täitmisest seotakse RTS ette nähtud turvameetmete täiendava rakendamisega. RTS artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab olukorda, kus makseteenuse pakkujatele antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise kaugmaksetehingu, mille makseteenuse pakkuja on tehinguseiremehhanismide alusel lugenud väikese riskiga tehinguks. Käesoleval juhul on viide RTS artikli 18 riskianalüüsile ebavajalik. Artikkel 18 on mõeldud SCA rakendamise leevendamiseks, mitte pettuste tõkestamise eesmärgil turvameetmete rakendamise aluse loomiseks. Kui eelnõu esitaja eesmärk on peegeldada vastavaid kriteeriume, siis tuleks viidata neile mitte konkreetsele artiklile osutades, vaid asjakohaste kriteeriumite täpsema loetelu kaudu. Artiklis nimetatud kriteeriumid on järgmised: i) maksja tavapäratud kulutused või käitumismuster; ii) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; iii) pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel;

iv) makseteenuste osutamisega seoses teadaolev petuskeem; v) maksja tavapäratu asukoht; vi) makse saaja kõrge riskitasemega asukoht. Eelnõus on eesmärk anda pankadele alus täiendavate turvameetmete rakendamiseks pettuste tõkestamise eesmärgil. Selleks asjakohaseks sätteks on RTS artikli 2 lõige 1, mille kohaselt peavad makseteenuse pakkujatel turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Seletuskirjale tuleks lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb tehinguseire mehhanisme ja petuskeeme. Palume eelnõust eemaldada viited RTS artikli 18 riskianalüüsile (nn SCA erand väikese riskiga tehingutele) ning asendada need asjakohaste viidetega RTS artikli 2 lõike 1 kohastele seiremehhanismidele, mis on pettuste tõkestamise seisukohalt ainus otseselt kohalduv säte. TÄIENDAVAD TÄHELEPANEKUD 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine Eelnõu § 1 punktiga 1 täiendatakse VÕS § 724³ lõigetega 41-43 ning nähakse ette, et makseteenuse pakkuja võib keelduda autoriseeritud maksejuhise täitmisest juhul, kui esineb objektiivselt põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud pettuse teel. Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS § 7339 lõiget 3 vastutuse piiranguga ning eelnõu § 2, millega täiendatakse KAS §-ga 894 krediidiasutuse õigusega avaldada andmeid. Uus õigus keelduda maksejuhise täitmisest tugineb mõistel „objektiivselt põhjendatud kahtlus“. Eelnõu seletuskirjas on küll viidatud riskiteguritele, mida tehinguseiremehhanismid peaksid arvesse võtma (lk 4 lg 2), riskianalüüsile ja mida selle raames tuleks näiteks hinnata (lk 4 kg 3) ning kahele näitele, milline võiks olla objektiivselt põhjendatud kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet ammendavalt. Praktikas tekib küsimus, millised kriteeriumid peavad olema täidetud, et kahtlust pidada objektiivselt põhjendatuks, milline on makseteenuse pakkuja dokumenteerimiskohustus selles osas ja mille alusel hinnatakse hiljem panga otsuse õiguspärasust (nt kohtus või järelevalves). Kuna vastutus makse hilinemise või täitmata jätmise eest sõltub sama mõiste sisust, võib ebaselge regulatsioon suurendada vaidlusriski nii klientide kui ka järelevalveasutustega. Samuti on eelnõu seletuskirjas KAS § 894 lg 1 juures välja toodud, et pangasaladuse avaldamine ei ole lubatud iga kahtluse korral, vaid juhul kui selleks on objektiivselt põhjendatud alus kahtlustada pettust. See tähendab, et lisaks kliendivaidlustele suureneb objektiivselt põhjendatud kahtluse ebamäärasusega ka pangasaladuse jagamise piiride ületamisega seotud risk. Teeme ettepaneku lisada VÕS § 724³ lõike 4¹ juurde või eelnõu seletuskirja definitsioon, mis moodustab objektiivselt põhjendatud kahtluse. Mõistan, et liiga detailne definitsioon muutuks kiiresti vananenuks, sest pettuseskeemid arenevad kiiresti ning see võib halvata operatiivse reageerimise. Ei ole vaja ammendavat loetelu, vaid raamistust, mis tagaks, et krediidiasutused, järelevalve ja kohtud hindaksid olukordi ühtmoodi. Samuti teeme ettepaneku eelnõu seletuskirjas rõhutada, et krediidiasutus võib tugineda automatiseeritud riskimudelitele ja tehinguseire süsteemidele.

3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni delegeeritud määruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid: a) murtud või varastatud autentimisvahendite loetelu; b) iga maksetehingu summa; c) makseteenuste osutamisega seoses teada olevad petuskeemid; d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel; e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.“ Punkt „d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel; “ on midagi, mida on tehniliselt väga keeruline (kui mitte võimatu) teostada. See tähendaks kogu kliendi seadmes oleva info kogumist, töötlemist ja protsessimist ning seda ei saa teha ei tehniliselt ega ka seadusandluse kontekstis. Teeme ettepaneku sõnastada punkti d asemel: „seadme ja kasutaja infot, sh IP-aadressi ja kogutavat seadmete spetsiifilist infot“. Oleme valmis eelnõu täiendavaks aruteluks ning oleme avatud konstruktiivsele koostööle kõigi osapoolte vahel, et luua finantspettuste tõkestamiseks tõhus regulatsioon. Antud eelnõu kontekstis jääme maksejuhise kättesaamise ja makse autoriseerimise regulatsiooni vajaduse juurde, mis on eesmärgist lähtuvalt pragmaatiline lähenemine.

Lugupidamisega

/allkirjastatud digitaalselt/

Katrin Talihärm

Tegevjuht

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Rahandusministeerium

[email protected] Teie: 20.02.2026 nr 1.1 – 10.1/858-1

Meie: 9.03.2026 nr 13

Tagasiside VÕS ja KAS muutmise seaduse eelnõule (finantspettuste ennetamine ja tõkestamine) Täname Rahandusministeeriumi (edaspidi ministeerium) võlaõigusseaduse ja krediidiasutuste seaduse muutmise seaduse eelnõu (edaspidi eelnõu) ettevalmistamise eest ning hindame jõupingutusi pettuste ennetamise ja tõkestamise õigusliku raamistiku tugevdamisel. Nõustume ministeeriumiga seoses andmete jagamist reguleeriva eelnõu osaga kuniks see sätestab pankade ja makseteenuse osutajate õiguse andmeid jagada ning selles osas täiendavaid kommentaare ei esita. Soovime tagasisides adresseerida maksejuhise täitmisest keeldumist, mille puhul on meie hinnangul vajalik eelnõu täiendamine ning põhimõtteliste muudatuste sisseviimine. ETTEPANEK 1.1 Olukord tuleb reguleerida maksejuhise kättesaamise ja autoriseerimise hetke kaudu Esitatud eelnõust on välja jäetud regulatiivne mehhanism, mis seob maksejuhise kättesaamise hetke ja autoriseerimise protsessi. Eelnõu reguleerib vaid autoriseeritud maksejuhise poolt, kuid pettuse kahtlusega seotud maksejuhise (tehnilise) autoriseerimise saab lõpule viia alles pärast täiendavate turvameetmete rakendamist. Esmases tagasisides pakkusime välja sõnastuse, mille kohaselt on makseteenuse pakkujal õigus lükata maksejuhise kättesaamine edasi täiendavate turvameetmete rakendamiseks ning maksejuhis loetakse kättesaaduks ning autoriseerituks alles siis, kui makseteenuse pakkuja on lõpetanud täiendavate turvameetmete rakendamise ja on veendunud, et maksejuhis vastab nõuetele:

„(41) Makseteenuse pakkujal on õigus lükata maksejuhise kättesaamine edasi täiendavate turvameetmete rakendamiseks, maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontrolliks, sealhulgas autentimise ja riskipõhiste turvameetmete rakendamiseks ning juhul, kui on põhjendatud alus kahtlustada, et maksejuhist ei ole maksja poolt autoriseeritud, maksjat on manipuleeritud või on autoriseerimine tehtud pettuse teel.

Maksejuhis loetakse makseteenuse pakkujale siduvaks, kui makseteenuse pakkuja on lõpetanud täiendavate turvameetmete rakendamise ja maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontrolli ning on veendunud, et maksejuhis vastab käesoleva lõike esimeses lauses nimetatud nõuetele.

(42) Makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast täiendavate turvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksetehing ei ole maksja poolt autoriseeritud või on autoriseerimine tehtud pettuse teel.“

Meie hinnangul peaks seletuskiri selgelt avama, et luuakse võimalus reageerida nii enne kui ka pärast maksejuhise makseteenuse kasutajalt kättesaamist, kuid enne autoriseerimist, et tagada pankade/makseasutuste võimalus operatiivselt ja põhjendatult reageerida enne rahade edasi liikumist, mis on ka eelnõu eesmärk.

1.2 Makse loetakse autoriseerituks alles pärast täiendavate turvameetmete rakendamist Oleme seisukohal, et maksejuhis loetakse PSD2 RTS kontekstis autoriseerituks (tehniliselt) alles pärast maksejuhise osas täiendavate turvameetmete rakendamist. Tegevused pärast PIN2 kinnitamist, sealhulgas täiendavad kontrollimeetmed, moodustavad osa täielikust autoriseerimisprotsessist ning pettuse kahtlus saab maandatud alles siis, kui autoriseerimine on lõppenud. Vajalik on protsess, kus peale PIN2 kinnitamist ja summa debiteerimist: (1) klient saab teate, et makse suunatakse täiendavasse kontrolli; (2) rakendatakse täiendav tehniline meede (nt ID-kaardi skännimine, biomeetria vms); (3) kui pettuse kahtlust ei ole kõrvaldatud, peab klient esitama täiendavat infot ning pank võtab kliendiga ühendust; (4) kui pettuse kahtlust ei saa kõrvaldada, keeldub pank makse teostamisest ning raha tagastatakse kliendi kontole. See lähenemine on meie hinnangul kooskõlas PSD2 põhimõtetega, mille kohaselt on autoriseerimine direktiivi keskne mõiste ning põhjendatud pettuse kahtluse välistamine ja turvameetmete rakendamine peaks olema seotud autoriseerimise kehtivusega. 1.3 Kooskõla EL välkmaksete määrusega Maksejuhise kättesaamise hetke reguleerimine läbi autoriseerimisprotsessi tagaks meie hinnangul ka kooskõla EL välkmaksete määrusega. Välkkreeditkorralduse puhul tuleks maksejuhise töötlemiseks vajalike tehniliste ja turvanõuete täitmise kontroll ning maksejuhise vastuvõtmisest keeldumine teha kümne sekundi jooksul alates maksekäsundi vastuvõtmise hetkest, nagu näeb ette välkmaksete määrus. See tähendab, et kui autoriseerimisprotsess hõlmab täiendavaid turvameetmeid, ei loeta maksejuhist kättesaaduks enne nende meetmete rakendamist. See on ainus loogiline ja õiguslikult järjepidev lähenemine välkmaksete kontekstis. 1.4 Turvameetmete rakendamise aeg Mõistame, et osapooled võivad väljendada muret, et selline regulatsioon võib viia selleni, et pangad hoiavad makseid ebamõistlikult kinni, kuid rõhutame, et seadusandja poolt on võimalik sätestada, et turvameetmeid tuleb rakendada ilma ebamõistliku viivituseta. Täiendavate turvameetmete rakendamine peab olema proportsionaalne ja põhinema objektiivselt põhjendatud kahtlusel. Sama punkti sätestab meie varasemas tagasisides pakutud kahju välistamise punkt: Makseteenuse pakkuja ei vastuta kahju eest, kui turvameetmete täiendava rakendamise tulemusel täidetakse makse hilinemisega, tingimusel, et nimetatud turvameetmete rakendamine viiakse läbi põhjendamatu viivituseta ning rakendamise aluseks on objektiivselt põhjendatud kahtlus. Sama põhimõte peaks olema selgelt sätestatud ka siis, kui regulatsioon puudutab maksejuhise kättesaamise hetke.

TAGASISIDE EELNÕULE 2.1 Välkkrediidikorralduste regulatsiooni ebapiisavus Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse puhul tuleb maksejuhise täitmisest keelduda kooskõlas välkmaksete määrusega ning et makseteenuse pakkuja peab autoriseeritud maksetehingu riskianalüüsi tegema kümne sekundi jooksul ning otsustama, kas on vajalik turvameetmete täiendav rakendamine. Juhul, kui autoriseeritud maksetehingu riskianalüüsi põhjal selgub, et vajalik on turvameetmete täiendav rakendamine, siis täidetakse maksejuhis pärast täiendavat kontrolli ning sellisel juhul ei rakendu välkmaksete määruse kümne sekundi nõue, kuid turvameetmete täiendav rakendamine peab toimuma ebamõistliku viivituseta. Meie hinnangul jääb välkkrediidikorralduste regulatsioon eelnõus ebapiisavaks, sest ei sisalda selget regulatsiooni selle kohta, kuidas toimub välkkrediidikorralduse hilinemisega täitmine olukorras, kus turvameetmete täiendav rakendamine võtab aega kauem kui 10 sekundit. Kuigi seletuskiri mainib, et kümne sekundi nõue sel juhul ei rakendu, puudub selge raamistik selle kohta, millises täiendavas ajavahemikus peab välkkrediidikorraldus täidetama ning millised on mõlema poole (maksja ja saaja makseteenuse pakkuja) täpsed kohustused viivituse korral. Eelnõus ei ole üheselt välja toodud selget regulatsiooni selle kohta, kuidas kooskõlastatakse välkkrediidikorralduse hilinemisega täitmine välkmaksete määruse nõuetega, mis on eelnõu üks alusaktidest. Regulatsiooni ebatäpsus võib tekitada praktilist ebakindlust nii pankade kui makseteenuse kasutajate jaoks. Juhul, kui ministeerium jääb oma esialgselt pakutud sõnastuse juurde, siis palume eelnõud täiendada selge ja konkreetse regulatsiooniga välkkrediidikorralduste hilinemisega täitmise mehhanismi, sealhulgas mõlema poole makseteenuse pakkuja kohustuste ja vastutuse osas. 2.2 Konkreetne viide PSD2 delegeeritud määruse (RTS) riskianalüüsi sättele ei ole eesmärgipärane Eelnõuga nähakse ette, et makseteenuse pakkuja õigus keelduda autoriseeritud maksejuhise täitmisest seotakse RTS ette nähtud turvameetmete täiendava rakendamisega. RTS artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab olukorda, kus makseteenuse pakkujatele antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise kaugmaksetehingu, mille makseteenuse pakkuja on tehinguseiremehhanismide alusel lugenud väikese riskiga tehinguks. Käesoleval juhul on viide RTS artikli 18 riskianalüüsile ebavajalik. Artikkel 18 on mõeldud SCA rakendamise leevendamiseks, mitte pettuste tõkestamise eesmärgil turvameetmete rakendamise aluse loomiseks. Kui eelnõu esitaja eesmärk on peegeldada vastavaid kriteeriume, siis tuleks viidata neile mitte konkreetsele artiklile osutades, vaid asjakohaste kriteeriumite täpsema loetelu kaudu. Artiklis nimetatud kriteeriumid on järgmised: i) maksja tavapäratud kulutused või käitumismuster; ii) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; iii) pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel;

iv) makseteenuste osutamisega seoses teadaolev petuskeem; v) maksja tavapäratu asukoht; vi) makse saaja kõrge riskitasemega asukoht. Eelnõus on eesmärk anda pankadele alus täiendavate turvameetmete rakendamiseks pettuste tõkestamise eesmärgil. Selleks asjakohaseks sätteks on RTS artikli 2 lõige 1, mille kohaselt peavad makseteenuse pakkujatel turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Seletuskirjale tuleks lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb tehinguseire mehhanisme ja petuskeeme. Palume eelnõust eemaldada viited RTS artikli 18 riskianalüüsile (nn SCA erand väikese riskiga tehingutele) ning asendada need asjakohaste viidetega RTS artikli 2 lõike 1 kohastele seiremehhanismidele, mis on pettuste tõkestamise seisukohalt ainus otseselt kohalduv säte. TÄIENDAVAD TÄHELEPANEKUD 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine Eelnõu § 1 punktiga 1 täiendatakse VÕS § 724³ lõigetega 41-43 ning nähakse ette, et makseteenuse pakkuja võib keelduda autoriseeritud maksejuhise täitmisest juhul, kui esineb objektiivselt põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud pettuse teel. Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS § 7339 lõiget 3 vastutuse piiranguga ning eelnõu § 2, millega täiendatakse KAS §-ga 894 krediidiasutuse õigusega avaldada andmeid. Uus õigus keelduda maksejuhise täitmisest tugineb mõistel „objektiivselt põhjendatud kahtlus“. Eelnõu seletuskirjas on küll viidatud riskiteguritele, mida tehinguseiremehhanismid peaksid arvesse võtma (lk 4 lg 2), riskianalüüsile ja mida selle raames tuleks näiteks hinnata (lk 4 kg 3) ning kahele näitele, milline võiks olla objektiivselt põhjendatud kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet ammendavalt. Praktikas tekib küsimus, millised kriteeriumid peavad olema täidetud, et kahtlust pidada objektiivselt põhjendatuks, milline on makseteenuse pakkuja dokumenteerimiskohustus selles osas ja mille alusel hinnatakse hiljem panga otsuse õiguspärasust (nt kohtus või järelevalves). Kuna vastutus makse hilinemise või täitmata jätmise eest sõltub sama mõiste sisust, võib ebaselge regulatsioon suurendada vaidlusriski nii klientide kui ka järelevalveasutustega. Samuti on eelnõu seletuskirjas KAS § 894 lg 1 juures välja toodud, et pangasaladuse avaldamine ei ole lubatud iga kahtluse korral, vaid juhul kui selleks on objektiivselt põhjendatud alus kahtlustada pettust. See tähendab, et lisaks kliendivaidlustele suureneb objektiivselt põhjendatud kahtluse ebamäärasusega ka pangasaladuse jagamise piiride ületamisega seotud risk. Teeme ettepaneku lisada VÕS § 724³ lõike 4¹ juurde või eelnõu seletuskirja definitsioon, mis moodustab objektiivselt põhjendatud kahtluse. Mõistan, et liiga detailne definitsioon muutuks kiiresti vananenuks, sest pettuseskeemid arenevad kiiresti ning see võib halvata operatiivse reageerimise. Ei ole vaja ammendavat loetelu, vaid raamistust, mis tagaks, et krediidiasutused, järelevalve ja kohtud hindaksid olukordi ühtmoodi. Samuti teeme ettepaneku eelnõu seletuskirjas rõhutada, et krediidiasutus võib tugineda automatiseeritud riskimudelitele ja tehinguseire süsteemidele.

3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni delegeeritud määruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid: a) murtud või varastatud autentimisvahendite loetelu; b) iga maksetehingu summa; c) makseteenuste osutamisega seoses teada olevad petuskeemid; d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel; e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.“ Punkt „d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel; “ on midagi, mida on tehniliselt väga keeruline (kui mitte võimatu) teostada. See tähendaks kogu kliendi seadmes oleva info kogumist, töötlemist ja protsessimist ning seda ei saa teha ei tehniliselt ega ka seadusandluse kontekstis. Teeme ettepaneku sõnastada punkti d asemel: „seadme ja kasutaja infot, sh IP-aadressi ja kogutavat seadmete spetsiifilist infot“. Oleme valmis eelnõu täiendavaks aruteluks ning oleme avatud konstruktiivsele koostööle kõigi osapoolte vahel, et luua finantspettuste tõkestamiseks tõhus regulatsioon. Antud eelnõu kontekstis jääme maksejuhise kättesaamise ja makse autoriseerimise regulatsiooni vajaduse juurde, mis on eesmärgist lähtuvalt pragmaatiline lähenemine.

Lugupidamisega

/allkirjastatud digitaalselt/

Katrin Talihärm

Tegevjuht