חוק שירותי תשלום, התשע"ט-2019 (להלן: "החוק" או "חוק שירותי תשלום") מסדיר את היחסים החוזיים וההגנות הצרכניות החלים על מתן שירותי תשלום בין נותן שירותי התשלום לבין לקוחותיו.
החוק חל על כלל אמצעי התשלום המתקדמים (כדוגמת, בנקים, חברות כרטיסי אשראי, סולקים, אפליקציות תשלומים, מאגדים) והינו בעל השפעה משמעותית על הגופים פיננסיים ככלל ועל תחום שירותי התשלומים בפרט.
החוק מסדיר את מערכת היחסים שבין נותן שירותי התשלום (מנפיק אמצעי תשלום או מנהל חשבון תשלום) לבין הלקוח המשלם וכן את מערכת היחסים שבין נותן שירותי התשלום (הסולק או מנהל חשבון תשלום) לבין מקבל התשלום (המוטב), וכן קובע הוראות כלליות לעניין הוראות תשלום, ביצוע פעולות תשלום, והסדרי האחריות הנוגעים להן.
החוק מתבסס על חוק כרטיסי חיוב, התשמ"ו-1986 וכן על העקרונות שנקבעו בדירקטיבה האירופית PSD2.
חוק שירותי תשלום מקנה הגנה צרכנית ללקוחות (משלמים או מוטבים) שיקבלו בעתיד "שירותי תשלום" מ-"נותני שירותי תשלום" כדוגמת בנקים, חברות כרטיסי אשראי, אפליקציות תשלומים ועוד. כמו כן, לחוק מטרות נוספות כדוגמת הגברת אמון הציבור ב"אמצעי התשלום" השונים, ויצירת תשתית להגברת התחרות בתחום שירותי התשלום בישראל ע"י כניסתם של שחקני שוק חדשים.
החוק קובע שני סוגים של שירותי תשלום:
- "שירותי תשלום למוטב" – הכוללים ניהול חשבון תשלום עבור מוטב וכן סליקה של פעולת תשלום
- "שירותי תשלום למשלם" – הכוללים ניהול חשבון תשלום והנפקת אמצעי תשלום ללקוח
הגדרת המונח "אמצעי תשלום" בחוק החדש, מתנתקת מהאלמנט הפיזי של אמצעי התשלום כרכיב הכרחי. דהיינו, בעוד שחוק כרטיסי חיוב חל על כרטיסי חיוב פיזיים בלבד, חוק שירותי תשלום חל על כל "אמצעי תשלום" – קיים, עתידי, פיזי ושאינו פיזי.
ההגנות הצרכניות שבחוק שירותי תשלום, חלות לא רק על ביצוע עסקאות ותשלומים בכרטיסי חיוב, אלא גם על ביצוע העברות, הפקדות ומשיכות כספים מחשבון העובר-ושב הבנקאי, על הרשאות לחיוב חשבון, על פעולות באמצעי תשלום מתקדמים, כגון ארנקים דיגיטליים ואפליקציות תשלומים, ועל נותני שירותי תשלום זרים הפועלים או העשויים להיכנס לפעילות בישראל .
כמו כן, בעוד שחוק כרטיסי חיוב התייחס למערכת היחסים המשפטית שבין מנפיק כרטיס החיוב לבין מחזיק הכרטיס בלבד, מסדיר חוק שירותי תשלום גם את החובות החלות על נותן שירותי התשלום למוטב (למשל, הסולק) כלפי המוטב (למשל, בית העסק).
במסגרת החוק בוטל חוק חוק כרטיסי חיוב, התשמ"ו-1986. החוק נכנס לתוקף ביום ביום 14 באוקטובר 2020. ההוראות לפי חוק זה יחולו גם על נותן שירותי תשלום שאינו תושב ישראל כשהוא נותן שירותי תשלום ללקוח שהוא תושב ישראל אם הוא מכוון את שירותיו ללקוחות בישראל
חוק שירותי תשלום עוסק במגוון סוגיות -
- חוזה שירותי תשלום
- גילוי נאות ואיסור הטעיה
- פעולת תשלום
- הקפאת השימוש באמצעי תשלום
- שימוש לרעה באמצעי תשלום
- הרשאה לחיוב
- עונשין ועיצום כספי
רגולציית ה PSD2
בשנת 2007 חוקקה הוראת Payment Service Providers Directive (להלן: "PSD" או "התקנה") שביקשה לתרום לפיתוח שוק תשלומים אחיד באיחוד האירופי ע"י קידום ערכי החדשנות, התחרות והיעילות.
הוראת PSD2 מבקשת לשפר את ההגנה על הצרכן, לחזק את התחרות והחדשנות בענף ולחזק את האבטחה בשוק התשלומים. צעדים אלה עשויים להקל על פיתוח שיטות תשלום חדשות ומסחר אלקטרוני. ההוראה מבקשת להפוך את התשלומים האלקטרוניים באירופה לבטוחים יותר, לשפר את החדשנות ולסייע לענף הבנקאות להסתגל לטכנולוגיות חדשות. PSD2 היא עדות לחשיבות ההולכת וגוברת של API במגזרים פיננסיים שונים.
בראי ההוראה, בנקים פותחים את שירותי התשלום שלהם בפני חברות אחרות כדוגמת ספקי שירותי תשלומי צד ג' (Third Party Payment Services Providers (TPPs. ההוראה מסדירה שני סוגים של שירותים: PIS ו-AIS (שירותי חניכת תשלום ושירותי מידע על חשבונות בהתאמה).
שירות ה-AIS כולל איסוף ואחסון של מידע מחשבונות בנק שונים של לקוח במקום אחד, ומאפשר ללקוח לקבל מבט כללי על מצבו הפיננסי ולנתח בקלות את הוצאותיו וצרכיו. בשירות PIS ספקים מקלים את השימוש בבנקאות מקוונת במטרה לבצע תשלומים באופן מקוון.
הפיתוח העיקרי ב-PSD2 הינו הצגת דרישות אבטחה חדשות – אימות לקוחות חזק (Strong Customer Authentication). במישור היישומי, דרישות האבטחה קובעות לעשות שימוש בשני גורמי אימות עבור פעולות בנקאיות כדוגמת תשלומים וגישה לחשבונות באופן מקוון או באמצעות אפליקציות וכן הגדרה מחמירה יותר של מה שנחשב לגורם אימות.
"קבוצת ברלין" המורכבת מגופים פיננסיים מסורתיים וחדשניים אחראית על פרסום מסגרת העבודה ליישום אפקטיבי ומאובטח של יישומי API כחלק מיישום תקנות ה PSD2 באירופה. מסגרת העבודה המוגדרת כ NextGenPSD2 מהווה את הבסיס להוראות בנק ישראל בנושא יישום בנקאות פתוחה נב"ת 368 תוך ביצוע ההתאמות למערכת הפיננסית בישראל.
מסגרת העבודה שפורסמה על ידי קבוצת ברלין מציעה תשתית השמה דגש על יעילות, אבטחת המידע, אימות והרשאת לקוח. מסגרת העבודה נסמכת גם על תקני אבטחת מידע מתקדמים כגון – ISO20022.
יישום החוק אתגרים טכנולוגיים
בכדי להבטיח תהליך אימות מוצלח, על הבנקים לפתח או לאתר כלים המאפשרים לשלב את דרישות הגנת המידע במערכות הקיימות, להבטיח קווי הגנה חזקים בהגנה על חשאיות המידע ונתוני הלקוח ולוודא כי איסוף הנתונים אכן מוצדק.
כאשר חולקים נתונים אישיים של לקוחות, השמירה על פרטיותם חשובה למוסדות הפיננסיים, לרגולטורים וכמובן ללקוחות עצמם. אחד האתגרים הוא לספק הבנה ברורה ללקוחות כיצד הנתונים האישיים נשמרים ומאובטחים.
מתוך הכרה בחשיבות אבטחת המידע עבור כלל הלקוחות והשחקנים הפיננסיים, בנק ישראל פועל בימים אלו ליישום מדיניות וגיבוש סטנדרט אחיד. סטנדרט זה מסדיר את ההגנה על המידע של הלקוחות ואת ניהול הסיכונים שעל התאגידים הבנקאיים לבצע.
יישום תקן מאבטח לעסקאות בכרטיסי אשראי בכל בית עסק (תקן EMV) – בהתאם למתווה שפורסם ע"י בנק ישראל, תוך מספר שנים יחויבו כל בתי העסק בישראל לעבור לתשתית התשלום המאובטחת בתקן EMV – – שבב חכם שמחליף את הפס המגנטי, כאשר הסליקה מתבצעת על ידי קריאת השבב והזנת קוד סודי בלבד. הטמעת התקן הנפוץ כיום ברחבי העולם תאפשר כניסה של טכנולוגיות תשלום מתקדמות ושל שחקנים נוספים, מקומיים וגלובליים, ותרחיב את מגוון האפשרויות של בתי העסק והצרכנים, וכן תאיץ את הטמעת הארנקים האלקטרוניים וביצוע תשלומים ללא מגע.
לסיכום
יישום החוק והנגזרות הטכנולוגיות במערכת הפיננסית ובקרב בתי העסק יאפשר להרחיב את הנגישות של הלקוחות לפלטפורמות פיננסיות חדשניות אשר יביאו בעתיד לתחרות מוגברת בתחום הפיננסי.