Open finance-forordningen (FIDA)

EU-Kommissionen offentliggjorde den 28. juni 2023 forslag til forordning "on a framework for Financial Data Access" ("FIDA-forordningen"). FIDA-forordningen bygger på erfaringerne med såkaldt "Open Banking" fra betalingstjenesteområdet, hvor kontoførende institutter (oftest pengeinstitutter) siden 2. betalingstjenestedirektiv blev implementeret i 2018 har været forpligtet til at give tredjeparter direkte IT-adgang til transaktionsdata for kundernes betalingskonti.

Med FIDA-forordningen foreslår EU-Kommissionen, at pligten til at stille kundedata til rådighed for tredjeparter udvides til at gælde for størstedelen af den finansielle sektor og dermed også for langt flere datapunkter end kun transaktionsdata fra betalingskonti. I markedet omtales dette udvidede anvendelsesområde generelt som "Open Finance", og målet med FIDA-forordningen er ifølge EU-Kommissionen at facilitere bedre og mere individualiserede finansielle tjenesteydelser til europæiske forbrugere og virksomheder.

Med den massive udvidelse af datadelingspligtens anvendelsesområde vil FIDA-forordningen væsentligt påvirke en stor del af den finansielle sektor, f.eks. fondsmæglere og andre dele af investeringsservice-sektoren, forsikrings- og pensionsselskaber, realkreditinstitutter, AIF- og UCITS-forvaltere, som ikke hidtil har været omfattet af "Open Banking"-reglerne. Også pengeinstitutterne vil opleve markante ændringer, da de fremover skal give adgang til langt flere data under FIDA-forordningen, end de begrænsede transaktionsdata vedrørende betalingskonti der er krav om i dag under "Open Banking"-reglerne.

Samtidig med, at FIDA-forordningen bygger på erfaringerne fra 2. betalingstjenestedirektiv, rummer forordningen også betydelige brud med de eksisterende "Open Banking"-regler. Mest markant er formentlig, at det - i et vist, begrænset, omfang - bliver tilladt for dataejerne at få betaling for de data de deler, ligesom dataadgangen vil forudsætte et aftaleforhold mellem dataejere og tredjeparter gennem såkaldte "financial data sharing schemes".

Webinar om de nye open finance-regler

Plesners specialister inden for betalingstjenester og Fintech redegør nedenfor nærmere for de væsentligste punkter i FIDA-forordningen. 

På et webinar den 21. september 2023 vil vi gå endnu mere i detaljen omkring forslaget til de nye regler.

Læs mere og tilmeld dig webinaret

Anvendelsesområde

EU-Kommissionen lægger i forslaget op til, at FIDA-forordningen skal gælde stort set alle typer af finansielle virksomheder herunder pengeinstitutter, realkreditinstitutter, forsikrings- og pensionsselskaber, betalings- og e-pengeinstitutter, fondsmæglerselskaber, AIF- og UCITS-forvaltere, kreditvurderingsbureauer, udbydere af kryptoaktivtjenester og crowdfundingvirksomheder.

Ligeledes foreslås kundedata angående en meget bred vifte af finansielle produkter omfattet af reglerne:

• Lån og konti (dog ikke betalingskonti, som i stedet omfattes af "Open Banking"-reglerne) herunder oplysninger om saldo, vilkår og transaktioner,
• opsparings- og investeringsprodukter, kryptoaktiver, fast ejendom og øvrige finansielle aktiver herunder oplysninger om disses økonomiske forhold samt data indsamlet til brug for egnetheds- og hensigtsmæssighedsvurderinger,
• arbejdsmarkedspensioner og paneuropæiske personlige pensionsprodukter,
• skadesforsikringsprodukter med visse undtagelser, og
• data indsamlet som led i en låneansøgnings- eller kreditvurderingsproces til brug for kreditværdighedsvurdering af en virksomhed.

Fælles for alle disse er, at "kundedata" omfatter både oplysninger, som oprindeligt er givet af kunden selv og oplysninger, som er genereret som følge af den finansielle virksomheds interaktion med kunden.

Tredjeparter (FISP'er)

Svarende til de kontooplysningstjenesteudbydere, som allerede kendes fra "Open Banking"-reglerne etablerer FIDA-forordningen en ny kategori af regulerede tjenesteudbydere, "financial information service provider" ("FISP"). Kernen i FIDA-forordningen er, at inden for forordningens rammer er de ovennævnte finansielle institutioner forpligtede til at stille kundedata til rådighed for autoriserede FISP'er og andre finansielle virksomheder.

Danske FISP'er vil skulle have tilladelse fra Finanstilsynet efter regler, som overordnet svarer til dem, der i dag gælder for kontooplysningstjenesteudbydere. Forordningen etablerer en passporting-ordning mellem EU-landene for tilladelseshavende FISP'er, som det kendes fra resten af den finansielle regulering. Som en nyskabelse i forhold til 2. betalingstjenestedirektiv giver FIDA-forordningen imidlertid også mulighed for, at tredjelandsvirksomheder (uden for EU) kan få tilladelse som FISP, så længe de bl.a. udpeger en ansvarlig repræsentant inden for EU.

De typer finansielle virksomheder, som er forpligtet til at stille kundedata til rådighed under FIDA-forordningen har i øvrigt også ret til at tilgå andre finansielle virksomheders kundedata under forordningen uden behov for særskilt tilladelse som FISP.

Financial data sharing schemes

I et markant brud med "Open Banking"-reglerne for betalingskonti forudsætter FIDA-forordningen, at det er en betingelse for FISP'ers adgang til kundedata, at der er et forudgående aftaleforhold mellem den enkelte FISP og den pågældende finansielle virksomhed, hvorfra FISP'en rekvirerer data, ligesom den finansielle virksomhed i et vist omfang kan kræve betaling af FISP'en for at stille data til rådighed.

Forordningen forudsætter, at der udvikles såkaldte "financial data sharing schemes", som regulerer FISP'ernes og de finansielle virksomheders rettigheder og forpligtelser over for hinanden. Et sådant scheme er en aftale, der som sit primære fokus har at fastsætte detaljerede regler omkring:

• Tekniske specifikationer og fælles standarder for de API'er eller andre IT-adgange hvorigennem FISP'er og finansielle institutioner kommunikerer data,
• økonomisk kompensation fra FISP'er til finansielle virksomheder for at dele data, og
• regulering af deltagernes ansvar i tilfælde af ukorrekte eller ikke-konforme data, datasikkerhedsbrister eller misbrug af data.

Medlemmerne af et scheme skal, både for så vidt angår dataejere og databrugere, repræsentere en væsentlig andel af "markedet" for det pågældende produkt eller tjenesteydelse. Derudover skal et schemes medlemmer også inkludere relevante kunde- og forbrugerorganisationer. Forordningen stiller krav om, at finansielle virksomheder og FISP'er skal tiltræde en eller flere schemes, som dækker de data de ejer/tilgår inden for 18 måneder fra forordningens ikrafttræden.

Scheme-konceptet er et nybrud i europæisk finansiel regulering, og udmøntningen i praksis må forventes at rejse en lang række væsentlige problemstillinger. Eksempler på nogle af de mest principielle udfordringer med konceptet er:

• FIDA-forordningen identificerer ingen "ejer" af schemes eller i øvrigt hvem - tilsynsmyndigheder, brancheorganisationer eller andre - der skal drive og koordinere processen med udviklingen af schemes. Forordningen indeholder dog en "nødbremse", der, i tilfælde af, at der ikke er udviklet et scheme for en datakategori, og der ikke er nogen rimelig udsigt til at det vil ske, giver EU-Kommissionen hjemmel til at etablere et scheme gennem en delegeret forordning.
• Forudsætningen om, at virksomheder, som i dagligdagen er direkte konkurrenter i fællesskab skal aftale priser og øvrige vilkår for ydelser omfattet af et scheme herunder - via fastsættelsen af, hvilke data scheme-deltagerne skal have adgang til, og hvordan disse skal "udstilles" - give hinanden mulig indsigt i, hvilke produkter de strategisk overvejer at udvikle, må forventes at give anledning til meget betydelige konkurrenceretlige udfordringer.
• I relation til ønsket om at realisere et "level playing field" på tværs af EU samt bedre og ikke mindst billigere finansielle produkter for kunderen vil dette primært kunne realiseres, hvis markedsdeltagerne kun skal forholde sig til et ret begrænset antal forskellige schemes, der hver især dækker hele eller i hvert fald væsentlige dele af EU. I lyset af de ovennævnte udfordringer er der imidlertid en ikke uvæsentlig risiko for, at scheme-modellen fragmenterer, og at de enkelte schemes højst bliver nationale således, at markedsdeltagerne vil skulle deltage i op mod 27 forskellige schemes inden for hvert produktområde.

Den videre proces

Baseret på hvor lang tid det tog at opnå enighed om tilsvarende (om end mere omfattende) nye EU-lovgivningsinitiativer inden for området som f.eks. PSD2-direktivet og MiCA-forordningen, er der formentlig en vis risiko for, at forslaget ikke når at blive endeligt vedtaget inden valg til Europa-Parlamentet skal afholdes primo juni 2024.

I så fald skal forslaget genfremsættes, hvilket i praksis først kan ske, når det nyvalgte Europa-Parlament er trådt sammen, og der er udpeget og godkendt en ny EU-Kommission. I 2019 tog det cirka et halvt år, fra europaparlamentsvalget til den nuværende EU-Kommission var endeligt udpeget, og på den baggrund ville et konservativt estimat være, at FIDA-forordningen tidligst træder i kraft i andet halvår af 2025, hvilket ville føre til, at størstedelen af forordningens bestemmelser først vil finde anvendelse fra andet halvår af 2027.