Innowacje, bezpieczeństwo i ochrona konsumentów – kluczowe motywy zmian w regulacjach sektora finansowego

• Rozporządzenie w sprawie usług płatniczych (PSR) [2]

Rozporządzenie PSR uzupełni przepisy Dyrektywy PSD3, wprowadzając szczegółowe regulacje dotyczące kwestii operacyjnych i technicznych, a także dostępu do usług płatniczych. Ponadto, wprowadzone zostaną nowe zasady dotyczące dostępu do informacji o rachunkach.

• Rozporządzenie w sprawie otwartego dostępu do danych bankowych – Open Banking (FIDA) [3]

Rozporządzenie FIDA także będzie miało charakter uzupełniający względem Dyrektywy PSD3. Wprowadzi nowe zasady dotyczące udostępniania danych bankowych klientów stronom trzecim, a kluczowe zmiany obejmą następujące obszary:

1. Zgoda klienta: Udostępnianie danych będzie opierało się na wyraźnej zgodzie klienta. Klient będzie mógł złożyć wniosek o udostępnienie swoich danych innym użytkownikom, co nałoży na posiadacza tych danych prawny obowiązek ich udostępnienia podmiotowi trzeciemu.
2. Zakres danych: Udostępniane będą informacje dotyczące oszczędności, inwestycji oraz pozostałe dane finansowe, co może znacząco usprawnić doradztwo inwestycyjne i rozwój spersonalizowanych narzędzi zarządzania finansami.
3. Cel przetwarzania danych: Dane będą przetwarzane tylko do celów, na które klient wyrazi zgodę. Przetwarzanie do celów reklamowych będzie ograniczone wyłącznie do marketingu bezpośredniego zgodnie z prawem unijnym i krajowym.
4. Uczestnictwo w systemie udostępniania danych finansowych: W ciągu 18 miesięcy od wejścia w życie Rozporządzenia FIDA posiadacze danych i użytkownicy danych będą musieli wstąpić do systemu udostępniania danych finansowych regulującego dostęp do danych klienta.

Projektowany pakiet PSD3 ma na celu podniesienie poziomu bezpieczeństwa dla uczestników rynku płatniczego oraz umożliwienie dostępu do rynku nowym podmiotom, co może przyczynić się do jego dalszej liberalizacji i innowacyjności. Pojawia się zatem pytanie o przyszły kształt rynku w kontekście tych zmian. Obecnie trudno jest jednoznacznie przewidzieć finalne konsekwencje, gdyż prace nad pakietem PSD3 są w toku i nie został jeszcze ustalony ostateczny kształt przepisów. Oczekuje się, że finalna wersja nowych regulacji zostanie przedstawiona do końca tego roku, a ich implementacja może nastąpić do roku 2026. Będziemy monitorować postępy w pracach legislacyjnych oraz informować o aktualnym stanie projektu.

Nowa Dyrektywa o kredycie konsumenckim (CCD2)

Kolejnym istotnym obszarem skupiającym szczególną uwagę regulatorów jest ochrona praw konsumentów. W tym zakresie Unia Europejska zaktualizowała przepisy dotyczące kredytu konsumenckiego, uchwalając tzw. Nową Dyrektywę o kredycie konsumenckim (CCD2) [4]. Dyrektywa CCD2 ustanawia nowe ramy prawne dla umów o kredyt konsumencki, dostosowując je do realiów współczesnej transformacji cyfrowej. Wprowadzone zmiany mają na celu wzmocnienie ochrony kredytobiorców i obejmują w szczególności:

1. Rozszerzony zakres stosowania: Dotychczasowe przepisy mają zastosowanie jedynie do umów kredytowych nieprzekraczających kwoty 75 000 euro. Dyrektywa CCD2 podnosi ten próg do 100 000 euro. Ponadto, nowe regulacje będą stosowane także do innych form finansowania, w szczególności umów leasingu finansowego, usług typu „kup teraz, zapłać później” (ang. buy now, pay later) oraz działań crowdfundingowych.
2. Czytelne informacje przedkontraktowe: Podobnie jak dotychczas, kredytodawcy będą zobowiązani przedstawiać konsumentom kluczowe informacje dotyczące kredytu, takie jak wysokość stopy procentowej kredytu, dodatkowe koszty, wysokość RRSO itp. Nowe przepisy wymagają jednak, aby informacje te były przekazywane przy użyciu „Standardowego europejskiego arkusza informacyjnego dotyczącego kredytu konsumenckiego” (którego wzór stanowi załącznik do Dyrektywy CCD2) w sposób jasny, wyraźnie czytelny i dostosowany do ograniczeń technicznych określonych nośników. Co do zasady, kluczowe elementy kredytu powinny zostać przedstawione w taki sposób, aby konsumenci byli w stanie od razu dostrzec wszystkie istotne informacje, nawet na ekranie telefonu komórkowego. Wprowadzenie takiej standaryzacji oceniamy pozytywnie. Jeżeli regulacje unijne zostaną odpowiednio implementowane do prawa krajowego przez polskiego ustawodawcę, wdrożenie takiego rozwiązania wzmocni zarówno ochronę konsumentów, jak również wpłynie na zwiększeni zaufania do instytucji finansowych.
3. Dokładne badanie zdolności kredytowej: W przeciwieństwie do dotychczasowych regulacji, przepisy Dyrektywy CCD2 określają szczegółowe wytyczne w zakresie podejścia do przeprowadzania oceny zdolności kredytowej. Wskazano, że co do zasady kredyt może zostać udzielony konsumentowi wyłącznie, gdy wynik takiej oceny jest pozytywny (wyjątki stanowią na przykład kredyty zaciągnięte na wydatki na opiekę zdrowotną lub finansowanie nauki). Dodatkowo, gdy ocena zdolności kredytowej obejmuje wykorzystanie zautomatyzowanego przetwarzania danych osobowych, konsument będzie miał prawo zażądania i uzyskania od kredytodawcy interwencji człowieka. Jednym z podstawowych celów wprowadzanych zmian jest zapobieganie praktykom nieodpowiedzialnego udzielania kredytów i nadmiernemu zadłużeniu, przy jednoczesnym utrzymaniu komfortu kredytobiorców w zakresie stosowania rozwiązań technologicznych. Opisywane rozwiązania zwiększają ochronę konsumentów, a w dłużej perspektywie umocnią także stabilność rynku finansowego, stąd w konsekwencji kierunkowo należy ocenić je jako korzystne.
4. Wytyczne w zakresie reklamy: Nowe regulacje wskazują, że reklamy dotyczące umów o kredyt powinny zawierać jasne i wyraźne ostrzeżenie uświadamiające konsumenta, że zaciąganie pożyczek kosztuje. W tym celu kredytodawcy w reklamach powinni używać sformułowania „Uwaga! Zaciąganie pożyczek kosztuje” lub innego, równoważnego hasła. Dodatkowo, wprowadzono zakaz stosowania praktyk, które mogą skłonić konsumentów do zawierania umów kredytowych niezgodnych z ich najlepszym interesem. Kredytodawcom i pośrednikom kredytowym ograniczono możliwość stosowania opcji domyślnych, takich jak odgórne zaznaczanie pól wyboru, sugerujących zgodę konsumenta na zawarcie jakiejkolwiek umowy kredytowej lub zakup usług dodatkowych. Zgoda konsumenta na zawarcie umowy o kredyt lub zakup usług dodatkowych musi zostać wyrażona w sposób dobrowolny, konkretny, świadomy i jednoznaczny. W naszej ocenie, doprecyzowanie regulacji związanych ze sposobem reklamowania produktów kredytowych stanowi dobry krok w kierunku ustandaryzowania rynku i wyeliminowania uczestnictwa w nim podmiotów stosujących nieuczciwe praktyki, których działania stanowią przyczyną niskiego zaufania i negatywnego odbioru całości sektora przez część konsumentów.

Dyrektywa CCD2 ma na celu ujednolicenie pewnych obszarów prawnych regulujących działalność podmiotów udzielających kredytów konsumenckich, ze szczególnym uwzględnieniem regulacji dotyczących obowiązków informacyjnych na poszczególnych etapach procesu kredytowego, w tym również na etapie przedsprzedaży (reklama). W naszej ocenie nadchodzące zmiany należy oceniać pozytywnie i postrzegać jako istotne dla polskiego rynku, gdzie konsumenci często decydują się na dochodzenie swoich praw poprzez kwestionowanie zapisów umów w sądach. Oczywiście, ostateczny kształt przepisów będzie uzależniony od sposobu implementacji regulacji unijnych przez krajowego ustawodawcę. Polska jest zobowiązana wdrożyć Dyrektywę CCD2 do 20 listopada 2025 roku, a nowe przepisy mają obowiązywać od 20 listopada 2026 roku. Co prawda prace projektowe nad wdrożeniem jeszcze się nie rozpoczęły. Zapraszamy do śledzenia naszych stron, na których będziemy informować Państwa na bieżąco o podejmowanych inicjatywach legislacyjnych w tym zakresie.

Nowelizacja Rekomendacji G

Na gruncie krajowym istotna zmiana wynika z uchwalonej w lutym 2024 roku przez Komisję Nadzoru Finansowego (KNF) nowelizacji Rekomendacji G [5] określającej zasady zarządzania ryzykiem stopy procentowej w bankach. Odświeżenie wytycznych organu nadzoru wynika ze zmian wprowadzonych do powszechnie obowiązujących przepisów prawa i wytycznych (m.in. Wytyczne EBA określające kryteria identyfikacji i oceny ryzyka wynikającego z potencjalnych zmian stóp procentowych oraz zarządzania tym ryzykiem i jego ograniczania, a także oceny i monitorowania ryzyka spreadu kredytowego wynikającego z działalności w ramach portfela bankowego instytucji [6], Rozporządzenie w sprawie kryteriów i sposobu przeprowadzania badania i oceny nadzorczej w bankach [7], Rozporządzenie w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach [8]), a także bieżącej sytuacji rynkowej.

Znowelizowana Rekomendacja G stanowi zestaw dobrych praktyk dedykowanych dla sektora bankowego, które odnoszą się do zarządzania ryzykiem stopy procentowej oraz utrzymania wyniku finansowego (w tym określonych kowenantów) na poziomie niezagrażającym bezpieczeństwu banku. W wydanej rekomendacji KNF uwzględniła aktualne uwarunkowania w zakresie produktów generujących takie ryzyko oraz technik odpowiedniego zarządzania nim.

W porównaniu z dotychczasową wersją rekomendacji obowiązującą od 2002 roku, nowelizacja obejmuje szerszy zakres rekomendacji oraz ich większą szczegółowość. Rozszerzono liczbę rekomendacji z 9 do 15 szczegółowych wytycznych. Zmiany dotyczą między innymi następujących obszarów:

1. Wymogi dotyczące kapitałów wewnętrznych: Nowe wytyczne nakładają na banki obowiązek bardziej szczegółowego szacowania kapitałów wewnętrznych, aby lepiej zabezpieczyć się przed ryzykiem wynikającym ze zmian stóp procentowych. Sprecyzowano między innymi rodzaje ryzyk, jakie należy ująć dokonując alokacji kapitału wewnętrznego na ryzyko stopy procentowej, a także wprost określono, że zasady te powinny zostać określone w polityce zarządzania ryzykiem stopy procentowej w banku. Doprecyzowano również, że przy podejmowaniu decyzji dotyczących alokacji kapitału wewnętrznego, organy zarządcze powinny brać pod uwagę wyniki wewnętrznych scenariuszy warunków skrajnych oraz scenariuszy szokowych.
2. Monitorowanie ryzyka: W znowelizowanym dokumencie rekomendacje dotyczące monitorowania i raportowania zostały ujęte w odrębnej sekcji. Wprost nałożono na banki obowiązek posiadania systemu monitorowania ryzyka stopy procentowej, który umożliwi uzyskanie szybkiej informacji zarządczej i nadzorczej oraz szybką reakcję banku na zaistniałe zagrożenia. Doprecyzowano, że banki powinny monitorować zmiany makroekonomiczne i inne istotne czynniki, które mogą mieć wpływ na poziom ryzyka stóp procentowych, a także zapewnić odpowiedni przepływ informacji pomiędzy komórką banku odpowiedzialną za pomiar ryzyka stopy procentowej a innymi komórkami banku.
3. Raportowanie w zakresie ryzyka: Nowe wytyczne wskazują wprost, że raporty dotyczące ryzyka stopy procentowej powinny zawierać odpowiedni zakres informacji dla danego poziomy zarządzania (inny dla rady nadzorczej, zarządu banku itp.) i dla konkretnej sytuacji banku oraz otoczenia gospodarczego. Ponadto, przekazywane dane powinny być odpowiednio zagregowane (według poziomu konsolidacji i waluty) oraz podlegać regularnej weryfikacji.

Banki powinny dostosować swoją działalność do zaktualizowanych wytycznych KNF do 31 grudnia 2024 roku. W tym celu powinny podjąć kilka podstawowych kroków, obejmujących przede wszystkim: (1) aktualizację polityk wewnętrznych - w celu dostosowania do nowych wytycznych, (2) przegląd i ewentualną aktualizację stosowanych narzędzi i systemów informatycznych - w szczególności w zakresie monitorowania oraz raportowania, a także (3) przeprowadzenie szkoleń dla pracowników - w celu odpowiedniego przełożenia zaktualizowanych regulacji wewnętrznych na faktyczną bieżącą działalność komórek banku.

Nowe technologie pod lupą: Akt o sztucznej inteligencji (AI Act) oraz DORA

Poza kwestiami stricte regulacyjnymi, o których piszemy powyżej, w dobie rozwoju nowych technologii, Unia Europejska podjęła również działania zamierzające do uregulowania zastosowania sztucznej inteligencji (AI Act [9]) oraz bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym (DORA [10]), o których pisali eksperci z kancelarii EY Law w artykułach: „Akt o sztucznej inteligencji – podstawowe założenia” w ramach ubiegłego Tygodnia Prawa Nowych Technologii i AI oraz „Rozporządzenie DORA – wymagania z perspektywy dostawców ICT. Co to jest Digital Operational Resilience Act?”

Podstawowym celem AI Act, który wszedł w życie 1 sierpnia 2024 roku, jest harmonizacja unijnego rynku wewnętrznego w zakresie rozwoju i użytkowania systemów opartych o sztuczną inteligencję. Nowa regulacja ma promować sztuczną inteligencję godną zaufania i ukierunkowaną na człowieka, w konsekwencji stymulując innowacje i zatrudnienie w państwach członkowskich.

Z kolei Rozporządzenie dotyczące cyfrowej odporności operacyjnej (ang. Digital Operational Resilience Act – DORA) ma na celu wprowadzenie zharmonizowanych i wysokich standardów ICT (ang. Information and Communication Technologies) w sektorze finansowym. Nowa regulacja ustala więc jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT dla tego sektora. Adresaci DORA mają już niecałe cztery miesiące, aby przygotować się do nowej regulacji (termin upływa 17 stycznia 2025 roku).