6493 sayılı kanunun da dayanağını oluşturan Avrupa Ödeme Hizmetleri Direktifi’nin, 2017 sonuna kadar üye ülke mevzuatlarına aktarılması gerekiyor. İlgili direktif, suiistimallere yol açan istisnaların daraltılmasından ödeme hesaplarına erişim ve rekabete, ödemelerin daha güvenli hale getirilmesinden masraflar ve sorumluluğa birçok konuda radikal yenilikler içeriyor…
Amerika’da yüksek lisans yaparken ilk derslerden birinde, Amerikalı kerli ferli bir hoca “Artık sadece blue jean ve rock müziği değil, hukuk da ihraç ediyoruz” demişti. Gerçekten de günümüzde hukuk evrimleşerek gelişiyor ve ülkelere ihraç ediliyor. Özellikle Avrupa Birliği uyum yasalarıyla bu durumu hepimiz kah günlük yaşamda kah iş hayatında tecrübe ediyoruz.
Tüketicilerin Avrupa Birliği iç pazarında ödemelerini basit, etkin ve güvenli bir şekilde yapabilmesi ve bunun ortak düzenleyici bir çerçeveye oturtulması maksadıyla, Avrupa Parlamentosu ve Avrupa Birliği Konseyi’nin kabulüyle 2007/64/EC sayılı Ödeme Hizmetleri Direktifi (2007/64/EC Payment Systems Directive), 25 Aralık 2007 tarihinde yürürlüğe girdi. Böylece ödeme hizmetlerine ilişkin Avrupa Birliği ulusal kuralları yürürlükten kalkmış oldu.
Türkiye’de 20 Haziran 2013’te kabul edilen ve 27 Haziran 2015 itibarıyla yürürlüğe giren “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Kanunu”nun da dayanağını oluşturan bu direktif, genel anlamda ödeme hizmetlerine ilişkin esasları ve ödeme hizmetlerinin kullanımına ilişkin hak ve yükümlülükleri düzenliyor. Direktif ve Türkiye’de yürürlüğe giren mevzuat, bazı istinai haller ve düzenlemeler içerdiğinden ödeme hizmeti sağlayıcıları tarafından farklı yorumlanabiliyor. Bu da ödeme hizmeti sağlayıcıları arasında bazı hallerde soru işaretleri oluşturabiliyor.
Nitekim Avrupa Komisyonu da mevcut kuralların uygulanması sürecinde üye devletlerle yaptığı görüşmeler sonrasında direktifin açık ve yetersiz kaldığı hususları tespit etti; ödeme hizmetlerinin güvenli, etkin, rekabetçi ve yenilikçi bir ortamda yapılmasının önemine değinerek 24 Temmuz 2013 tarihinde direktifin revizyonunu öngören bir reform paketi teklifinde bulundu.
Avrupa Parlamentosu üyeleri ve Avrupa Birliği içerisinde yer alan 28 farklı hükümetin bakanlarından oluşan konsey yetkilileri, Avrupa Komisyonu’nun oluşturduğu ilk tekliften oldukça farklı düzenlemeler içeren iki farklı metin üzerinde mutabık kaldı. Parlamento, konsey ve komisyonun Ödeme Hizmetleri Direktifi tadil metni (PSD2) üzerindeki üçlü görüşmeleri sonucunda kabul edilecek metnin, 2017 yılı sonuna kadar her bir üye devletin ulusal mevzuatına aktarımı hedefleniyor. Yayınlanması itibarıyla yürürlüğe giren, PSD2’nin beraberinde gelecek masraf ve ücretlere ilişkin ikincil düzenleme (yönetmelik) içinse 22 aylık bir aktarım süreci öngörülüyor.
PSD2 ve yönetmelik, genel anlamda istisnai halleri azaltmak, kapsamı genişletmek ve inovasyona uyum sağlamak üzere gündeme getirildi. Gelişmiş bir güvenlik mekanizması kurularak kimlik doğrulamasından geçilmesi suretiyle tüketicinin, online ödemelerde dolandırıcılık, olası kötüye kullanım ve çeşitli ödeme vakalarına karşı korunmasına, diğer bir deyişle işlem güvenliğinin artırılmasına; düzenleyici bir çerçeve oluşturularak yeni oyuncuların pazara girmesi sağlanarak rekabetin artırılmasına, ödeme hesaplarına erişime yönelik düzenlemeler içeriyor.
Nihai PSD2 metninde yer alması beklenen bazı ana düzenlemeler şöyle:
Kapsamı daralan istisnalar
* Bilindiği gibi mevzuatta, ödeme hizmeti sunduğu halde kanun kapsamının dışına çıkılabildiği istisna haller de düzenleniyor. Mağaza kartı, üyelik kartları, yemek kartları gibi “sınırlı bir ağ istisnası”ndan yararlanan ödeme hizmeti sağlayıcısı, sadece spesifik bir ihtiyacı karşılaması ve aylık tutarın da 1 milyon Euro’yu geçmesi halinde regülatörden (düzenleyici kurum) istisna talep etmek zorunda kalacak.
* Avrupa Komisyonu, ticari temsilci tarafından yapılan ödeme istisnasının suiistimal edildiğine karar verdi ve bundan sonrası için sadece gönderen ya da alıcı adına hareket eden ticari temsilcinin bu istisnadan yararlanabilmesine olanak sağlama niyetinde. Yine bilindiği gibi çoğu e-ticaret platformu, hem gönderen hem de alıcı adına ticari temsilci olarak hareket ediyor.
* ATM hizmeti sunan ve bunun için müşterilerden ücret alan bağımsız operatörler için de istisna kapsamı dışına alınıyor.
* Elektronik haberleşme ağları ya da GSM şirketleri tarafından sunulan dijital içerikli ödemler için öngörülen istisnalar düşük bedelli ödemeler (tek olarak 50 Euro’dan ve aylık bazda 200 Euro’dan az işlemler) istisna içinde değerlendiriliyor.
* Bazı güvenlik ve bilgi verme yükümlülükleri sadece Avrupa Birliği (AB) ülkeleri içinde yapılan işlemlerde değil, alıcı ya da gönderenin AB dışında bir ülkede olması halinde de uygulanabiliyor. Bu hükümle paralel olarak Euro dışında bir para birimiyle işlem yapılması halinde de bazı güvenlik ve bilgi verme yükümlülükleri gündeme gelecek.
Ödeme hesaplarına erişim ve rekabet
* Online hesap kullananlar, yetkilendirilmiş bir üçüncü kişi tarafından sağlanan ödeme yazılımı veya aracını kullanarak, ödemelerini kendi adına sağlayıcı aracılığıyla ve farklı ülkelerden yapabilecek. Söz konusu hesap bilgi hizmetleri yazılımıyla müşteri, farklı ödeme hesaplarını konsolide şekilde görüntüleyebilecek. * Hizmet sağlayıcıları birden fazla ülkede mevcut ödeme çözümleri sunabilecek, bu sayede ödeme sağlayıcılığına ilişkin masraf ve ücretlerde düşüş söz konusu olacak. * Hizmette rekabetin artmasıyla kullanıcılar kendi ihtiyaçlarına daha uygun hizmet veren ödeme araçlarını ve sağlayıcılarını tercih edecek.
* Online hesap hizmeti sunan banka veya kredi kuruluşu, müşterinin açık rızası alınmış olması kaydıyla, müşterilerin hesap bilgilerini, üçüncü kişi ödeme hizmeti sağlayıcılarının erişimine açık hale getirecek. Bu sayede, müşteri adına üçüncü kişi ödeme hizmeti sağlayıcısı tarafından yapılan ödemeler, doğrudan müşteri tarafından yapılan ödemelerden farklı bir muameleye (ek masraf uygulanması, öncelik verilmemesi gibi) tabi tutulamayacak.
* Banka veya kredi kuruluşu, yalnızca objektif gerekçeler ve ispat edilebilir nitelikte güvenlik sebepleri (yetkisiz erişim, kötüye kullanım gibi) söz konusu olması halinde (bu gerekçe ve güvenlik sebepleri banka tarafından düzenleyici kuruma raporlanacak), üçüncü kişi sağlayıcıların ilgili ödeme hesabına erişimini engelleyebilecek. Bu koruma, banka ve kredi kuruluşlarının, üçüncü kişilerin hesap bilgi erişimini engelleyici kısıtlamalar koymasının önüne geçmek amacıyla getirildi.
Ödemelerin daha güvenli hale getirilmesi
* Ödeme hizmeti sağlayıcıları, müşterileri için güvenlik doğrulaması temin etmek ve kötüye kullanım riskini en aza indirmek için çeşitli teknolojiler kullanmak zorunda olacak.
* Ödeme hizmeti sağlayıcıları, müşterinin kişisel verilerinin güvenli kanallar aracılığıyla iletilmesini, bu verilerin mümkün olan en az seviyede ve yalnızca kullanıcıların rızasıyla paylaşılmasını sağlayacak.
* Operasyonel ve güvenlik riskleri ile bunlara karşı alınan önlemler, ödeme hizmeti sağlayıcıları tarafından yıllık bazda değerlendirilecek.
Masraflar
* Komisyonun hazırladığı ilk teklif metnine göre, gerek ödeme yapan kimse gerekse alıcı, ödeme hizmeti sağlayıcıdan işlemlere uygulanacak masraflara ilişkin bilgi edinme hakkına sahip olacak.
* Ödeme hizmeti kullanıcılarının, ödeme işleme konulmadan önce, ödemelere uygulanacak masraflara ilişkin bilgi ve döküm talep edebileceği yönünde bir düzenlemeye de yer verilmesi bekleniyor.
* Her bir işlem öncesi imza edilecek çerçeve sözleşme altında, ilgili işlem için öngörülen maksimum tamamlanma süresi ve ödenecek masraflar açık bir şekilde belirtilecek.
* Aynı şekilde alıcıların karşı karşıya kalacağı masraf ve varsa faizler de imzalanacak bir çerçeve sözleşme altında alıcılara bildirilecek.
Konsey, masraflara ilişkin işlem öncesi ve sonrası bilgi verilmesi konusunda komisyonun teklifini uygun buldu. Parlamento da ödenmesi muhtemel tüm masrafların detaylarının kullanıcılara bildirilmesi yönünde görüş verdi.
Sorumluluk
* Hatalı, geç veya yetkisiz yapılan ödemelerden sorumluluğa ilişkin düzenlemeler getirilecek. Avrupa Komisyonu, herkesin kendi payına düşen kısımdan sorumlu olacağı şekilde, sorumluluğun, ödeme yapan kimsenin talimatları doğrultusunda hareket eden ödeme hizmeti sağlayıcısı ve ödemeyi alacak kimsenin adına hareket edenler arasında paylaşılması eğiliminde. Komisyon görüşüne göre, üçüncü kişi ödeme hizmetlerinin kullanılması halinde, bu üçüncü kişi sağlayıcılar ödemenin doğru bir biçimde gerçekleştirilmesinden; hesap hizmeti sunan banka ve kredi kuruluşu ödemenin doğru bir biçimde alıcıya aktarılmasından; kötü niyet veya ağır ihmal sonucu yetkisiz bir ödeme yapılmasından ise kullanıcı sorumlu olacak. Kullanıcılar için geçerli olacak bu ağır ihmal halleri kurum tarafından belirlenecek.
* Avrupa Parlamentosu üyeleri ise üçüncü kişi ödeme hizmetlerinin kullanılması halinde, üçüncü kişi sağlayıcıların, ilgili ödemenin alıcının hesabına girmesine kadarki zincirden sorumlu olması gerektiği görüşünde. Avrupa Parlamentosu üyeleri, bu husus haricinde Avrupa Komisyonu teklifinde yer alan sorumluluğa ilişkin diğer tüm hususlarda (ufak bazı değişiklikler yapılması kaydıyla) aynı görüşte.
* Ödeme hizmeti sağlayıcıları, mobil cihaz gibi bir ödeme aracının kötüye kullanılması veya kaybından kaynaklandığı takdirde, ödeme yapan kimse adına işlenen düşük değerde yetkisiz ödemeleri iade etmeyecek. Ayrıca, ödeme aracının kaybı, çalınması veya kötüye kullanımından doğan yetkisiz ödemeler ve ödeme yapan kimsenin bunu ödeme öncesinde tespit edemiyor olması halinde, ödeme yapan kimse, herhangi bir ödeme yapmayacak.
* Avrupa Parlamentosu’nun görüşüne göre, Avrupa Birliği ülkeleri, ödeme yapan kimse tarafından önceden tespit edilir nitelikte olsa dahi (örneğin ödeme aracı veya hesabı şifre korumalı ise) bazı durumlarda kullanıcıların sorumluluğunu kısıtlayan kurallar getirebilecek.
Yukarıda bahsedilen düzenlemelerin, henüz lisanslama süreci devam eden Türkiye’de yakın zamanda gündeme geleceğini, BDDK’nın ve sektörün nasıl bir reaksiyon vereceğini hep birlikte gözlemleyeceğiz.