רשות ניירות ערך ("הרשות") פרסמה הוראה חדשה שתאפשר העברת מידע פיננסי וביצוע מהיר של שירותי תשלום (באמצעות יזום תשלומים) על ידי חברות תשלומים, ותגביר משמעותית את התחרות בשוק. ההוראה קובעת כיצד על חברות תשלומים ליישם את תקן הבנקאות הפתוחה בנוגע להעברת מידע פיננסי ולמתן שירותי תשלום שמקורם ביזום תשלומים, וזאת בהתאם לחוק שירות מידע פיננסי, תשפ"ב-2021 ולחוק הסדרת העיסוק בשירותי תשלום וייזום תשלום, תשפ"ג-2023 ("ההוראה").
ההוראה מחייבת חברות תשלומים לאפשר לגופים פיננסיים ובעלי רישוי מתאים לגשת למידע ולחשבונות של הלקוח, באישורו, וזאת בנוגע לשני השירותים הבאים: שירות מידע פיננסי, כלומר לאפשר לנותני שירות מידע פיננסי לקבל את המידע הפיננסי של הלקוח; ושירות ייזום תשלומים, כלומר לאפשר ליוזמי תשלומים בסיסיים לבצע הזנה של הוראות תשלום בחשבון הלקוח (לרבות העברות, העברות מתמשכות (הוראות קבע) והרשאות לחיוב), בכפוף לאישורו. היישום נעשה לפי תקן טכנולוגי אחיד, תקן קבוצת ברלין (Berlin Group), שאותו אימץ גם בנק ישראל, כך שכלל הגופים בשוק פועלים באותו סטנדרט.
מועדי תחילה
זהו ההיבט המורכב ביותר בהוראה. ככלל, המועד שבו החובה נכנסת לתוקף תלוי בסוג השירות:
שיתוף מידע פיננסי (בתפקיד מקור מידע): מ-1 ביוני 2026.
שירות ייזום תשלומים בסיסי (בתפקיד מנהל חשבון תשלום): מ-6 ביוני 2026.
שירות ייזום תשלומים מתקדם: מ-6 בדצמבר 2026 (בכפוף ליישום ייזום מתקדם על ידי בנק ישראל).
ההוראה עצמה נכנסת לתוקף שבוע לאחר פרסומה ברשומות.
יחד עם זאת, נקבעו חריגים חשובים:
פטור לגופים חדשים: חברה שלא הייתה קודם לכן מקור מידע או מנהל חשבון תשלום, ונכנסת לתפקיד זה לראשונה, פטורה מהחובה בשלוש השנים הראשונות; חברה שכבר חלה עליה החובה והתווסף לה תפקיד נוסף פטורה לשנה נוספת לגבי המידע הנוסף בלבד.
פטור לפי היקף פעילות: חברה בעלת היקף פעילות קטן רשאית לבקש פטור פרטני משר האוצר.
מה ההוראה דורשת בפועל
ההוראה מסדירה מגוון רחב של חובות, ובהן:
חובת מתן גישה: לאפשר גישה רק לגוף שמזדהה באמצעות אישור דיגיטלי מתאים ותקף (סרטיפיקט) ובהתאם לתקן, ללא צורך בחוזה בין הצדדים ובאופן שווה לכל הגופים.
חובת העברת המידע: להעביר את המידע בהיקף ובעדכניות שאינם נופלים ממה שהלקוח רואה בערוצים הדיגיטליים של החברה, לרבות מידע על תנועות לשנה אחורה לפחות, ועדכון כמעט בזמן אמת (עד 30 שניות פיגור).
יישום התקן האחיד: לרבות חלוקת השירותים לרכיבים מנדטוריים, מותנים ואופציונליים, ויישום הגרסה המעודכנת של התקן.
ממשל תאגידי: מעורבות הדירקטוריון באישור מדיניות, פיקוח ובקרה, והקצאת משאבים לניהול הסיכונים.
רמת שירות: יעדי זמינות, זמני תגובה וזמני טיפול בתקלות לפי דרגות חומרה.
אבטחת מידע וסייבר: תקשורת מאובטחת, הזדהות באמצעות סרטיפיקטים, וניטור ובקרה שוטפים.
חובות דיווח לרשות: במקרים של מניעת גישה ושל תקלות משביתות שירות.
סביבת ניסוי (Sandbox): ההוראה קובעת חובה על החברה להקים סביבת ניסוי (Sandbox) שתאפשר לגופים המתחברים לבחון את מערכותיהם ומוכנותן לפני החיבור בפועל, לרבות קבלת היזון חוזר על שגיאות. על החברה להנגיש בסביבה לא רק את הגרסה התקפה אלא גם גרסאות עתידיות, לפחות חודש לפני יישומן בייצור, וכן להקים פורטל מפתחים פומבי שירכז את המידע הטכני ומדיניות השירות הנדרשים לחיבור.
המלצתנו: להיערך מבעוד מועד
לאור מורכבות מועדי התחילה, אנו ממליצים לכל חברה לבחון את התמונה הפרטנית שחלה עליה: האם היא זכאית לפטור (כחברה חדשה או בעלת היקף פעילות קטן), היכן הפערים מול דרישות התקן, וכיצד נכון להיערך מבחינה טכנולוגית, ארגונית ואבטחתית. היערכות מוקדמת תאפשר לנצל את תקופות המעבר והפטורים, ולהימנע מלחץ סמוך למועדי החובה.
צוות הרגולציה הפיננסית במשרדנו מלווה חברות תשלומים וגופים פיננסיים בהיערכות לדרישות אלו, ונשמח לעמוד לרשותכם בכל שאלה.
