<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

PSD2 - Hindringer for tilbydere av tredjepartstjenester (PISP og AISP)

‹ Tilbake til artikler

Nye krav til kontotilbydere som tilbyr grensesnitt til tredjepartstilbydere (PISP og AISP).
Forpliktet til å sikre at grensesnittet ikke skaper hindringer for tredjepartstilbyderne. 

Den 4. juni 2020 publiserte den europeiske banktilsynsmyndigheten (EBA) retningslinjer for hva som anses å utgjøre hindringer for tilbydere av tredjepartstjenester (EBA/OP/2020/10). Retningslinjene er utarbeidet på bakgrunn av kravene i det reviderte betalingstjenestedirektivet, og i artikkel 32 (3) i Regulatory technical standards (RTS) on strong customer authentication (SCA) and Common and secure communication (CSC). Kravene som stilles er at kontotilbydere som tilbyr grensesnitt til tredjepartstilbydere (PISP og AISP), er forpliktet til å sikre at grensesnittet ikke skaper hindringer for tredjepartstilbyderne. 

EBA klargjør en rekke spørsmål, og konkluderer med at kontotilbydere ikke kan tilby grensesnitt eller autentiseringsløsninger til tredjeparter som er dårligere og mindre effektive enn det kontotilbyder selv tilbyr kundene i egne portaler.

Bakgrunnen for retningslinjene

Bakgrunnen for retningslinjene er at markedsaktørene har reist en rekke spørsmål knyttet til kontotilbyders plikt til å tilgjengeliggjøre grensesnitt, og særlig potensielle hindringer som kan oppstå for tredjeparter som yter betalingsfullmaktstjenester (PISP) og kontoinformasjonstjenester (AISP). 

I henhold til art 31 i RTS for SCA og CSC skal kontotilbydere tilby enten et dedikert grensesnitt til tredjepartstilbydere, eller det grensesnittet kontotilbyderen selv benytter. Kontotilbydere som velger å tilby et dedikert grensesnitt skal sikre at dette grensesnittet ikke skaper hindringer for tredjepartstilbydere, både med hensyn til tilgjengeliggjøring av selve grensesnittet og autentiseringsprosessen overfor kunder. 

I forbindelse med utarbeidelse av retningslinjene har EBA tatt for seg spørsmål og klager som har kommet inn, hvor det anføres at tredjepartstilbydere støter på hindringer når de skal yte betalingstjenester og kontoinformasjonstjenester til sine kunder. I det følgende gjennomgås temaene som er reist i retningslinjer fra EBA. 

Hindringer i retningslinjer fra EBA

EBA har mottatt klage fra tredjepartstilbydere på tilfeller der den eneste metoden for å autentisere kunden er at kunden blir omdirigert til kontotilbyders nettportal/app for å gjennomføre autentisering av kunden. Klagen knytter seg særlig til at tredjepartstilbydere i slike tilfeller ikke får tilby sin egen brukeropplevelse til kunden, men at kunden i stedet sendes til kontotilbyders portal.

EBA skriver at en omdirigering til kontotilbyders portal for autentisering i utgangspunktet ikke utgjør en hindring. Dette gjelder likevel ikke dersom det er unødvendig friksjon i kundeopplevelsen når kunden bruker tredjepartstjenester, eller hvis autentiseringsprosessen hos kontotilbyder er mer tungvint/omfattende sammenlignet med tilsvarende prosess kunden går gjennom direkte hos kontotilbyder. Omdirigeringen skal heller ikke medføre at kunden må igjennom unødvendige “ekstratrinn” hos kontotilbyder, slik at autentiseringen blir mindre effektiv enn dersom kunden logger seg direkte inn via kontotilbyder. I nevnte tilfeller vil omdirigering utgjøre en hindring. 

Videre drøfter EBA om autentiseringsprosesser som tilbys fra kontotilbyder til tredjepart skal omfatte alle autentiseringsmetoder som kontotilbyder tilbyr til sine kunder, eller om det er tilstrekkelig å tilby en av disse metodene, f.eks. bank-id. Her konkluderer EBA med at kontotilbydere skal tilby alle de autentiseringsmetoder som kontotilbyder tilbyr egne kunder, inkludert f.eks. biometrisk identifisering, bank-id på mobil mv. Manglende tilgang til dette for tredjepartstilbydere, vil utgjøre en hindring. Kontotilbyder er derimot ikke forpliktet til å tilby autentiseringsmetoder som de ikke tilbyr til egne kunder i eget grensesnitt. 

Tredjepartstilbydere har rettet spørsmål til EBA om tilfeller hvor omdirigering er eneste autentiseringsmetodikk fra kontotilbyder, og hvorvidt dette er til hinder for innovative betalingsløsninger på fysiske salgssteder (f.eks. at eneste metode for betaling er bruk av bankkort). 

EBA gjentar ovennevnte utgangspunkt om at kontotilbyder ikke er forpliktet til å tilby andre autentiseringsprosesser enn de kontotilbyder tilbyr til egne kunder. EBA påpeker likevel at en PISP har rett til å initiere de samme transaksjonene som kontotilbyder tilbyr til sine egne kunder. Dette betyr at hvis en kontotilbyder skulle tilby sine kunder å utføre øyeblikkelige betalinger på salgsstedet, må kontotilbyder åpne for dette ved betaling gjennom PISP innenfor samme beløpsgrenser og på samme vilkår.

Tredjepartstilbydere reiser også spørsmål knyttet til antall autentiseringer kontotilbyder kan legge opp til i ulike scenarioer. EBA konkluderer med at det vil være et hinder å legge til flere autentiseringer enn det kontotilbyder selv gjør. Eksempelvis vil det utgjøre en hindring dersom en kunde som gjennom AISP skal få tilgang til å se betalingskontoer, må autentisere seg mer enn én gang, dersom dette ikke er tilfellet ved direkte innlogging hos kontotilbyder. 

For PISP er det tilstrekkelig med én autentisering for hver betaling kunden skal gjøre, forutsatt at PISP gir tilstrekkelig informasjon til kontotilbyder til å utføre transaksjonen. Kreves to autentiseringer (en for tilgang til kontodata og en egen for å iverksette betalingen) er dette et hinder, med mindre kontotilbyder har argumenter for at det av sikkerhetsmessige grunner er nødvendig. Eksempel på dette kan være ved mistanke om svindel.

To autentiseringer kan også være aktuelt ved en kombinert AISP/PISP-handling fra kunden. I et slikt tilfelle vurderer EBA at to autentiseringer vil være nødvendige, en for å få tilgang til betalingskontoinformasjonen i samsvar med artikkel 97 (1) (a) i PSD2, og en separat autentisering i samsvar med artikkel 97 (1) (b) for å initiere betalingen.

EBA drøfter videre om det utgjør et hinder at AISP-brukere må autentisere seg hver 90 dag, særlig i tilfeller hvor kunden samler betalingskontoer fra flere kontotilbydere og kunden må autentisere seg hos samtlige kontotilbydere hver 90 dag. Tredjeparter har i tilknytning til dette reist spørsmål om det er tilstrekkelig at kunden autentiserer seg hos kontotilbyder første gang, men at AISP selv vil fasilitere autentisering hver 90 dag. 

EBA avslår tredjepartstilbydernes ønske, og konkluderer med at det ikke utgjør et hinder at kunder må autentisere seg hos kontotilbydere hver 90 dag. EBA råder imidlertid alle kontotilbydere til å støtte unntak i RTS art 10 som gir dispensasjon fra kravet om autentisering for hver tilgang, der kunden eller AISP får tilgang til et begrenset sett med data (bare balansen og/eller betalingstransaksjoner utført i løpet av de siste 90 dagene). EBA presiserer likevel at ansvaret for autentisering av kunden ligger hos kontotilbyder, med mindre dette ansvaret er delegert til tredjepartstilbyder. 

EBA tydeliggjør videre at grensesnittsimplementeringer som krever at kunden manuelt må legge inn sine kontoopplysninger i tredjepartstilbyders domene for å kunne bruke AISP/PISP-tjenester, utgjør en hindring. 

Flere markedsaktører stilte spørsmål om hva som utgjør en "additional check on consent” i henhold til RTS artikkel 32 nr. 3, og rapporterte tilfeller der kontotilbyder tilbyr såkalt “opt-in”-funksjoner som krever at kundene deres gir en forhåndsgodkjenning til kontotilbyder for å kunne bruke tredjepartstjenestene, en praksis som tredjepartstilbydere anser som en hindring.

EBA er enig i at et generelt forhåndssamtykke utgjør et hinder. EBA presiserer at løsningen ikke skal inneholde noen prosesser som på noen måte vil gjøre det vanskeligere for kunden å bruke betalingstjenestene til andre tredjepartsleverandører, som er autoriserte eller registrerte i henhold til PSD2. 

Dette utelukker likevel ikke muligheten for kontotilbyder til å nekte en tredjepartstilbyder adgang, men dette skal i så tilfelle være objektivt begrunnet og dokumentert i årsaker knyttet til uautorisert tilgang til betalingskonto, svindel og lignende. 

Videre har tredjeparter rapportert til EBA om tilfeller der disse blir pålagt å gjennomgå flere registreringsprosesser hos kontotilbyder for å få tilgang til kontotilbyders grensesnitt, og stilt spørsmål ved om slike registreringsprosesser utgjør et hinder. 

EBA uttaler at registreringsprosesser i utgangspunktet vil være et hinder, men erkjenner likevel at noen registreringsprosesser kan være nødvendige for at kommunikasjonen mellom tredjepartstilbyder og kontotilbyder skal være sikker. Eksempel på dette kan være ved implementering av kontotilbyders autentiseringssløsninger hos tredjepartstilbyder. Etter EBAs oppfatning er slik registrering ikke et hinder hvis det er teknisk nødvendig for å muliggjøre en sikker kommunikasjon med kontotilbyder, og dersom registreringsprosessen ikke skaper unødvendig friksjon i kundereisen. 

Hvilken betydning får dette i det norske markedet?

Etter vår oppfatning tydeliggjør EBA med sine retningslinjer at PSD2 sitt utgangspunkt om fri konkurranse basert på kontotilgang for tredjeparter vil bli tett og strengt fulgt opp fra tilsynsmyndighetene. Dette betyr at bankene blir nødt til å rette seg lojalt etter kravene, og legge til rette for tredjepartstilgang på en måte som for kundene oppleves som like enkel som direkte tilgang via bankens portaler. 

At banken “ikke er klar”, ikke har systemer som støtter enkel og sikker tredjepartstilgang eller at man fra bankens side har et særskilt tillitsforhold til enkelte større tredjepartsaktører, vil etter vår oppfatning ikke bli akseptert som årsak for “friksjon” i kundeopplevelser ved bruk av tredjepartstilbydere. Her er det nok enkelte aktører i Norge som har litt å gå på mht etterlevelse.

Ta gjerne kontakt om du ønsker å diskutere noe av dette.


Dag Saltnes
PwC | Partner | Advokat for Høyesterett 
Phone: +47 95260632
Email:dag.saltnes@pwc.com

Daniel Næsse
PwC | Advokat
Phone: +4797175717
Email: daniel.naesse@pwc.com

Stine Seljeseth Aase
PwC | Advokat
Phone: +4799440165
Email: stine.aase@pwc.com

Stine Seljeseth Aase

Stine Seljeseth Aase

Hei, jeg heter Stine Seljeseth Aase og jeg jobber som advokat i PwC. Jeg arbeider med selskapsrett og regulatorisk regelverk for ulike bransjer, herunder finansbransjen. Jeg har særlig kompetanse innenfor finansregulstorisk regelverk, herunder særlig betalingstjenester/PSD2, verdipapirregelverket, alternative investeringsfond og øvrig kundebeskyttelsesregelverk. Ta gjerne kontakt direkte med meg om du har spørsmål eller ønsker bistand.

Tlf: +47 99 44 01 65 Epost: stine.aase@pwc.com

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Presiseringer av hvitvaskingsreguleringen for PSD2 aktører

Hvitvaskingsregelverket pålegger rapporteringspliktige å gjennomføre kundetiltak før etablering av kundeforhold. Hvem som anses som kunde ...

Les artikkelen
Les artikkelen

PSD2 - Våre erfaringer med søknad til Finanstilsynet om konsesjon som betalingsfullmektig og opplysningsfullmektig

I 2019 trådte PSD2 i kraft i Norge. Dette medførte at såkalte tredjepartsaktører, som ikke er banker, kan søke om konsesjon for å bli ...

Les artikkelen
Les artikkelen

Finanstilsynet gjør det lettere for fullmaktsforetak å oppfylle krav om forsikring

Lovpålagt krav om ansvarsforsikring uten egenandel har vært et vanskelig punkt for foretak som ønsker konsesjon for fullmaktstjenester ...

Les artikkelen