<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

PSD2 trer i kraft 13. januar

Innlegg Julie_ESG.jpg ‹ Tilbake til artikler

Innlegg Julie_ESG.jpg

Revidert betalingstjenestedirektiv (PSD2) trer i kraft i EU 13. Januar 2018 med formål å effektivisere det europeiske betalingsmarkedet. Vi vil få to nye typer aktører i betalingsmarkedet; betalingsfullmektig (PISP) og opplysningsfullmektig (AISP). Disse vil få tilgang til å initiere betalinger på vegne av kunden, og hente kontoopplysninger på vegne av kunden.

Kundeautentisering og kommunikasjon mellom tredjepart og bank er avgjørende for sikkerheten i betalingene, for ikke å snakke om ansvarsfordelingen mellom aktørene dersom noe skulle gå galt. Direktivet beskriver ikke på detaljert nivå hvordan dette skal foregå, og har overlatt dette til en teknisk standard (RTS) som utarbeides av European banking authority (EBA) og vedtas i EU.

Prosessen med RTS for sterk kundeautentisering og sikker kommunikasjon begynte sommeren 2016 og har siden blitt utsatt for mange innspill og sterk lobbyvirksomhet, spesielt knyttet til mulighetene for å benytte “screen scraping”. I høst ble det endelige utkastet forkastet da det skulle vedtas i EU, og Europakommisjonen har nå utarbeidet en ny versjon med små endringer som trolig vedtas i EU i løpet av første kvartal 2018.

Vi har fulgt diskusjonen om sterk kundeautentisering og sikker kommunikasjon, og vil fremheve følgende fra innholdet i den nye RTSen:

  • Tredjeparter skal kun få tilgang til kundens konto gjennom bankens grensesnitt. Dette grensesnittet skal sikre at tredjepartene identifiserer seg for banken, og oppfylle krav til kundeautentisering og sikker kommunikasjon.
  • Bankene må tilby minst ett grensesnitt for tredjepartenes tilgang til konto og sikker kommunikasjon mellom aktørene, og de kan velge mellom et dedikert grensesnitt eller å benytte grensesnittet mot kunden.
  • Dagens praksis med “Screen scraping”, eller at tredjeparter bruker kundens sikkerhetsinformasjon (f.eks. bankID)  via bankens kundegrensesnitt, uten å identifisere seg, blir ikke lov.
  • Banker som velger dedikerte grensesnitt kan bli pålagt å stille kundegrensesnittet tilgjengelig som en reserveløsning for tredjepartenes kundeautentisering og kommunikasjon med banken. Denne reserveløsninga skal unngå at nedetid på dedikerte grensesnitt begrenser tjenestene tredjepartene leverer.
  • Bankene  kan ikke hindre at tredjepartene benytter sikkerhetsinformasjonen banken har tildelt kunden, pålegge omdirigering til bankens autentiseringsprosedyrer eller pålegge ekstra autentiseringssteg.
  • Tredjepartene skal kunne instruere bankene om å begynne kundeautentiseringsprosessen dersom de benytter bankenes metoder for kundeautentisering.

De nye kravene til kundeautentisering og sikker kommunikasjon trer trolig i kraft i EU i september 2019, men bankene må ha grensesnitt og testmiljø klart til testing i løpet av første kvartal 2019. Detaljene for det framtidige betalingsmarkedet har nå blitt klarere, men vi ser også at PSD2 ikke vil være fullstendig på plass før tredje kvartal i 2019. For alle som tenker seg å ha en rolle i det nye betalingsmarkedet står PwCs strategiske anbefalinger for implementering av PSD2 fortsatt fast:

  1. Ta et standpunkt til open banking og bygg erfaring
  2. Lær om og bruk mulighetene til å kombinere store mengder data
  3. Fokuser på sikkerhet og personvern i løsninger
  4. Få erfaring med bruk av APIer


                                                               ***
Dette blogginnlegget er skrevet av Mari Rørvik og Trine Rollefsen Næss. 

Trine Rollefsen Næss

Trine Rollefsen Næss

Trine har jobbet med flere fagfelt innen bank og forsikring, herunder compliance, teknologi og digitalisering, prosessforbedring, tapsavsetninger, og kapitalkravberegninger. Trine er utdannet sivilingeniør innen industriell økonomi og teknologiledelse fra NTNU med hovedprofil i anvendt økonomi og optimering, og teknisk fordypning innen energi.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Presiseringer av hvitvaskingsreguleringen for PSD2 aktører

Hvitvaskingsregelverket pålegger rapporteringspliktige å gjennomføre kundetiltak før etablering av kundeforhold. Hvem som anses som kunde ...

Les artikkelen
Les artikkelen

PSD2 - Våre erfaringer med søknad til Finanstilsynet om konsesjon som betalingsfullmektig og opplysningsfullmektig

I 2019 trådte PSD2 i kraft i Norge. Dette medførte at såkalte tredjepartsaktører, som ikke er banker, kan søke om konsesjon for å bli ...

Les artikkelen
Les artikkelen

Dette må du vite om den nye finansavtaleloven

Finansavtaleloven regulerer avtaler og oppdrag om finansielle tjenester hvor den ene parten er en finansinstitusjon eller lignende ...

Les artikkelen