PSD2 trer i kraft 13. januar

Revidert betalingstjenestedirektiv (PSD2) trer i kraft i EU 13. Januar 2018 med formål å effektivisere det europeiske betalingsmarkedet. Vi vil få to nye typer aktører i betalingsmarkedet; betalingsfullmektig (PISP) og opplysningsfullmektig (AISP). Disse vil få tilgang til å initiere betalinger på vegne av kunden, og hente kontoopplysninger på vegne av kunden.

Kundeautentisering og kommunikasjon mellom tredjepart og bank er avgjørende for sikkerheten i betalingene, for ikke å snakke om ansvarsfordelingen mellom aktørene dersom noe skulle gå galt. Direktivet beskriver ikke på detaljert nivå hvordan dette skal foregå, og har overlatt dette til en teknisk standard (RTS) som utarbeides av European banking authority (EBA) og vedtas i EU.

Prosessen med RTS for sterk kundeautentisering og sikker kommunikasjon begynte sommeren 2016 og har siden blitt utsatt for mange innspill og sterk lobbyvirksomhet, spesielt knyttet til mulighetene for å benytte “screen scraping”. I høst ble det endelige utkastet forkastet da det skulle vedtas i EU, og Europakommisjonen har nå utarbeidet en ny versjon med små endringer som trolig vedtas i EU i løpet av første kvartal 2018.

Vi har fulgt diskusjonen om sterk kundeautentisering og sikker kommunikasjon, og vil fremheve følgende fra innholdet i den nye RTSen:

• Tredjeparter skal kun få tilgang til kundens konto gjennom bankens grensesnitt. Dette grensesnittet skal sikre at tredjepartene identifiserer seg for banken, og oppfylle krav til kundeautentisering og sikker kommunikasjon.
• Bankene må tilby minst ett grensesnitt for tredjepartenes tilgang til konto og sikker kommunikasjon mellom aktørene, og de kan velge mellom et dedikert grensesnitt eller å benytte grensesnittet mot kunden.
• Dagens praksis med “Screen scraping”, eller at tredjeparter bruker kundens sikkerhetsinformasjon (f.eks. bankID)  via bankens kundegrensesnitt, uten å identifisere seg, blir ikke lov.
• Banker som velger dedikerte grensesnitt kan bli pålagt å stille kundegrensesnittet tilgjengelig som en reserveløsning for tredjepartenes kundeautentisering og kommunikasjon med banken. Denne reserveløsninga skal unngå at nedetid på dedikerte grensesnitt begrenser tjenestene tredjepartene leverer.
• Bankene  kan ikke hindre at tredjepartene benytter sikkerhetsinformasjonen banken har tildelt kunden, pålegge omdirigering til bankens autentiseringsprosedyrer eller pålegge ekstra autentiseringssteg.
• Tredjepartene skal kunne instruere bankene om å begynne kundeautentiseringsprosessen dersom de benytter bankenes metoder for kundeautentisering.

De nye kravene til kundeautentisering og sikker kommunikasjon trer trolig i kraft i EU i september 2019, men bankene må ha grensesnitt og testmiljø klart til testing i løpet av første kvartal 2019. Detaljene for det framtidige betalingsmarkedet har nå blitt klarere, men vi ser også at PSD2 ikke vil være fullstendig på plass før tredje kvartal i 2019. For alle som tenker seg å ha en rolle i det nye betalingsmarkedet står PwCs strategiske anbefalinger for implementering av PSD2 fortsatt fast:

1. Ta et standpunkt til open banking og bygg erfaring
2. Lær om og bruk mulighetene til å kombinere store mengder data
3. Fokuser på sikkerhet og personvern i løsninger
4. Få erfaring med bruk av APIer

                                                               ***
Dette blogginnlegget er skrevet av Mari Rørvik og Trine Rollefsen Næss.