Bakgrunn
Det reviderte Betalingstjenestedirektivet PSD2 trådte i kraft den 12. januar 2016 med en gjennomføringsfrist på to år for EUs medlemsstater. For EU land kreves det en tilpasning i nasjonale lovverk som samsvarer med bestemmelsene i PSD2, med frist 13. januar 2018. For Norges vedkommende, og i tråd med forpliktelsene etter EØS-avtalen, må gjennomføring av direktivet besluttes av EØS-komiteen og eventuelle lovendringer må vedtas av Stortinget. Direktivet vil kreve endringer i Finansforetaksloven og Finansavtaleloven. PSD2 vil derfor være gjennomført i norsk lovverk noe senere enn i EU.
PSD2 regulerer bankkundenes tilgang til konto og åpner for muligheten til å benytte en tredjepart til å gjennomføre betaling direkte fra konto, og tredjeparter som tilbyr kunden tjenester som kan samle og presentere informasjon fra kundens bankkonto.
I PSD2 er det definert tre ulike typer tredjeparter:
- Payment initiation service provider (PISP) som kan bistå en bankkunde med å utføre betalinger basert på de betalingskonti som kunden har hos sine bankforbindelser.
- Account information service provider (AISP) som kan bistå en bankkunde med å få tilgang til kontoinformasjon for sine betalingskonti som kunden har hos sine bankforbindelser.
- Payment Instrument Issuing Service Provider (PIISP) som er en virksomhet som har utstedt et betalingsinstrument (betalingskort, app eller lignende) til en bankkunde, og som har tilgang til å utføre dekningskontroll ved betaling mot kundens valgte bankkonto.
Hensikten med innføring av PSD2 er å åpne opp for nyskaping i betalingsmarkedet og sikre større konkurranse i betalingsmarkedet, og gjennom dette gi bankkundene mer valgfrihet, lavere priser, og tilgang til nye og innovative tjenester i markedet for betalingstjenester til et tilfredsstillende sikkerhetsnivå.
Tredjeparters tilgang til konto
For at de nye tredjepartene skal få tilgang til bankkundenes betalingskonti på en sikker og effektiv måte har EU gitt tilsynsmyndigheten European Banking Authority (EBA) i oppgave å fastsette utfyllende bestemmelser til PSD2 som gir reguleringstekniske standarder for sterk kundeautentisering og sikre åpne standarder for kommunikasjon. EBA har utarbeidet et dokument som nå er på høring; Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication (RTS SCA/CSC).
Dokumentet beskriver kravene til hvordan man skal ivareta autentisering av bankkunden og hvordan man skal sikre kommunikasjonen mellom tredjepartene og bankene, herunder sikre at kun autoriserte tredjeparter kan få tilgang til kundenes bankkonti.
Dette dokumentet forventes vedtatt i EU i oktober 2017, med to års tilpasningsfrist for bankene og tredjepartene. Det antas derfor at kravene først gjøres gjeldene fra og med april 2019.
Bankenes utfordringer
Det er en utfordring for bankene at det er såpass lang tid mellom gjennomføringsfristen januar 2018 og iverksetting av kravene i RTS SCA/CSC i april 2019. Dette innebærer en relativt lang periode der prinsippet om tredjeparters tilgang til konto er regulert, men ikke hvordan tilgangen skal gis fra bankene.
Forslaget til RTS SCA/CSC slik det foreligger krever at bankene skal etablere et dedikert grensesnitt for tredjepartenes tilgang til konto. Det forutsettes også at bankene skal stille til rådighet eksisterende autentiseringsmekanismer, slik at bankkundene kan identifisere seg og godkjenne betalinger slik de er vant med fra nettbanken sin.
Konsekvensen av dette er at bankene, uavhengig av fristen for å implementere løsninger i henhold til RTS SCA/CSC, kan forvente at tredjepartene ønsker å få tilgang til betalingskonti på vegne av bankenes kunder allerede i januar 2018. Det haster dermed å få etablert løsninger for dette.
Samarbeid og samordning i næringen
De fleste større banker har etablert initiativer for å tilpasse sine løsninger for tredjeparters tilgang til konto. Dette er bankindividuelle initiativer, som kan løse bankenes utfordringer knyttet til PSD2 på kort sikt og legge til rette for andre ‘open banking’ løsninger etter hvert.
De europeiske og nasjonale myndighetene i Europa har imidlertid vært tydelige på at de ikke ønsker at hver bank lager sin egen løsning for tilgang til betalingskonti da dette ikke er i samsvar med intensjonen i PSD2; nemlig å legge til rette for økt konkurranse mellom aktørene og valgfrihet for bankkundene til å få utført betalingstjenester.
Med dette som bakgrunn har Bits og den norske banknæringen etablert et felles prosjekt for å vurdere mulighetene for samordning av grensesnitt og teknologiske løsninger. Prosjektet ble etablert i januar 2017 og har etter en analysefase konkludert med at det er fire områder som er aktuelle for samordning:
- Spesifikasjon av katalogtjenester for tredjepartsaktører og banker,
- Felles spesifikasjon for grensesnitt for tredjeparters tilgang til konto (PSD2 API),
- Felles krav til PSD2 tilgangspunkt (PSD2 hub),
- Felles regler for hendelses- og klagehåndtering.
Prosjektet har prioritert de ulike områdene og arbeider i første omgang med å vurdere ulike alternativer for en felles grensesnittspesifikasjon for tilgang til konto. Dette arbeidet innebærer blant annet å lage en felles modell for utveksling av informasjon mellom partene og identifisere og vurdere eventuelle særnorske forhold. Prosjektet har ikke som ambisjon å utarbeide en egen særnorsk standard, men tar utgangspunkt i eksisterende europeiske initiativer for å standardisere PSD2 grensesnittspesifikasjoner.
Prosjektet følger i hovedsak med på arbeidet som utføres i regi av det europeiske initiativet Berlin Group. Dette initiativet utarbeider to viktige dokumenter: Operational Rules og Implementation Guidelines. Førstnevnte dokument beskriver hvilken informasjon som skal utveksles mellom partene, og hvordan. Sistnevnte dokument dokumenterer en konkret grensesnittspesifikasjon, basert på et API. Mange av de større bankene i Europa er enten medlem av Berlin Group, eller følger dette arbeidet tett. Bits er medlem av Berlin Group sin PSD2 arbeidsgruppe på vegne av den norske banknæringen og jobber aktivt med å samordne eventuelle norske behov slik at de tas hensyn til i det arbeidet som pågår i regi av Berlin Group.
Det gjennomføres også andre relevante initiativer i Europa, blant annet i regi av den Franske bankforeningen som utarbeider en tilsvarende grensesnittspesifikasjon. Flere andre land, herunder UK har også egne initiativer for å etablere grensesnitt. Prosjektet følger også med på disse initiativene.
Bits og den norske banknæringen har som ambisjon å ferdigstille et utkast til grensesnittspesifikasjon i løpet av Q3 2017.
Arbeidet med de tre andre områdene som er identifisert vil bli startet opp i løpet av sommeren 2017, med fokus på spesifikasjon av katalogtjenester prioritert høyest av de gjenværende områdene.