EUs reviderte betalingstjenestedirektiv PSD2 trådte i kraft i EU 13. januar 2018 og åpner for at andre aktører enn bankene kan tilby betalingstjenester basert på kundenes betalingskontoer, såkalte tilbydere av betalingsinitieringstjenester og kontoinformasjonstjenester. For å sikre god gjennomføring av direktivet skal det utarbeides standarder og retningslinjer for gjennomføring av enkelte bestemmelser. Den mest kjente er de utfyllende bestemmelsene om sterk kundeautentisering og kommunikasjonssikkerhet mellom banker og tredjepartsaktører; ‘Regulatory technical standards for strong customer authentication and common and secure open standards of communication’ (RTS). Disse utfyllende bestemmelsene setter krav til hvordan sterk kundeautentisering skal gjennomføres og spesifiserer nærmere hvordan banker og tredjepartsaktører skal kommunisere med hverandre.
Den 13. Mars 2018 publiserte EU disse utfyllende bestemmelsene i EU-tidende på EUs 23 offisielle språk. Bestemmelsene trer i kraft 14. mars 2018, men har en gjennomføringsperiode på 18 måneder og vil derfor ikke være gjeldende før 14. september 2019. For å sikre god gjennomføring av kravene vil bestemmelsene om etablering av testsystemer, gjennomføring av produksjonstester og tilgang til support gjelde fra 14. mars 2019, noe som innebærer at bankene i EU må ha tilgjengeliggjort sine tjenester for tredjeparter senest denne datoen.
Den vedtatte versjonen av de utfyllende bestemmelsene (RTS) er bygger opp under intensjonen med PSD2, og er i hovedtrekk sammenfallende med de versjonene som tidligere har vært på høring. I denne artikkelen understreker vi de vesentlige bestemmelsene og trekker frem nye og viktige momenter som påvirker aktørene. De nye punktene er i hovedsak knyttet til sikker kommunikasjon, nærmere bestemt hvordan bankenes grensesnitt skal utformes for å unngå at det legges hindringer i veien for tredjepartsaktører.
Det er verdt å merke seg at før disse utfyllende bestemmelsene skal gjøres gjeldende i Norge, må de innlemmes i EØS-avtalen. Det forventes at bestemmelsene får samme anvendelsesdatoer i Norge som i EU-landene.
Hva omfatter disse utfyllende bestemmelsene?
De utfyllende bestemmelsene setter nærmere krav til hvordan sterk kundeautentisering av bankenes kunder skal gjennomføres, og hvordan banker og tredjepartsaktører skal kommunisere sikkert.
Sterk kundeautentisering
En av de viktigste intensjonene med PSD2 er å gi økt sikkerhet for elektroniske betalingstjenester i Europa, og dermed motvirke og begrense svindel. PSD2 setter derfor krav til at ved bruk av betalingstjenester skal kunden identifiseres med sterk kundeautentisering. De ufyllende bestemmelsene spesifiserer hvordan sterk kundeautentisering skal gjennomføres. Det stilles herunder krav til autentisering med minst to uavhengige faktorer som for eksempel biometri, passord eller engangskoder.
For å ivareta brukervennligheten der risikoen for svindel er lav er det utarbeidet unntak fra kravet om sterk kundeautentisering. Tilbydere av betalingstjenester skal derfor gjennomføre risikovurderinger for all bruk av betalingstjenester. Dersom risikoen anses å være lav kan kunden fritas fra sterk kundeautentisering. De utfyllende bestemmelsene gir en uttømmende liste over hvilke tilfeller der risikoen anses å være lav, herunder for lave transaksjonsbeløp, gjentagende betalinger, betalinger til kjente betalingsmottakere og for rene kontoinformasjonstjenester (med unntak ved etablering og hver 90. dag).
Sikker kommunikasjon
Alle banker som tilbyr online tilgang til betalingskontoer må legge til rette for at tredjepartsaktører kan knytte seg til kundenes betalingskontoer for å gjennomføre betalinger eller for å tilby kontoinformasjonstjenester.
PSD2 bestemmer at tredjepartsaktører må identifisere seg overfor banken, og at banken må tilrettelegge for at tredjepartsaktører kan anvende de autentiseringsløsningene som er stilt til rådighet for bankens kunder. For å oppfylle disse kravene må bankene tilrettelegge sine systemer for tredjepartsaktørene.
Bankene kan velge å etablere et grensesnitt dedikert til dette formålet, eksempelvis et API, eller la tredjepartsaktøren benytte seg av samme grensesnitt som kunden selv benytter for å bruke bankens betalingstjenester, eksempelvis nettbank.
De fleste banker ønsker å etablere et dedikert grensesnitt til dette formålet. De utfyllende bestemmelsene gir nærmere beskrivelse av hvilke funksjonaliteter et dedikert grensesnitt må ha. Det pågår mye arbeid i regi av ulike initiativ i EU – som Bits, banknæringen og tredjepartsaktører bidrar i, for at dette skal gjennomføres på best mulig måte.
De utfyllende bestemmelsene slår fast at bankene ikke må legge hindringer for tredjepartsaktørene når i sine dedikerte grensesnitt. Eksempler på slike hindringer kan være at banken:
- Forhindrer at brukerne kan benytte bankenes autentiseringsløsninger via tredjepartsaktøren.
- Pålegger at brukerne blir omdirigert fra tredjepartsaktøren til bankenes autentiseringsløsninger når de skal betale eller logge inn via en tredjepartsaktør.
- Pålegger at tredjepartene må registrere seg hos banken for å benytte bankenes tjenester.
- Krever å kontrollere samtykket gitt fra kunden til tredjepartsaktøren.
Dersom en bank ikke oppfyller kravene som er satt til et dedikert grensesnitt, slår de utfyllende bestemmelsene fast at bankene må tilby en form for beredskapsløsning som gir tilgang til kundenes betalingskontoer på samme måte som kunden selv. Imidlertid åpner de utfyllende bestemmelsene for at bankene kan unntas fra kravet om å tilby en beredskapsløsning dersom bankens dedikerte grensesnitt tilfredsstiller nærmere spesifiserte krav i de utfyllende bestemmelsene og godkjennes av Finanstilsynet.
Hva betyr dette for bankene?
Norske banker har 12 måneder på å tilpasse sine systemer i henhold til kravene i PSD2 og de utfyllende bestemmelsene, uavhengig av om banken ønsker å tilby et dedikert grensesnitt eller ikke. Deretter åpnes det for en 6 måneders testperiode før de utfyllende bestemmelsene gjøres gjeldende 14. september 2019.
Hvis en bank ønsker å tilby et dedikert grensesnitt som oppfyller kravene, og dermed få fritak fra å tilby beredskapsløsning må dette godkjennes av Finanstilsynet i hvert enkelt tilfelle.
Hva betyr dette for forbrukerne?
Bankens kunder vil i fremtiden kunne få tilgang til betalingstjenester som i dag i nettbanken, eller via tredjeparter.
Finansnæringen jobber med å sikre at løsningene som kundene benytter i dag også skal kunne benyttes når kundene benytter betalingstjenester som tilbys via tredjepartsaktører, herunder tilgang til eksisterende betalingstjenester og bruk av BankID som sikker autentisering. På denne måten skal kundene kunne føle seg trygge på at all bruk av bankens egne og tredjepartenes betalingstjenester er trygge og sikre.