De vijf belangrijkste bevindingen binnen de PSD2 concept-RTS

Vanaf januari 2018 wordt de herziene Europese betaalrichtlijn, de PSD2, van kracht in alle EU lidstaten. Om de daarmee gepaard gaande veranderingen te kunnen realiseren is een set van technische reguleringsnormen nodig.

De European Banking Authority (EBA) heeft eind 2016 een eerste conceptversie gepubliceerd van deze normen, de zogeheten ‘Regulatory Technical Standards’ (RTS). In de standaarden worden de PSD2-voorschriften op gebied van sterke klantauthenticatie (‘strong customer authentication’ – SCA) en op gebied van gemeenschappelijke en beveiligde communicatie tussen betrokken partijen uiteengezet. 

De ontwerp-RTS gaat vergezeld van een tiental feedbackvragen van de EBA aan de betaalsector. Op basis van de antwoorden voert de EBA mogelijk nog aanpassingen door in de eindversie van deze  standaarden. Initieel was de deadline voor een definitieve versie van de RTS gesteld op 12 januari 2017. Vanwege het grote aantal aanpassingsverzoeken en kritische kanttekeningen  is die deadline echter verschoven en het is nog onduidelijk wanneer de eindversie wordt opgeleverd. 

In de volgende paragrafen staan we stil bij de belangrijkste conclusies die we al wel uit de ontwerpversie van de RTS kunnen trekken.

1. Geen gedetailleerde regels zoals bij de SEPA migratie

Het eerste dat opvalt is dat de EBA heeft besloten om de criteria in de ontwerp-RTS niet al te specifiek te formuleren. De EBA heeft hiervoor gekozen omdat de EBA wil zekerstellen dat de gestelde eisen flexibel genoeg zijn om zowel huidige als toekomstige beveiligingsissues adequaat het hoofd te kunnen bieden en opdat haar doelstellingen op gebied van informatiebeveiliging en gebruiksvriendelijkheid op een technologie-neutrale manier worden bereikt. 

2. Banken moeten zelf een manier ontwikkelen om met derde partijen te kunnen communiceren

Het is aan de banken (‘account servicing payment service providers’- AS PSP’s) om zelf een technische mogelijkheid te ontwikkelen om relevante klant- of transactie-informatie te kunnen delen met derde partijen (third party providers – TPP’s). Daarbij moet iedere bank ervoor zorgen dat de geboden optie helder is gedocumenteerd en dat de documentatie gratis en publiek beschikbaar is voor iedere geïnteresseerde partij. Ook op dit vlak wordt geen algemene standaard voorgeschreven en het staat de banken vrij om de oplossing naar eigen inzichten vorm te geven. De EBA geeft aan een technologie-neutraal standpunt in te nemen omdat het voorschrijven van een specifieke standaard te rigide en bovendien te moeilijk controleerbaar zou zijn.

3. De bank moet de relevante informatie met de TPP delen via een API… of toch niet?

Toegegeven, API’s (Application Programming Interfaces) worden niet expliciet genoemd. Maar de RTS schrijven voor dat de door de banken aangeboden oplossing gebruik moet maken van ISO 20022 gecertificeerde elementen. Voor het initiëren van een betaaltransactie kan een derde partij twee varianten gebruiken: ze kan gebruik maken van een API van de bank of ze kan de bankgegevens via een ‘screen scraping’-oplossing van het scherm van de klant kopiëren. Die laatste variant voldoet niet aan de voorwaarden die voor een goede beveiliging van de betaaltransactie via een derde partij (payment initiation service provider – PISP) gelden. En ook de verantwoordelijkheid voor die beveiliging is door de EBA neergelegd bij de banken. De variant om van API’s gebruik te maken is daarom zowel voor de hand liggend als bruikbaar: er bestaat reeds veel ervaring met deze technologie en ook op gebied van beveiliging is gebruikmaking van een API een oplossing die voldoet aan de gestelde vereisten.

4. Sterke klantauthenticatie verloopt via authenticatiecodes en biometrische gegevens

In de ontwerp-RTS is een overzicht van eisen opgenomen die worden gesteld aan sterke klantauthenticatie. Een interessante bevinding is dat ook unieke biometrische gegevens van de gebruiker, bijvoorbeeld een irisscan of vingerafdruk, onderdeel mogen uitmaken van de authenticatieprocedure.

Wat verder opvalt in de ontwerp-RTS is dat er een authenticatiehandeling moet plaatsvinden bij iedere keer dat sterke klantauthenticatie is benodigd. Dit komt erop neer dat de gebruiker die via een TPP een betaaltransactie wil doen èn een blik wil werpen op zijn bij- en afschrijvingenoverzicht, zich tweemaal moet authentiseren. De voorgeschreven authenticatierichtlijnen belemmeren zo de gebruiksvriendelijkheid aanzienlijk. Het is dan ook de verwachting dat de EBA een aanpassing zal doorvoeren in de definitieve RTS die recht doet aan de algemene klantwensen op gebied van zowel gegevensbeveiliging als gebruiksvriendelijkheid.

5. Vrijstelling van de authenticatieregels is slechts zeer beperkt mogelijk

Veel hedendaagse online banktoepassingen bieden momenteel services waarbij geen sterke klantauthenticatie wordt vereist, bijvoorbeeld het tot 750 euro overboeken zonder gebruik van een unieke code. Met de komst van de aangescherpte regulatie op het gebied van sterke klantauthenticatie wordt de speelruimte voor dit soort diensten significant verkleind. In de voorgestelde technische reguleringsnormen zijn alleen de volgende zaken nog vrijgesteld van sterke klantauthenticatie:

A. Aanvragen van persoonlijke rekeninginformatie. 
*geen vrijstelling bij de eerste aanvraag en ook niet indien de laatste aanvraag langer dan 1 maand geleden plaats heeft gevonden. 
B. Overboekingen naar begunstigden die voorkomen op de vertrouwde lijst van de betaler. 
*geen vrijstelling bij de eerste aanvraag en ook niet de eerste keer nadat de vertrouwde lijst door de klant is gewijzigd. 
C. ‘Card not present’- betalingen tot een maximum van 10 euro per transactie en 100 euro in totaal.
D. Contactloze betalingen tot een maximum van 50 euro per transactie en 150 euro in totaal.

Van alle veranderingen die PSD2 tot gevolg heeft is de impact van de technische standaarden op gebied van sterke klantauthenticatie een van de grootste. De uitdagingen op RTS-gebied zijn groot en helaas geldt dat ook voor de mate van onduidelijkheid van de ontwerp-RTS op essentiële punten. Het is daarom begrijpelijk dat in de betaalsector reikhalzend wordt uitgekeken naar de volgende versie van de technische reguleringsnormen, om te zien in hoeverre de EBA de uit de markt ontvangen reviewcommentaren heeft verwerkt in een nadere duiding met betrekking tot de juiste interpretatie van de technische standaarden. Deze verheldering is absoluut noodzakelijk voor een succesvolle vertaling van de voorgeschreven technische standaarden naar klantvriendelijke marktoplossingen die compliant zijn aan de geldende privacy- en informatiebeveiligingswet- en regelgeving. 

Auteur: Geert Blom, senior consultant Enigma Consulting

Duizenden banen in bankwereld verdwijnen door 'fintech startups'
Duizenden banen in de bankwereld verdwijnen binnen enkele jaren door Google Bank, Apple Bank, Facebook Bank en talloze 'fintech startups'. Wereldwijd wordt er meer en meer geïnvesteerd in techbedrijven die de gevestigde orde graag omver willen werpen. Discussieer ook mee. Bent u expert, fintech-ondernemer of investeerder dan is het wellicht ook iets om betrokken te zijn bij de Dutch Fintech Awards 2017. Voor meer informatie bezoek de website www.fintech.nl 

Gerelateerde artikelen