PSD2: Analyse van definitieve “Regulatory Technical Standards” (RTS)

Op 23 februari heeft de European Banking Authority (EBA) de definitieve versie van de 'Regulatory Technical Standards' (RTS) aangeboden bij de Europese Commissie. De RTS is een set van technische reguleringsnormen die voor betaaldienstverleners gaan gelden met betrekking tot de uitwisseling van klantgegevens en een veilige klantidentificatie.

Dit artikel is een vervolg op een artikel dat eerder op FM.nl verscheen, waarin voorafgaand aan de publicatie van de definitieve RTS werd vooruitgeblikt naar de inhoud daarvan.

De EBA heeft in de RTS de criteria bepaald om de beveiliging van toegang tot de betaalrekening door betaal- en rekeninginformatiedienstverleners adequaat in te regelen. De voorwaarden in de RTS gelden zowel voor de banken als voor de andere betaaldienstverleners; hiermee wordt een ‘level playing field’ gecreëerd.

Verbeteringen in de definitieve RTS
Voordat de definitieve versie van de RTS werd uitgebracht heeft de EBA de markt om advies gevraagd om zo zeker te stellen dat alle marktoverwegingen adequaat zijn meegenomen in de eindtekst van de RTS. Op basis van de uit de markt ontvangen input heeft de EBA inderdaad een aantal veranderingen doorgevoerd ten opzichte van de ontwerp-RTS. Dit zijn de meest opvallende aanpassingen: 

• ‘Screen scraping’ wordt verboden als methode om betaalgegevens uit te wisselen tussen banken en betaal- en rekeninginformatiedienstaanbieders. ‘Screen scraping’ is een methode om op afstand gegevens van het scherm van de gebruiker over te nemen, van het scherm af te schrapen als het ware.
Het is nu aan de banken om een oplossing te ontwikkelen die wel voldoet aan de gestelde eisen. 

• Met betrekking tot de eisen aan klantauthenticatie zijn twee nieuwe uitzonderingen geïntroduceerd:
1. De authenticatievoorwaarden zijn niet van toepassing bij onbemensde parkeerautomaten en tolpoortjes.
2. Op basis van een ‘transactie-risicoanalyse’ mogen organisaties onder voorwaarden afzien van de klantauthenticatie-eisen. Criteria in deze risicoanalyse zijn o.a. het historische uitgavenpatroon van de klant en logging van het gebruik van specifieke apparaten door een klant. Het blijft door deze uitzondering bijvoorbeeld mogelijk om via een bank-app overboekingen tot € 500,= te doen met alleen de inlogcode als verificatie.

• De vrijstelling op de authenticatievoorwaarden bij online transacties is verhoogd van 
€ 10,= naar € 30,=. Dit komt tegemoet aan de veel gehoorde zorg dat het limietbedrag van € 10,= de speelruimte voor relevante toepassingen teveel zou beperken, al werd in de markt rekening gehouden met een verhoging naar € 50,=.

Highlights RTS
De genoemde technische reguleringsnormen zijn heel belangrijk voor het realiseren van de PSD2. In de definitieve RTS zijn de volgende bepalingen opgenomen:

1. Voorwaarden met betrekking tot sterke klantauthenticatie
• De authenticatie moet zijn gebaseerd op een combinatie van kennis (zoals een pincode), bezit (bijvoorbeeld een betaalpas) en/of inherentie (denk aan een vingerafdruk of irisscan).
• De authenticatie moet resulteren in een unieke authenticatiecode.
Deze condities gelden zowel wanneer de klant toegang zoekt tot zijn betaalrekening als wanneer de klant een elektronische betaaltransactie initieert.

2. Uitzonderingen op de toepassing van deze voorwaarden
Voor een aantal transacties gelden de genoemde authenticatieregels niet, bijvoorbeeld:
• Het online opvragen van het rekeningsaldo en de betaaltransacties van de afgelopen 90 dagen, behalve voor de eerste keer.
• Betalingen bij onbemensde parkeerautomaten en tolpoorten.
• Online betalingen tot een maximum van € 30,= per transactie en € 100,= in totaal.
• Contactloze betalingen tot een maximum van € 50,= per transactie en € 150,= in totaal.
• Betalingen tot € 500,= indien op basis van de eigen transactie risico-monitoring het risico van de betaling door de bank als laag wordt ingeschat.

3. Eisen aan de authenticatieprocedure om de persoonlijke klantgegevens te beschermen, o.a.:
• Het online inlogproces vindt plaats in een beveiligde omgeving.
• Gedurende het inlogproces dienen de persoonlijke inloggegevens gemaskeerd te worden weergegeven en beschermd tegen ongeautoriseerde toegang.

4. Eisen aan de onderlinge gegevensuitwisseling tussen betaaldienstverleners en klant
• Betaaldienstverleners dienen zorg te dragen voor een veilige identificatiemethode van de klant.
• De dienstverlener dient van iedere gegevensuitwisseling een gedetailleerde logging bij te houden.

5. Eisen aan de te gebruiken standaarden voor gegevensuitwisseling 
• Screen scraping’ wordt verboden als methode om betaalgegevens uit te wisselen.
• Banken dienen aan andere betaal- en rekeninginformatiedienstverleners dezelfde rekeninginformatie ter beschikking te stellen als wanneer de klant direct om deze informatie zou vragen, mits het niet om ‘gevoelige betaalgegevens’ gaat.
• Rekeninghouders en rekeningnummers worden niet gezien als gevoelige betaalgegevens.
• De EBA laat aan de banken de keuze welke standaard zij gebruiken voor de gegevensuitwisseling omdat het voorschrijven van een specifieke standaard te rigide en bovendien te moeilijk controleerbaar zou zijn.

Next steps
De definitieve RTS wordt nu ter goedkeuring aan de Europese Commissie voorgelegd waarna ze, voordat ze worden gepubliceerd in het Publicatieblad van de Europese Unie, zal worden onderworpen aan controle door het Europees Parlement en de Raad. De RTS wordt 18 maanden na publicatie daadwerkelijk van kracht, wat suggereert dat de RTS op zijn vroegst per november 2018 van toepassing wordt. Dit biedt alle betrokken marktpartijen de tijd om de door deze regulering geboden uitdagingen en mogelijkheden te gaan omzetten in praktische en innovatieve marktoplossingen.

Auteur: Geert Blom, senior consultant Enigma Consulting

Gerelateerde artikelen