Kamp om kunderelasjonen

Artikkel

Kamp om kunderelasjonen

Betydningen av PSD2

EUs reviderte betalingstjenestedirektiv trer i kraft i 2018, og vil kreve flere store endringer i din virksomhet.

Deloitte UK anslår at det europeiske betalingsmarkedet vil øke i verdi til 139 milliarder euro innen 2030, men at verdier på 22 milliarder euro vil gå tapt på grunn av ny teknologi. Det betyr at også norske banker vil merke endringer når revidert betalingstjenestedirektiv blir implementert. Økt digitalisering krever regulatoriske endringer, for både å åpne opp for nyskapning og ivareta brukernes rettigheter og verdier. PSD2 har som formål å modernisere dagens regelverk i tråd med utviklingen i markedet. De nye kravene vil åpne opp for nyskapning og økt konkurranse, men også fremme sikrere tekniske betalingsløsninger. Men hva vil dette innebære for din virksomhet?

Bankene pålegges å tilby tredjepartsaktører tilgang til dine kunders bank- eller kredittkonto, uten å ta betalt for tjenesten utover det man fakturerer sluttbruker ved bruk av egne løsninger. Endringen vil gi økt valgfrihet for forbrukerne, og betalingstjenester blir billigere.

Lovgivningen åpner opp for to nye aktører med tilhørende tjenester:

  • Payment Initiation Service Provider (PISP) tilbyr tjenester hvor de initierer betalingstransaksjoner fra kundens egen konto, og vil typisk operere mellom selgers nettside og kjøpers betalings- eller kortkonto.
  • Account Information Service Provider (AISP) tilbyr tjenester hvor de gir kunden konsolidert informasjon om en eller flere betalingskontoer i banker. I begge tilfeller forutsettes det at kontoen er tilgjengelig på nett, men aktørene vil kunne levere disse formene for tjenester uten avtale med banken.

Det stilles en rekke krav til aktørene. For eksempel må de sikre at kundens hemmelige påloggingskoder ikke på noe tidspunkt er tilgjengelig for andre enn brukeren og utstederen av kodene. Hver gang en betaling initieres, skal PISP og AISP identifisere seg overfor banken og kommunisere i henhold til fastsatte krav. Videre skal de ikke benytte, innhente eller lagre informasjon for andre formål enn å initiere betalingen.

Bankene plikter å sørge for sikker kommunikasjon med PISP og AISP. Videre plikter bankene å tilby et Application Programming Interface (API) som skal benyttes av både PISP og AISP. Slik PSD2 er definert nå vil det blant annet stilles krav til at grensesnittet har samme funksjonalitet som online plattformen som tilbys bankkunden. Endringer i grensesnittet må varsles tre måneder før en endring implementeres, slik at aktørene som bruker grensesnittet kan foreta egne endringer.

Fordi PSD2 krever at andre aktører skal ha tilgang til deler av bankenes infrastruktur, stilles det også en rekke strenge sikkerhetskrav. I tillegg stilles det strengere krav til rapportering av sikkerhetshendelser, samt at det kreves bruk av 2-faktorautentisering ved betalinger, definert som Strong Customer Authentication (SCA). Kravene rundt SCA og sikker kommunikasjon kan endre seg basert på innspillene fra høringsrunden som ble avsluttet i oktober.

Videre gjelder PSD2 for såkalt «one-leg transactions», som betyr at lovverket omfatter transaksjoner hvor en av payment service providerne er lokalisert i et EU/EØS-land. Det innebærer at dersom en bank- eller kortkunde forsøker å handle på en nettbutikk i USA, og nettbutikken ikke bruker 2-faktor autentisering, må banken stoppe transaksjonen.

Dataportabilitetskravet i den nye personvernforordningen (GDPR) er også relevant i denne sammenheng, og vil bidra til å skape økt konkurranse. Kravet innebærer at forbrukere skal kunne overføre sine personopplysninger i et «vanlig lesbart filformat» fra en bank til en konkurrent. Et bankkontonummer kan, i likhet med et telefonnummer, knyttes til en enkeltperson, og er således per definisjon en personopplysning. Det er derimot uavklart på nåværende tidspunkt hvorvidt bankkontonummer vil bli omfattet av kravet.

Både PSD2 og GDPR stiller en rekke krav som din virksomhet må være i stand til å etterleve i 2018. Hvis din virksomhet ikke allerede har begynt prosessen med å kartlegge konsekvensene og hva som må gjøres, er det viktig å begynne denne prosessen så raskt som mulig.

For mer informasjon om kravene i PSD2 og GDPR, og hvordan Deloitte kan hjelpe din virksomhet med å forberede seg, ta kontakt med:

Fakta

PSD2 (Payment Services Directive) er en revidert og utvidet utgave av EUs betalingstjenestedirektiv fra 2007. Hensikten er å regulere tilbydere av betalingstjenester og lage et felles europeisk rammeverk.

Få mer info hos Europakommisjonen.

GDPR (General Data Protection Regulation) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i EU.

Les mer hos EUR-Lex.

Var denne siden nyttig?