De Europese Commissie heeft de definitieve Regulatory Technical Standard (RTS) over Strong Customer Authentication en Common Secure Communication gepubliceerd onder de herziene Payment Services Directive (PSD2). In deze definitieve versie heeft de Commissie bevestigd dat screen scraping
[1]
zal niet langer worden toegestaan zodra de RTS van kracht wordt, rekening houdend met de bezorgdheid van de Europese Bankautoriteit (EBA) en andere belanghebbenden over veiligheid. Account Servicing Payment Service Providers (ASPSP's) zullen echter nog steeds noodmaatregelen moeten nemen in het geval van onbeschikbaarheid of onderpresteren van hun speciale interfaces tijdens een communicatiesessie met Third Party Providers (TPP's).
Nieuwe noodmaatregelen
Volgens de bijgewerkte regels zullen ASPSP's verplicht zijn om de technische specificaties van al hun communicatie-interfaces, al dan niet specifiek, openbaar beschikbaar te maken en, ten minste zes maanden vóór de toepassingsdatum van de RTS, een faciliteit aan te bieden waarmee betalingsdienstaanbieders om de interfaces te testen en hun goede werking te verzekeren. In het geval van speciale interfaces zullen ASPSP's ook transparante prestatie-indicatoren en serviceniveaudoelstellingen moeten definiëren, die minstens zo streng moeten zijn als die voor de online betalings- en bankplatforms die door de klanten van de ASPSP's worden gebruikt. Nationale bevoegde autoriteiten (NCA's) zullen de prestaties van speciale interfaces aan een stresstest onderwerpen en controleren.
Naast het bovenstaande zullen ASPSP's ook een zogenaamd fallback-mechanisme moeten opzetten, waarop TPP's kunnen vertrouwen als speciale interfaces langer dan 30 seconden niet beschikbaar zijn, of als ze niet voldoen aan de algemene operationele vereisten die zijn uiteengezet in de RTS.
Net als in het eerdere ontwerp van de RTS, zal een dergelijk terugvalmechanisme bestaan uit het openstellen van de gebruikersinterface van de ASPSP als een veilig communicatiekanaal voor betalingsinitiatie en rekeninginformatiediensten. Belangrijk is echter dat de Commissie nu heeft gespecificeerd dat TPP's bij het gebruik van de fallback-optie ervoor moeten zorgen dat ze door de ASPSP's kunnen worden geïdentificeerd; de nodige maatregelen nemen om ervoor te zorgen dat ze alleen gegevens inzien, opslaan of verwerken waar de consument toestemming voor heeft gegeven; de gegevens waartoe ze toegang hebben, loggen en op verzoek beschikbaar stellen aan de relevante NBA; en op verzoek aan de NBA het gebruik van de interface te rechtvaardigen.
NBA's zullen, in overleg met de EBA, individuele ASPSP's kunnen vrijstellen van de invoering van een dergelijk fallback-mechanisme, op voorwaarde dat hun specifieke communicatie-interfaces voldoen aan de kwaliteitscriteria die zijn vastgelegd in de technische normen. De EBA zal ervoor zorgen dat de beoordeling van de kwaliteit van specifieke interfaces consistent is in alle lidstaten. Vrijstellingen worden door de NBA's ingetrokken als een specifieke communicatie-interface gedurende meer dan twee opeenvolgende kalenderweken niet meer voldoet aan de kwaliteitscriteria. In dit geval moet het terugvalmechanisme door de ASPSP in de kortst mogelijke tijd, en niet meer dan twee maanden, worden ingesteld.
Veiligheid en concurrentie in evenwicht
De Commissie had het voorstel van de EBA, eerder in februari, om het gebruik van screen scraping te verbieden aanvankelijk verworpen. Zijn bezorgdheid, gedeeld door de FinTech-sector, was dat een dergelijk verbod TPP's zou benadelen in gevallen waarin een speciale interface faalde, want terwijl een bank haar eigen betalingsdiensten zou kunnen aanbieden via haar klantgerichte interfaces, zouden TPP's niet in staat zijn dit te doen totdat de functionaliteit van de speciale interface is hersteld.
Aan de andere kant zou het onbeperkte gebruik van screen scraping als noodmaatregel een materieel veiligheidsrisico met zich meebrengen voor ASPSP's en klanten. Dit komt doordat TPP's toegang zouden hebben tot alle informatie die voor klanten beschikbaar is op hun platforms voor online bankieren, alsof ze waren ingelogd, waardoor het voor ASPSP's zeer moeilijk of onmogelijk zou worden om TPP's te identificeren en de toegang alleen te beperken tot gegevens die zijn toegestaan in overeenstemming met toestemming van een klant.
Daarom had de Commissie de niet benijdenswaardige taak om een norm te ontwikkelen die de noodzaak om te zorgen voor een gelijk speelveld tussen TPP's en ASPSP's in overeenstemming zou kunnen brengen met de noodzaak om consumenten te beschermen en betalingsdiensten veilig te houden. De uiteindelijke RTS probeert dit te doen door in wezen een meer ingetogen versie van screen scraping te introduceren als een terugvalmechanisme - een waarbij de verantwoordelijkheid bij de TPP's wordt gelegd om aan NBA's te kunnen bewijzen dat ze handelen in overeenstemming met de PSD2-regels , en de verkregen toestemming van klanten.
Theorie versus praktijk
In principe zorgt dit compromis voor een beter evenwicht tussen veiligheid en concurrentie, maar in de praktijk kunnen de nieuwe noodmaatregelen enigszins onpraktisch blijken te zijn voor zowel bedrijven als NBA's. Ze kunnen ook onbedoelde gevolgen hebben.
Verhoogde kosten, complexiteit en fragmentatie
Zoals de EBA eerder opmerkte, zal de introductie van een terugvalmechanisme waarschijnlijk de kosten voor zowel ASPSP's als TPP's verhogen, aangezien ze meerdere connectiviteitsoplossingen moeten ontwerpen en onderhouden. Met name TPP's zullen verschillende connectiviteitsoplossingen moeten bouwen en onderhouden voor elke ASPSP waarmee ze verbinding willen maken, zowel voor speciale als gebruikersgerichte interfaces. En hoewel TPP's verantwoordelijk zullen zijn voor het identificeren van zichzelf, zullen ASPSP's nog steeds hun gebruikersinterface moeten upgraden om dit mogelijk te maken. Aangezien ASPSP's er niet zeker van kunnen zijn dat ze door hun NBA's een vrijstelling zullen krijgen, of er zeker van kunnen zijn dat deze niet op korte termijn zal worden ingetrokken, moeten ze mogelijk het noodmechanisme als preventieve maatregel instellen.
Dit zou sommige ASPSP's kunnen ontmoedigen om helemaal speciale interfaces te ontwikkelen, wat op zijn beurt de ontwikkeling van gestandaardiseerde interfaces voor applicatieprogrammering zou kunnen vertragen en de interoperabiliteit en concurrentie op de markt zou kunnen verminderen. Dit risico kan verder worden vergroot door de eis om ten minste zes maanden voor de toepassingsdatum van de RTS technische specificaties te publiceren en te voorzien in testfaciliteiten voor PSP's. Dit vermindert effectief de tijd die ASPSP's hebben om hun veilige communicatieoplossingen te ontwikkelen met een derde.
Ten slotte zal het toezicht op en de handhaving van deze noodmaatregelen, waaronder stresstests, beheer van vrijstellingen en monitoring van de prestaties van speciale interfaces, ook aanzienlijke operationele uitdagingen met zich meebrengen voor NBA's en de EBA, waardoor hun toch al beperkte middelen nog meer onder druk komen te staan.
Volgende stappen
De RTS wordt 18 maanden na publicatie in het Publicatieblad van de Europese Unie van toepassing. Onder voorbehoud van het akkoord van de Europese Raad en het Parlement, die drie maanden de tijd hebben om de definitieve tekst te bestuderen, zal de RTS momenteel naar verwachting rond september 2019 van toepassing worden.
[1] De actie waarbij een computerprogramma wordt gebruikt om gegevens van een website te kopiëren, zonder dat u zich hoeft te identificeren.
Dit bericht is geschreven door het UK Deloitte's Risk Advisory-team en het EMEA Centre for Regulatory Strategy en werd voor het eerst gepubliceerd op het Deloitte Financial Services UK-blog.
ERISA, de fiduciaire standaard en Where We Go from Here
Voors, tegens en mogelijke rampen na SECURE Act
4 vermogensstrategieën voor vermogende gepensioneerden onder de SECURE Act
Een erfenis achterlaten na de SECURE Act
5 manieren waarop de SECURE-wet gepensioneerden kan schaden
Pensioen- en vermogensplanningsmogelijkheden na de SECURE Act
SECURE Act Basics:wat iedereen moet weten