Twintig maanden nadat de Europese Bankautoriteit (EBA) het eerste ontwerp had uitgebracht, werd op 13 maart eindelijk de technische reguleringsnorm (RTS) inzake sterke klantauthenticatie (SCA) en Common Secure Communication (CSC) onder de herziene Richtlijn betalingsdiensten (PSD2) gepubliceerd in het Publicatieblad van de Europese Unie.
De lengte van het proces en het aantal iteraties dat nodig is om het standaardbewijs af te ronden de complexiteit van het ontwikkelen van regels om een gelijk speelveld tussen verschillende marktdeelnemers tot stand te brengen, terwijl tegelijkertijd wordt gezorgd voor technologische neutraliteit, consumentenbescherming en verbeterde veiligheid in betalingsdiensten .
De afronding van de RTS is een belangrijke mijlpaal die bedrijven veel meer duidelijkheid en zekerheid zal geven over hoe ze hun PSD2-compliance en strategische programma's vooruit kunnen helpen. Desalniettemin laat de definitieve RTS nog een aantal belangrijke vragen open, met name met betrekking tot het ontwikkelen en testen van toegangsinterfaces voor Third Party Providers (TPP's).
De definitieve tekst van de RTS, die hetzelfde blijft als de versie die de Europese Commissie afgelopen november heeft gepubliceerd, is vanaf 14 september 2019 in zijn geheel van toepassing. Vanaf 14 maart 2019 moeten Account Servicing Payment Service Providers (ASPSP's) echter de technische specificaties van hun toegangsinterfaces (hetzij specifiek of gebruikersgericht) beschikbaar stellen aan TPP's, en hen ook een testfaciliteit bieden om tests uit te voeren met de software en applicaties die TPP's zullen gebruiken om diensten aan hun gebruikers aan te bieden.
De RTS specificeert alleen dat ASPSP's ervoor moeten zorgen dat hun interfaces de communicatiestandaarden volgen die zijn uitgegeven door internationale of Europese normalisatie-organisaties. De Commissie erkent dat het ontbreken van meer gedetailleerde vereisten een uitdaging is, maar is van mening dat het de verantwoordelijkheid van marktdeelnemers is om samen te werken om een oplossing te ontwikkelen die voor alle partijen werkt.
Om dit te vergemakkelijken heeft de Commissie de oprichting voorgesteld van een Application Programming Interface Evaluation Group (API EG) om gestandaardiseerde API-specificaties te evalueren om ervoor te zorgen dat ze voldoen aan PSD2 en andere relevante wetgeving, waaronder de nieuwe Algemene Verordening Gegevensbescherming (AVG), en voldoen aan de behoeften van ASPSP's, TPP's en Payment Service Users (PSU's). De Europese Commissie, de EBA en de Europese Centrale Bank (ECB) zullen waarnemers zijn in de API EG, maar zullen marktspelers indien nodig bijstaan.
De aanbevelingen en richtlijnen van de API EG zullen trachten geharmoniseerde marktpraktijken te creëren in alle EU-lidstaten. Dit zal niet alleen de implementatietijden en -kosten voor zowel ASPSP's als TPP's verkorten, maar zal ook cruciaal zijn om effectieve grensoverschrijdende concurrentie mogelijk te maken op basis van PSD2-compatibele producten en diensten.
Gemeenschappelijke communicatienormen kunnen de nationale bevoegde autoriteiten (NBA's) ook ondersteunen bij het bepalen of individuele ASPSP's, als ze ervoor hebben gekozen een speciale interface te ontwikkelen, moeten worden vrijgesteld van het instellen van het fallback-mechanisme (dwz het openstellen van hun gebruikersinterfaces als veilige communicatie kanaal), waarop TPP's kunnen vertrouwen als dergelijke speciale interfaces niet voldoen aan de algemene marktacceptatiecriteria of langer dan 30 seconden niet beschikbaar zijn.
Dit kan helpen om, zij het slechts gedeeltelijk, een deel van de door de EBA geuite bezorgdheid weg te nemen dat de bepalingen in de definitieve RTS - inclusief stresstests, beheer van vrijstellingen en monitoring van de prestaties van speciale interfaces - aanzienlijke en buitensporige extra administratieve en operationele belasten zowel de EBA als de NBA's.
De API EG begon zijn werkzaamheden in januari, met als doel om tegen juni 2018 definitieve richtlijnen en aanbevelingen te geven over API-normen, waarna het zich zal concentreren op het definiëren van principes en aanpak op hoog niveau voor een gemeenschappelijk testkader voor toegangsinterfaces.
De RTS specificeert alleen dat ASPSP's ervoor moeten zorgen dat hun interfaces de communicatiestandaarden volgen die zijn uitgegeven door internationale of Europese normalisatie-organisaties. De Commissie erkent dat het ontbreken van meer gedetailleerde eisen een uitdaging is, maar is van mening dat het de verantwoordelijkheid van marktdeelnemers is om samen te werken om een oplossing te ontwikkelen die voor alle partijen werkt.
Om dit te vergemakkelijken heeft de Commissie de oprichting voorgesteld van een Application Programming Interface Evaluation Group (API EG) om gestandaardiseerde API-specificaties te evalueren om ervoor te zorgen dat ze voldoen aan PSD2 en andere relevante wetgeving, waaronder de nieuwe Algemene Verordening Gegevensbescherming (AVG), en voldoen aan de behoeften van ASPSP's, TPP's en Payment Service Users (PSU's). De Europese Commissie, de EBA en de Europese Centrale Bank (ECB) zullen waarnemers zijn in de API EG, maar zullen marktspelers indien nodig bijstaan.
De aanbevelingen en richtlijnen van de API EG zullen trachten geharmoniseerde marktpraktijken te creëren in alle EU-lidstaten. Dit zal niet alleen de implementatietijden en -kosten voor zowel ASPSP's als TPP's verminderen, maar zal ook cruciaal zijn om effectieve grensoverschrijdende concurrentie mogelijk te maken op basis van PSD2-compatibele producten en diensten.
Gemeenschappelijke communicatienormen kunnen de nationale bevoegde autoriteiten (NBA's) ook ondersteunen bij het bepalen of individuele ASPSP's, als ze ervoor hebben gekozen een speciale interface te ontwikkelen, moeten worden vrijgesteld van het instellen van het fallback-mechanisme (dwz het openstellen van hun gebruikersinterfaces als veilige communicatie kanaal), waarop TPP's kunnen vertrouwen als dergelijke speciale interfaces niet voldoen aan de gemeenschappelijke marktacceptatiecriteria of langer dan 30 seconden niet beschikbaar zijn.
Dit kan helpen om, zij het slechts gedeeltelijk, een deel van de door de EBA geuite bezorgdheid weg te nemen dat de bepalingen in de definitieve RTS - inclusief stresstests, beheer van vrijstellingen en monitoring van de prestaties van speciale interfaces - aanzienlijke en buitensporige extra administratieve en operationele belasten zowel de EBA als de NBA's.
De API EG begon zijn werkzaamheden in januari, met als doel om tegen juni 2018 definitieve richtlijnen en aanbevelingen te geven over API-normen, waarna het zich zal concentreren op het definiëren van principes en aanpak op hoog niveau voor een gemeenschappelijk testkader voor toegangsinterfaces.
In onze EMEA-brede PSD2-enquête van vorig jaar merkten veel bedrijven op dat het ontbreken van een definitieve RTS problemen veroorzaakte bij het definiëren van hun bredere nalevingsprogramma's. Nu de regels zijn afgerond, inclusief de korte implementatietermijnen, moeten Europese bedrijven op volle snelheid doorzetten, niet alleen met betrekking tot hun communicatie-interfaces, maar ook met betrekking tot hun SCA-oplossingen.
Vanuit Zwitsers perspectief is er momenteel echter beperkte druk op bedrijven om door te gaan met de implementatie, aangezien Zwitserse bedrijven voorlopig niet verplicht zijn om te voldoen aan PSD2, behalve hun dochterondernemingen in de EU, die betalingsdiensten aanbieden. Zwitserse banken hebben dus de vrijheid om te beslissen of en hoe ze hun API's toegankelijk maken voor derden.
Wij zijn van mening dat het verstandig is om de bovengenoemde aankondigingen van de EBA nauwkeurig te beoordelen en met name de resultaten van het werk van de API EG te volgen, aangezien verwacht wordt dat de druk, met name van klanten, zal toenemen verhogen zodra de dienst beschikbaar is in de aangrenzende EU-landen. Het monitoren van de implementatie zal niet alleen duidelijkheid verschaffen over de open vraag over het ontwikkelen en testen van toegangsinterfaces voor TTP's, het zal Zwitserse banken ook de mogelijkheid bieden om zich voor te bereiden op een toekomstig Open Banking Ecosysteem.
Aangezien banken met dochterondernemingen die betalingsdiensten in de EU aanbieden, al op 14 september 2019 aan de RTS moeten voldoen, zullen ze nauwlettend moeten toezien op de manier waarop de communicatienormen in de EU worden gedefinieerd en geïmplementeerd. Ook zouden deze banken het efficiënter kunnen vinden om de veranderingen in hun hele bank door te voeren om gebruik te maken van de noodzakelijke investeringen voor een toekomstig Open Banking Ecosysteem. Afhankelijk van de dynamiek van deze ontwikkeling op de Zwitserse markt, is het waarschijnlijk dat de druk op andere Zwitserse spelers sneller zal toenemen dan momenteel wordt verwacht.
Deze blog is voor het eerst geschreven door het Deloitte EMA Center for Regulatory Strategy. Klik hier om meer te lezen over het onderwerp open bankieren.
De landen met het meeste en minste geld
Hoe de U.S. Mint en a Breath Mint muntentekorten veroorzaken
ERISA, de fiduciaire standaard en Where We Go from Here
Waarom POEMS de afgelopen 14 jaar mijn belangrijkste makelaar is geweest en nog steeds telt
Plum Review - Is 'AI' de beste manier om te sparen en te investeren?
Nerds en vrije geesten kunnen zich verenigen over het budget
De vragen rondom overlijdens- en permanent levensverzekeringen