De EBA heeft nu de voorgestelde wijzigingen van de Europese Commissie op haar ontwerp-RTS inzake sterke klantauthenticatie (SCA) en gemeenschappelijke en veilige communicatie onder de herziene Richtlijn betalingsdiensten (PSD2) gepubliceerd, evenals de begeleidende brief van de Commissie waarin de belangrijkste geïntroduceerde wijzigingen worden uiteengezet. Beide documenten zijn op woensdag 24 mei ingediend bij de EBA, maar zijn pas op vrijdag 1 juni openbaar gemaakt.

1. Onafhankelijke controle van de beveiligingsmaatregelen in gevallen waarin de vrijstelling voor transactierisicoanalyse wordt toegepast. (Zie hoofdstuk 1, artikel 3, lid 2, van het ontwerp van de EBA en van de gewijzigde technische reguleringsnormen van de Commissie).
   Payment Service Providers (PSP's) die gebruik maken van de SCA-vrijstelling "Transactierisicoanalyse" (volgens artikel 18) laten minimaal jaarlijks een wettelijke controle uitvoeren op de methodologie, het model en de gerapporteerde fraudepercentages basis. De Commissie heeft dit ingevoerd om ervoor te zorgen dat de gebruikte methode voor risicoanalyse objectief en consistent is.
2. Invoering van een nieuwe vrijstelling voor SCA voor bepaalde zakelijke betalingsprocessen . (Zie hoofdstuk III, NIEUW artikel 17)
   PSP's mogen SCA niet toepassen op rechtspersonen die elektronische betalingstransacties initiëren door middel van speciale zakelijke betalingsprocessen of -protocollen, op voorwaarde dat de relevante bevoegde autoriteit ex- vooraf, dat ze ervan overtuigd zijn dat die processen of protocollen ten minste gelijkwaardige beveiligingsniveaus garanderen als die welke door PSD2 worden nagestreefd.
3. Fraudemelding door PSP's rechtstreeks aan de EBA. (Zie Hoofdstuk III, Artikelen 16(2) en 17(2) van het EBA-ontwerp - Artikel 18 en 19 van de gewijzigde RTS van de Commissie)
   De Commissie heeft meer details toegevoegd aan de manier waarop betalingsdienstaanbieders het risico moeten berekenen score van elke betalingstransactie. Bovendien moeten de methodologie en elk model dat door de betalingsdienstaanbieder wordt gebruikt om de fraudepercentages te berekenen, evenals de fraudepercentages zelf, worden gedocumenteerd en volledig beschikbaar worden gesteld aan de bevoegde autoriteiten en aan de EBA. Dit betekent dat de EBA toegang zal hebben tot individuele fraudegegevens van betalingsdienstaanbieders in plaats van te vertrouwen op geaggregeerde gegevens op hoog niveau die worden gerapporteerd door bevoegde autoriteiten.
4. Noodmaatregelen in geval van onbeschikbaarheid of onvoldoende prestatie van de speciale communicatie-interface. (Zie hoofdstuk 5, artikel 28 van het EBA-ontwerp – artikel 33 van de gewijzigde RTS van de Commissie)

Zoals verwacht heeft de Commissie een wijziging van de RTS ingevoerd waarin staat dat, als de speciale interface gedurende meer dan 30 seconden niet beschikbaar is tijdens een communicatiesessie tussen betalingsdienstaanbieders, of wanneer deze niet werkt in overeenstemming met de vereisten van de artikelen 30 en 32 (Algemeen verplichtingen voor een speciale interface), moeten betalingsinitiatiedienstenaanbieders (PISP's) en rekeninginformatiedienstverleners (AISP's) toegang krijgen tot de interfaces die ter beschikking worden gesteld aan de betalingsdienstgebruikers voor directe toegang tot hun betaalrekening online, totdat de speciale interface is hervat functioneren. Er zijn verschillende voorwaarden van toepassing (zie artikel 33, lid 3 voor meer details), waaronder identificatie- en authenticatieprocedures, maar in feite introduceert deze bepaling opnieuw een element van screen scraping als noodmaatregel.

Het EBA-voorstel om screenscraping te verbieden werd door banken verwelkomd, maar werd fel bestreden door de FinTech-sector, die dacht dat het derde partijen (TPP's) zou benadelen. Om de zorgen weg te nemen, heeft de Commissie deze wijziging aangebracht om ervoor te zorgen dat onbeschikbaarheid of ontoereikende prestaties van de speciale interface PISP's en AISP's niet beletten hun diensten aan hun gebruikers aan te bieden. Anders zou een bank haar eigen betalingsdiensten kunnen aanbieden via de gebruikersgerichte interfaces, die probleemloos werken, terwijl PISP's en AISP's dat niet zouden kunnen.

Hoewel het compromis in theorie logisch is, valt nog te bezien hoe werkbaar het in de praktijk is. Aan de ene kant zullen banken hun gebruikersinterfaces moeten upgraden om TPP's te kunnen identificeren, ervoor zorgen dat ze alleen toegang krijgen als de speciale interface niet beschikbaar is, en de gevoelige informatie van klanten beschermen waar TPP's geen toegang toe hebben. Aan de andere kant, aangezien communicatie-interfaces voor elke bank kunnen verschillen, zullen TPP's verschillende connectiviteitsoplossingen moeten bouwen en onderhouden voor elke bank waarmee ze verbinding willen maken, en voor zowel de speciale als gebruikersgerichte interfaces van de bank - wat kostbaar en tijdrovend kan zijn consumeren.

Tot slot, hoewel de aanvullende SCA-vrijstelling voor zakelijke betalingen en de aanvullende garanties over transactierisicoanalyse en fraudemodellen welkom zijn, verlengen de voorgestelde wijzigingen de overgangsperiode tussen de implementatiedatum van PSD2 (januari 2018) en de datum waarop de bepalingen opgenomen in deze RTS van toepassing zal worden – nu geschat in het voorjaar van 2019. Dit creëert extra uitdagingen voor zowel nieuwkomers, die bijvoorbeeld nog bijna twee jaar niet op API’s kunnen vertrouwen, als voor zittende banken, die zullen moeten blijven ondersteunen bestaande oplossingen (bijv. screen scraping), terwijl ze tegelijkertijd hun RTS-compatibele communicatie-interfaces ontwikkelen.

Volgende stappen

• De EBA heeft tot 5 juli de tijd om haar advies te geven over de gewijzigde RTS
• Na deze periode kan de Commissie de RTS aannemen, rekening houdend met het advies van de EBA of het negeren
• Zodra de Commissie de RTS officieel heeft aangenomen, begint de drie maanden durende toetsingsperiode van het Parlement en de Raad

Ga voor meer informatie over dit onderwerp naar:

• PSD2 opent de deur voor nieuwkomers op de markt
• Betalingen onderbroken
• PSD2 RTS over authenticatie en communicatie | De duivel zit in het (gebrek aan) details
• PSD2 – EBA kiest voor flexibiliteit om een ​​meer evenwichtige aanpak te bereiken

Dit bericht is geschreven door Stephen Ley en Steven Bailey in het Risk Advisory-team van Deloitte en Valeria Gallo in het EMEA Centre for Regulatory Strategy en werd voor het eerst gepubliceerd op de blog van Deloitte Financial Services UK.