Payment Service Directive 2 (PSD2)

Slik innføres EUs nye direktiv for betalings­tjenester i Norge

Buypass er Nordens eneste kvalifiserte utsteder av PSD2-sertifikater, og får nå henvendelser fra hele Europa.

Buypass er Nordens eneste utsteder av PSD2-sertifikater. Fra venstre: Fagansvarlig for sikkerhetssertifikater Mads Henriksveen og Harald Størseth, daglig leder i Buypass Payment.
Buypass er Nordens eneste utsteder av PSD2-sertifikater. Fra venstre: Fagansvarlig for sikkerhetssertifikater Mads Henriksveen og Harald Størseth, daglig leder i Buypass Payment. (Foto: Heidi Sævold)
EKSTRA

Buypass er Nordens eneste kvalifiserte utsteder av PSD2-sertifikater, og får nå henvendelser fra hele Europa.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Med EUs nye betalingstjenestedirektiv (PSD2) vil tredjeparter snart levere betalingstjenester i Norge. Og det er ventet at store selskaper som Facebook, Amazon og Google vil kunne vise og bruke informasjon om norske bankkunders personlige økonomi.

De nye reglene pålegger bankene å åpne sine grensesnitt/API-er for tredjeparter, og dermed konkurranseutsette tjenester som tradisjonelt har vært forbeholdt banker og e-pengeforetak. Formålet er å forbedre banktjenestene og samtidig samkjøre transaksjonsmetodene på tvers av landegrensene i Europa, noe som blant annet kan bidra til lettere å bekjempe økonomisk kriminalitet.

I praksis må bankene dele informasjon om sine kunders betalingskontoer både med andre banker og andre typer virksomheter, typisk fintech-selskaper, fra hele Europa. Disse vil blant annet kunne lage egne betalingsløsninger og initiere betalinger fra bankkundens konto på vegne av kunden. Det vil også kunne komme apper som gir oversikt over brukerens personlige økonomi og sparing.

Men et fullt frislipp av bankenes kundedata er det ikke snakk om. Tredjepartene må først søke konsesjon hos Finanstilsynet, og deretter skaffe seg et såkalt kvalifisert sertifikat for å kunne identifisere seg for bankene.

Og selv om PSD2 trådte i kraft i Norge 1. april, er det flere ting som må skje før direktivet får full effekt.

Her er noen viktige datoer:

14. juni: Bankene må gå live

Et viktig prinsipp i PSD2 er at tredjeparter ikke skal ha noe dårligere utgangspunkt enn bankene selv for å kunne tilby betalingstjenester. Det har derfor blant annet vært diskusjoner i EU om hvilke tilganger og rettigheter tredjepartene bør ha ved eventuell nede-tid hos bankene. For at bankene skal kunne tilpasse og best mulig tilgjengeliggjøre sine API-er, er det lagt opp til at de får tid på seg til å først tilgjengeliggjøre test-API-er etter at loven trådte i kraft.

14. juni er datoen de er nødt til å gå live. Buypass forventer en etterspørsel etter såkalte skarpe sertifikater fra denne datoen.

DNB opplyser i en e-post til Digi at de har åpnet følgende av sine API-er for andre til testing: 

  • Registrer betaling
  • Hent kontoliste
  • Hente transaksjoner for en konto
  • Dekningskontroll på konto
  • Registrer gjentagende betaling
  • Slett fremtidig betaling
  • Godkjenn betaling for bedriftskunder

Målgruppen er først og fremst fintech-selskaper, andre banker, utviklere og teknologistudenter, skriver DNB.

Det er forventet at også bankene selv vil tilby flere tjenester med PSD2, der kunden for eksempel kan få en bedre samlet oversikt over sine kundeforhold i ulike banker.

Bankene vil likevel ha et forsprang, fordi de allerede har godkjenning til å levere betalingsktjenester. De kan derfor søke om sertifikat fra en utsteder uten videre godkjenning, og må kun melde fra til Finanstilsynet om at de ønsker å levere tjenester i henhold til PSD2. Finanstilsynet opplyser til digi at de regner med alle norske banker kommer til å melde fra om dette.

14. september: PSD2 i full effekt 

Den tekniske standarden for direktivet (RTS) trer i kraft i hele EU og EØS først 14. september. Det er først da bankene må gi tilgang til alle godkjente tredjeparter som ønsker å tilby nye betalingstjenester etter PSD2. Dermed er det først fra da det er mulig å måle en den reelle effekten av det nye regelverket har hatt.

Inntil da befinner vi oss derfor i et slags lovmessig vakum, der bankenes API-er skal være tilgjengelige, uten at godkjente tredjeparter nødvendigvis kan kreve tilgang.

I direktivet ligger et krav om en overgangsperiode på minst seks måneder før dette, og de fleste av landene i Europa startet sin testperiode i mars i år eller før. Norge har derfor fått dårligere tid enn andre land.

Test-sertifikater

Buypass er foreløpig er den eneste kvalifiserte tilbyderen av PSD2-sertifikater i Norge og Norden. De tilbyr nå såkalte testsertifikater og planlegger å kunne levere skarpe sertifikater fra slutten av mai. Med testsertifikatene kan tredjeparter begynne å teste ut bankenes test-APIer.

Mads Henriksveen og Harald Størseth ved Buypass’ kontor
Fra venstre: Fagansvarlig for sikkerhetssertifikater Mads Henriksveen og Harald Størseth, daglig leder i Buypass Payment. Foto: Heidi Sævold

Buypass forteller at de har fått forespørsler om PSD2-sertifikater fra alle de store bankene i Norden og Baltikum, og mange spørsmål om når de kan levere. Ifølge selskapet har bestillinger kommet fra norske, svenske og latviske banker og tredjeparter.

Selskapet har allerede utstedt testsertifikater til kunder både i Norge og Sverige.

Buypass åpner også opp for leveranse til Storbritannia på grunn av mange henvendelser.

– I den første uka hadde vi cirka fire-fem konkrete henvendelser om dagen, sier fagansvarlig for sikkerhetssertifikater Mads Henriksveen i Buypass.

Sertifikatene som skal benyttes for PSD2 skal være kvalifiserte sertifikater etter eIDAS-forordningen, et felles europeisk regelverk for sikker elektronisk samhandling på tvers av landegrensene, som trådte i kraft i Norge i fjor. I henhold til dette regelverket er det strenge krav både til utstederen av kvalifiserte sertifikater og prosessene rundt utstedelse av sertifikatene. Eksempelvis kreves det at virksomhetens identitet verifiseres gjennom personlig frammøte av en autorisert representant for virksomheten.

Det blir derfor foreløpig en del manuelt arbeid for Buypass, som nå jobber med å få automatisert mest mulig av prosessen. 

Som utsteder av PSD2-sertifikater må Buypass sjekke at virksomheten finnes i et offentlig register og har nødvendig godkjenning fra Finanstilsynet eller tilsvarende tilsynsmyndighet i andre EU-land.

Selve sertifikatet identifiserer blant annet hvilke roller virksomheten tar som tilbyder av betalingstjenester. De fleste antas å ta følgende roller: Betalingsfullmektig (Payment intitiation service provider, PISP) og opplysningsfullmektig (Account information service provider, AISP).

Mads Henriksveen i Buypass anbefaler at man benytter seg av begge typer PSD2-sertifikater: QWAC (et kvalifisert SSL-sertifikat for sikring i transportlaget), og QC eSeal (et kvalifisert virksomhetssertifikat for signering av meldinger i applikasjonslaget).

For konsesjonssøknaden hos Finanstilsynet og full dekning med begge PSD2-sertifikatene og testsertifikat vil kostnadene for tredjeparter ligge på rundt 90.000 kroner. 

Omfattende søknadsprosess

Finanstilsynet går gjennom omfattende dokumentasjon fra virksomheter som ønsker å kvalifisere seg for et PSD2-sertifikat.

Innenfor området som kapitalkrav, forsikring og antall styremedlemmer vil det være absolutte krav. På andre områder skal de legge frem beskrivelser av virksomheten, blant annet virksomhetens retningslinjer knyttet til sikkerhet.

Olav Johannessen, leder Finanstilsynets seksjon for tilsyn med IT og betalingstjenester.
Olav Johannessen, leder Finanstilsynets seksjon for tilsyn med IT og betalingstjenester. Foto: CF-WESENBERG

Dette innebærer blant annet rutiner som overvåkning av datatrafikk, lagring av sensitiv betalingsinformasjon, sikring av utstyr og tiltak for å beskytte brukerne mot identifiserte risikoer. De vil også måtte dokumentere rutiner for å innhente brukeres samtykke for bruk av betalingstjenestene.

– Vi mener kravene til konsesjon tilsier at det er liten sannsynlighet for useriøse aktører, sier Olav Johannessen, seksjonssjef i Finanstilsynet.

Han forventer at banker og e-pengeforetak, som allerede har konsesjon, vil bli tilbydere av de nye tjenestene. Men han er usikker på hvor mange nye virksomheter som vil søke godkjenning for første gang i forbindelse med PSD2.

– Hadde du spurt meg for to år siden hadde jeg svart at trykket kunne bli stort, men nå er jeg usikker. Det er ikke så lett å komme på en levedyktig idé, for de som ikke allerede leverer banktjenester.

Datatilsynet: – Forbrukerne bør sette seg inn i tjenestene

Datatilsynet vil i samarbeid med andre datatilsynsmyndigheter i Europa følge utviklingen med hensyn til entuelle personvernutfordringer. Og seniorrådgiver Andreas Hobæk i Datatilsynet understreker at de er forberedt på å føre kontroll med hvordan betalingstjenester behandler personopplysninger. Han påpeker samtidig at forbrukerne bør sette seg inn i hva de nye tjenestene gjør, og hva det står i personvernerklæringene om hva dataene deres skal brukes til.

– Mange er nok naturlig litt mer skeptisk når man ser at en ser at en tredjepart skal bruke din betalingskonto. Og forbrukerne har en berettiget forventning om at data om dem ikke skal brukes til noe annet enn selve betalingstjenesten. Men i tilfeller der disse også dataene til noe annet, skal det gis anledning til å velge å ikke samtykke til det, sier Hobæk.

Seniorrådgiveren påpeker at tredjepartstjenestene ikke er noe bankkundene i utgangspunktet er nødt til å bruke.

– Bankene kan her ha interesse i å utvikle egne løsninger for å ikke miste kontaktflaten mot kundene. PSD2 legger imidlertid forholdene til rette for sterke konkurranse, og hvem som ville vinne frem vil kunne avhenge av hvem kundene har tillit til, avslutter Hobæk. 

Kommentarer (0)

Kommentarer (0)
Til toppen