Voor 13 januari 2018 moeten alle EU-lidstaten de PSD2-richtlijn in nationale wetgeving hebben omgezet. Daarmee kunnen online diensten toegang krijgen tot de bankrekening van Europese burgers. Het idee daarachter is dat ze zo nieuwe innovatieve diensten kunnen gaan aanbieden. Tegelijk moet het elektronische betalingsverkeer veiliger worden omdat alle diensten gebruik moeten maken van tweetrapsauthenticatie.
Zonder elektronisch betalingsverkeer zou de enorme groei van online handel niet mogelijk zijn. Voor 2017 wordt alleen al in Europa een omzet van meer dan 250 miljard euro verwacht. Bovendien gaan steeds meer transacties in e-commerce over de landsgrenzen heen.De EU heeft vroeg op deze ontwikkelingen gereageerd. Zo werd al in 2009 de basis gelegd voor een uniforme Europese betaalmarkt met de Payment Services Directive (PSD). Iedereen heeft al wel eens met die PSD te maken gehad: een van de onderdelen is namelijk SEPA, de Single Euro Payments Area, waarvan het IBAN-nummer weer een onderdeel van is. Met de PSD is bovendien de markt voor aanbieders van betaaldiensten in Europa verder geopend.
Makkelijker en veiliger betalen
Nu grijpt de politiek opnieuw in. Voor 13 januari 2018 moeten alle EU-leden namelijk de Payment Services Directive 2 (PSD2) hebben geïmplementeerd in hun nationale wetgeving. Pas recent – op 23 oktober – heeft minister Dijsselbloem hiervoor een wetsvoorstel naar de Tweede Kamer gestuurd. Het kan dan ook bijna niet anders of naast Zweden en België gaat ook Nederland die deadline van 13 januari 2018 niet halen.
De nieuwe richtlijn is volgens de Europese Commissie bedoeld om online betalen makkelijker te maken, klanten beter te beschermen tegen fraude, innovatieve betaalmethoden te bevorderen en de rechten van de consument verder te versterken.
Dat zou PSD2 nog wel eens kunnen waarmaken ook. De belangrijkste wijziging is namelijk dat traditionele banken in de toekomst direct en gratis toegang moeten verlenen tot rekeninggegevens aan derde partijen (Third Party Payment Providers, TPP’s). Deze nieuwe financiële dienstverleners kunnen bij de De Nederlandsche Bank twee verschillende soorten vergunningen aanvragen:
- Betaalinitiatieservices: deze dienstverleners kunnen een saldo-check uitvoeren. Heb je wel voldoende geld op je rekening staan om een product te bestellen? En ze verrichten onlinebetalingen namens de rekeninghouder.
- Rekeninginformatieservices: deze dienstverleners kunnen bankafschriften downloaden en importeren in een kasboekje.
Vooral deze betaalinitiatie- en rekeninginformatieservices (‘payment initiation service providers’ en ‘account information service providers’) gaan profiteren van PSD2 doordat ze het betaalproces bij online aankopen kunnen overnemen of bijvoorbeeld rekeninggegevens kunnen samenvoegen voor multi-banking-apps.
Een dienstverlener die financiële gegevens van bankklanten wil opvragen, moet zich daartoe laten registreren bij een toezichthouder binnen de Europese Unie. Wie vanaf de betaalrekeningen van bankklanten betalingen wil opstarten, moet zelfs een vergunning bij zo’n toezichthouder aanvragen. In Nederland is deze toezichthouder De Nederlandsche Bank, maar bedrijven kunnen dit in principe bij elke toezichthouder in een willekeurige lidstaat doen.
Wat betekent PSD2 voor banken?
Zulke diensten zijn er nu ook al. Alleen geven veel banken derde partijen geen toegang tot hun rekeninggegevens. Daarom nemen online dienstaanbieders vaak een omweg.
Bij de Nederlandse marktleider iDeal is die omweg relatief klein. Dat komt doordat een groot deel van de Nederlandse banken een contract heeft met iDeal-eigenaar Currence B.V. Als klant word je daardoor alleen doorgestuurd naar de omgeving voor internetbankieren van je eigen bank. Die krijgt de betaalgegevens door en handelt bij voldoende saldo de betaling af. Met directe toegang tot rekeninggegevens zou die redirect naar internetbankieren ertussenuit kunnen, maar dat is het dan. Het is daarom maar de vraag of de nieuwe regels voor betaaldiensten als Adyen genoeg bieden om op dit punt de concurrentie met iDeal aan te gaan.
Veel andere diensten, zoals de Duitse iDeal-tegenhanger Sofort, werken met zogeheten screen scraping. Dan geef je de toegangsgegevens voor je bankrekening feitelijk aan de dienstverlener. Die logt vervolgens op de achtergrond voor jou in bij je bank om je saldo te checken en de betaling af te handelen. Je moet dan nog wel bevestigen met een eenmalige pincode die je van je bank krijgt.
Access-to-account-interfaces (XS2A)
Ook veel rekeninginformatiediensten, zoals de automatische bankkoppeling van het Nederlandse huishoudboekje AFAS Personal, gebruiken screen scraping. Daarmee wordt data van meerdere rekeningen bij verschillende banken opgeroepen en gecombineerd tot totaaloverzichten. Maar daar moet nu een eind aan komen. De Europese toezichthouder EBA (European Banking Authority), die verantwoordelijk is voor het uitwerken van de technische standaard van de PSD2, wil communicatie tussen banken en derde partijen (TPP’s) alleen nog toestaan via directe access-to-account-interfaces (XS2A).
De banken krijgen veel vrijheid bij de invulling van die interfaces en de protocollen die ze daarvoor gebruiken. Ze kunnen bijvoorbeeld API’s implementeren of de TPP’s toegang geven tot de bestaande interfaces voor klanten. De Regulatory Technical Standards (RTS) geven wat dat betreft geen gedetailleerde eisen. Het idee is dat de markt dat zelf moet regelen. De XS2A-interfaces moeten alleen techniekneutraal en vooral veilig zijn.
Banken vs. nieuwe betaaldiensten
Het doel van de PSD2 is om de markt te reguleren. Tot nu toe maken banken het de online dienstaanbieders namelijk vaak moeilijk. Nederlandse bedrijven met betaalinitiatie- en rekeninginformatiediensten zullen dan wel een vergunning nodig hebben van De Nederlandsche Bank (DNB). Daarmee komen ze ook onder toezicht te staan van de Autoriteit Financiële Markten (AFM). Bovendien moeten ze zich aan de spelregels houden. Dat betekent onder andere dat ze alleen rekeninggegevens mogen inzien als de klant daar expliciet toestemming voor geeft. Ook mogen ze niet zomaar alle data van een rekening opvragen, maar alleen de gegevens die nodig zijn om hun dienst te kunnen uitvoeren.
Maar ook de banken moeten van de nieuwe XS2A-interfaces profiteren. Zo kunnen ze in de toekomst eigen platforms voor allerlei soorten externe dienstaanbieders bouwen. Die kunnen dan makkelijk bij de rekeninggegevens en potentiële klanten aanbiedingen op maat voorleggen. De Nederlandse banken ABN Amro, ASN Bank, ING, Rabobank, RegioBank en SNS springen hier komende zomer vast op in met ondersteuning voor de app Payconiq. Daarmee kun je betalen bij webshops, fysieke winkels en aan gebruikers onderling via hun telefoonnummer. Ook is er sprake van het vermarkten van de API’s voor nieuwe vormen van gebruikersbeheer.
Klantauthenticatie
Met de PSD2 wordt bovendien de Strong Customer Authentication (SCA) dieper in het elektronisch betalingsverkeer verankerd. In heel Europa moet voor online toegang tot je bankrekening en voor elektronische betalingen gebruikgemaakt worden van tweestapsauthenticatie. Je moet jezelf dan dus identificeren met twee kenmerken uit de categorieën bezit (bankpas, telefoon), kennis (pincode, wachtwoord) en lichaam (biometrische kenmerken). Veel banken doen dat nu al. Die werken bijvoorbeeld met een combinatie van pas en pincode via een kaartlezer of met tancodes via sms.
Natuurlijk zullen daar net als nu allerlei uitzonderingen op zijn. Daarbij worden de limieten wel ruimer dan de huidige Nederlandse regels. Voor betalingen via internet en met je telefoon heb je tot 30 euro maar één authenticatiefactor nodig. Voor contactloze betalingen aan de kassa hoef je bij bedragen onder de 50 euro je pincode niet in te voeren.
Uit veiligheidsoverwegingen wordt na meerdere van deze betalingen zonder SCA op rij toch regelmatig een sterkere authenticatie gevraagd. Bij betaalterminals moet dat na maximaal 150 euro of 5 transacties het geval zijn en bij online betalingen na maximaal 100 euro of eveneens 5 transacties.
Voor betalingen aan onbemande terminals, bijvoorbeeld bij parkeerautomaten of tolwegen hoef je geen pincode meer in te voeren. Bovendien wordt met de PSD2 het eigen risico bij schade door niet geautoriseerde betalingen teruggebracht van 150 euro naar 50 euro – als de klant tenminste niet bijzonder nalatig is geweest.
Zijn betaalgegevens met PSD2 nog wel veilig en privé?
Op basis van PSD2 zijn banken verplicht om betaalgegevens gratis te delen met dienstverleners, maar alleen als de klant daar uitdrukkelijk toestemming voor geeft. Maar hoe moeten nieuwe aanbieders toestemming krijgen van de consument? Hoe krijgen ze precies toegang tot de betaalrekening? En is de privacy van de klant wel voldoende gewaarborgd? Uiteraard willen banken niet alle poorten openzetten naar alle klantgegevens, terwijl de nieuwe fintechbedrijven juist zo min mogelijk beperkingen zien. Ze willen automatisch toegang tot dezelfde bankgegevens als de klant. Waarin hebben ze dan inzage?
Het ministerie van Financiën liet consumentenprogramma Tros Radar weten: ‘De regels met betrekking tot het verlenen van toegang tot de betaalrekening en de toestemming hiervoor van de consument zijn nog niet vastgesteld. Het verlenen van toegang tot de betaalrekening gaat via uitdrukkelijke toestemming van de consument en de betaalinitiatie- of rekeninginformatiedienstverlener, niet tussen de consument en de bank.’ Meer over ‘toegang tot de betaalrekening’ en ‘uitdrukkelijke toestemming’ is te lezen in het Implementatiebesluit herziene richtlijn betaaldiensten.
Klanten kunnen hun toestemming per dienstverlener op ieder moment weer intrekken. De vraag is dan natuurlijk wat die dienstverlener met de verkregen gegevens doet. Worden deze volledig vernietigd of alleen gearchiveerd? En wie controleert dat? De Autoriteit Financiële Markten liet al weten goed in de gaten te houden of de nieuwe dienstverleners niet oneigenlijk gebruik maken van transactiegegevens en of vóóraf goed duidelijk is gemaakt wat ze precies doen met de opgevraagde gegevens. Maar dat hierover het laatste woord nog niet is gesproken, mag duidelijk zijn.
(Peter-Michael Ziegler & Herman Heringa)
Maar hoe zit dit met mensen onder bewindvoering die niet bij hum rekening kunnen. De bewindvoerder betaalt de rekeningen. En zij kunnen en mogen (die toestemming of juist niet ) niet doen.