EU:s reviderade betaltjänstdirektiv, PSD2, kan komma att revolutionera betalningsindustrin när EU-länderna implementerar det i sina nationella lagar 2018. Bjørn Søland, teknisk expert på identitets- och säkerhetsföretaget Nexus Group, förklarar direktivet och dess konsekvenser på 3 minuter.
Vad är nytt i PSD2?
”Bankernas monopol på kundens uppgifter försvinner. Det här gör det möjligt för bankkunder, både företag och konsumenter, att ge tredjepartsleverantörer tillstånd att hämta kontodata från deras banker. Det här innebär bland annat att tredjepartsleverantörerna kan initiera betalningar direkt från användarnas bankkonton.”
”PSD2 kräver också starkare identitetskontroller av användare när de betalar online.”
”PSD2 är ett omfattande direktiv, och det innehåller även en rad mindre revolutionära nyheter, som en begränsning av de kostnader som får tas ut för kortbetalningar och bättre konsumentskydd mot bedrägerier”, säger Bjørn Søland.
Vad är Europeiska kommissionens mål med PSD2?
”Direktivets huvudsyfte är att skapa en enda integrerad marknad för betaltjänster genom att standardisera reglerna för bankerna och för de nya betaltjänstleverantörer som vi har börjat se. PSD2 kommer att säkerställa öppenhet och rättvis konkurrens och bryta ner hinder för nya betalningstjänster, vilket kommer att gynna kunderna”, säger Bjørn Søland.
Läs blogginlägget Därför ska du göra EU:s nya dataskyddsförordning (GDPR) till din vän
Varför kan PSD2 komma att revolutionera betalningsindustrin?
”PSD2 kommer att ändra värdekedjan för betalningar och vilka affärsmodeller som är lönsamma. När bankkunder kan använda tredjepartsleverantörer, så som sociala medie-plattformar eller meddelandeappar, för att betala räkningar direkt från sina bankkonton kan bankerna förlora många av kundinteraktionerna – om bankerna inte skapar lika attraktiva lösningar.
”Vi kommer se många nya tjänster. Bankkunderna kommer till exempel att kunna ge tredjepartsleverantörer tillstånd att analysera deras utgiftsbeteende eller samla deras kontoinformation från flera banker i en översikt. Bankerna kommer att behöva ge tredjepartsleverantörerna tillgång till deras kunders konton via öppna applikationsprogrammeringsgränssnitt (application program interfaces, APIs)”, säger Bjørn Søland.
Vad betyder ”starkare identitetskontroller” i praktiken?
”När kunderna får åtkomst till sina betalningskonton online, initierar elektroniska betalningstransaktioner eller utför andra åtgärder via fjärrkanaler som kan innebära risk för betalningsbedrägerier eller andra brott, krävs så kallad stark autentisering.”
”Mycket förenklat är stark autentisering ett förfarande som baseras på användningen av två eller flera element ur kategorierna kunskap, ägande och varande. Det betyder att användaren inte får autentisera sig med bara ett statiskt lösenord”, säger Bjørn Søland.
Vem ansvarar för autentisering av kunden nu när så många nya spelare väntas?
”Det finns fortfarande några saker som måste klargöras, men det verkar tydligt att de nya aktörerna har rätt att förlita sig på bankens autentisering av användaren. Det innebär att autentiseringsförfarandet förmodligen kommer att förbli helt och hållet inom bankens kompetensområde.”
”Det betyder att bankerna måste erbjuda stark autentisering, inte bara för att skydda sina egna tjänster utan indirekt också för att skydda de nya aktörernas tjänster”, säger Bjørn Søland.
Finns det lämpliga standarder på plats?
”Europeiska bankmyndigheten (European Banking Authority, EBA) har skapat regulatoriska tekniska standarder. De är teknikneutrala för att möjliggöra innovation, men nackdelen är att det kommer att finnas många olika tekniska lösningar istället för en enda EU-omfattande lösning som kan utmana spelare som Visa och MasterCard.”
”Men majoriteten av betalningarna i ett land sker lokalt, och jag tror att vi kommer att få se många landsomfattande initiativ innan vi ser framgångsrika betalningssystem på EU-nivå”, säger Bjørn Søland.
Har du några råd till bankerna?
”Det råder fortfarande mycket osäkerhet kring PSD2 – och 2018 närmar sig snabbt. Jag är kan inte ge bankerna råd om hur de bör implementera sina API:er, men när det gäller stark autentisering rekommenderar jag en mångsidig autentiseringslösning som kan hantera många olika autentiseringsmetoder, både befintliga och nya när de blir tillgängliga.”
”Jag skulle också rekommendera bankerna att vara innovativa och erbjuda nya tjänster – annars kan de förlora stora delar av kundinteraktionerna”, säger Bjørn Søland.