De RTS voor toegang tot de betaalrekening onder PSD2

Michal Kalina is sinds december 2015 op projectbasis aangetrokken door de Rabobank om te bewerkstelligen dat zij op het juiste moment compliant is aan de PSD2. Daarnaast adviseert hij het management over allerlei PSD2 gerelateerde onderwerpen.

Wat is een Regulatory Technical Standard (RTS)?

Anders dan bij de PSD (PSD1) worden in de PSD2 onderdelen als het ware uitbesteed ter verdere uitwerking aan in dit geval de EBA, de European Banking Authority, een apart orgaan van de EU dat is opgericht naar aanleiding van de financiële crisis om het toezicht op de financiële sector te versterken. Vanuit de PSD2 heeft de EBA 11 mandaten ontvangen, sommige hebben de vorm van een Guideline, andere de vorm van een Regulatory Technical Standard (RTS). Een RTS wordt aangeboden aan de Europese Commissie die haar formeel vaststelt, dat wil zeggen publiceert net als een Richtlijn zoals de PSD2 of een Verordening. Tussen aanbieding en vaststelling kan zo’n RTS echter nog wijzigingen ondergaan.

Tijdlijnen RTS

Hoe banken derden toegang dienen te verlenen tot de betaalrekening van de klant en met diens uitdrukkelijke toestemming, dat is kort gezegd het onderwerp van de RTS voor toegang tot de betaalrekening (formeel RTS voor Sterke CliëntAuthenticatie en Veilige Communicatie). Deze RTS heeft een record aan marktrespons teweeggebracht tijdens de consultatieperiode vorig jaar, ruim meer dan de RTS die de beloning van topbankiers aan banden moest leggen een paar jaar geleden. De RTS voor toegang tot de betaalrekening had uiterlijk 13 januari 2017 aangeboden moeten worden aan de Europese Commissie maar de EBA heeft meer tijd nodig om de respons te verwerken. Niet zo verwonderlijk als je bedenkt dat de EBA een stortvloed aan kritiek te verduren heeft gehad over deze RTS, niet in de laatste plaats door het Europees Parlement bij monde van nota bene de steller van de PSD2 zelf. Op sommige punten staan de EBA en de ECB (en sommige marktpartijen) lijnrecht tegenover het Europees Parlement en de Commissie, op andere punten vindt de EBA vrijwel de hele bankensector tegenover zich (maar andere marktpartijen weer aan haar kant). Eigenlijk kun je wel stellen dat helemaal niemand vrolijk wordt van de huidige RTS. Het zou dus nog lang kunnen duren, maanden tot een jaar, voordat de Europese Commissie de RTS publiceert. Met alle onzekerheid van dien voor de markt. Eenmaal vastgesteld hebben marktpartijen vervolgens 18 maanden de tijd om compliant te worden aan de RTS.

Wat houdt die RTS nu (niet) in?

Er bestaat nogal wat misverstand over de inhoud van de (huidige) RTS. De term schept ook verwarring, wie er een technische standaard in verwacht aan te treffen komt bedrogen uit. Op z’n best kun je er functionele requirements in lezen, maar standaardisatie en harmonisatie wordt aan de markt overgelaten en is bovendien niet eens verplicht. Hoe dat straks moet gaan werken tussen de meer dan 7000 banken in Europa (ook onderling), nog eens honderden Fintechs, plus naar alle waarschijnlijkheid ook de Bigtechs en andere derden, en dat ook nog eens in afwezigheid van een overeenkomst tussen een derde en een bank, dat zal de tijd uitwijzen; dynamisch is het in elk geval wel. Enkele misverstanden over de RTS:

• De RTS schrijft voor dat banken door middel van API’s hun infrastructuur dienen open te stellen en zo toegang tot de betaalrekeningen verlenen. De hele term API of synoniemen daarvan zul je niet aantreffen in de RTS, noch in de PSD2. Beiden zijn ‘technologie neutraal’.
• De PSD2 schrijft voor dat banken screen scraping, ook wel ‘overlay technieken’ zullen moeten toestaan op hun online bankierenplatform. Dit is hét strijdpunt tussen de EBA en ECB enerzijds en het Europees Parlement en de Commissie anderzijds. De EBA stelt simpelweg dat dat er helemaal niet staat en niet eens bedoeld wordt. Daarentegen schrijft de RTS voor dat áls een bank een ‘dedicated communication interface’ aanbiedt, en hiervoor mag je ook API’s lezen, dán dient een derde partij daar verplicht gebruik van te maken.
• Consumenten zullen een nieuw ‘identificatiekastje’ of ‘pasjeskastje’ nodig hebben om online transacties te autoriseren. Consumenten zullen veel vaker dan nu het geval is door middel van Sterke Authenticatie transacties autoriseren. “Sterk” wil zeggen dat minstens 2 van de volgende 3 factoren toegepast worden: iets dat je weet (kenniselement, bv. een PIN code), iets dat je hebt (bezitselement, bv. een betaalpas), iets dat je bent (eigenschapselement, bv. een vingerafdruk). Daarbij dient er ook nog een ‘dynamische koppeling’ tot stand te worden gebracht met het bedrag van de transactie en de betreffende begunstigde. Ofwel, what you see is what you sign. De Nederlandse banken gebruiken daartoe een e.dentifier, digipas, Scanner, random reader of dergelijke ‘kastjes’. Of een procedure met TAN codes. Die middelen en procedures zullen niet vervangen hoeven worden. Maar omdat de grens waarboven sterke authenticatie verplicht is voor online transacties in de huidige RTS op EUR 10,- is gelegd (en tevens indien cumulatief boven de EUR 100,-), zul je als consument veel vaker het kastje tevoorschijn moeten halen. Webwinkeliers maken zich terecht zorgen om hun conversieratio’s.
• Ik moet straks mijn bank vertellen dat ik helemaal niet wil dat derden al mijn bankgegevens kunnen inzien. Voor betaalinitiatiediensten en rekeninginformatiediensten geldt geen ‘opt out’ maar een ‘opt in’. De bank verstrekt rekeninginformatie aan een derde omdat jij als klant daarom vraagt. De toestemming verstrekt de klant met gebruikmaking van de door de bank verstrekte middelen en procedure (datzelfde ‘kastje’ etc.).

Geplaatst op: 17 januari 2017