Nieuwkomers in het betaalverkeer mogen volgend jaar geen gebruik meer maken van alternatieve manieren om toegang tot rekeninginformatie te forceren. De Europese Commissie maakt met haar besluit een einde aan een heet hangijzer in het zogeheten PSD2-dossier.
Deze nieuwe Europese regel verplicht banken klantgegevens te delen met techbedrijven, mits de klant daar toestemming voor geeft. Over de details van deze richtlijn woedt al maanden een bikkelharde strijd tussen fintechpartijen en het traditionele bankwezen.
Nieuwkomers in het betaalverkeer mogen volgend jaar geen gebruik meer maken van alternatieve manieren om toegang tot rekeninginformatie te forceren. De Europese Commissie maakt met haar besluit een einde aan een heet hangijzer in het zogeheten PSD2-dossier.
Deze nieuwe Europese regel verplicht banken klantgegevens te delen met techbedrijven, mits de klant daar toestemming voor geeft. Over de details van deze richtlijn woedt al maanden een bikkelharde strijd tussen fintechpartijen en het traditionele bankwezen.
Bedreiging gaat uit van Google en Amazon
Andere bedrijven, van start-ups tot giganten als Bol.com, Google of Amazon, kunnen dankzij de nieuwe richtlijn genaamd PSD2 een grote bedreiging gaan vormen voor banken. Als zij de beschikking krijgen over de data van bankklanten, kunnen zij diensten leveren aan consumenten die nu alleen banken aanbieden.
Het gaat onder meer om het doen van onlinebetalingen. Een betaling met bijvoorbeeld iDeal verloopt via de banken. Straks kan dat ook via een app van een fintechbedrijf. Ook worden digitale huishoudboekjes mogelijk, net als persoonlijke adviesdiensten: elders bent u goedkoper uit met uw hypotheek.
De richtlijn PSD2 wordt op 13 januari 2018 van kracht en moet leiden tot meer innovatie en concurrentie op de Europese betaalmarkt. Over de technische details van de richtlijn woedde de afgelopen maanden een felle strijd in Brussel. PSD2 is een van de ingrijpendste veranderingen in het bankenlandschap van de laatste jaren.
Banken wilden alleen toegang tot rekeninginformatie geven via een zogenoemde API, een speciale interface waar derden producten op kunnen ontwikkelen. Fintechbedrijven probeerden voor elkaar te krijgen dat zij ook de techniek ‘screenscraping’ mogen blijven gebruiken.
Via deze techniek krijgen derde partijen geautomatiseerd toegang tot precies dezelfde informatie als de bankklant. Zo’n partij kan dan alle transacties op een bankrekening zien, ook de transacties die niet direct relevant zijn voor de dienst die een fintech aanbiedt. De Europese Unie steekt daar een stokje voor, blijkt uit de maandag gepubliceerde technische richtlijn over PSD2.
Brussel volgt daarmee de lijn van de opstellers van het document, de Europese Bankenautoriteit (EBA). De technische standaarden dienen als leidraad om het proces rond PSD2 zo veilig mogelijk in te richten, zonder de nieuw te ontwikkelen diensten gebruiksonvriendelijk te maken en zonder innovatie in de weg te staan.
Technische standaard
In het document is onder meer vastgelegd op welke manier klanten zich moeten identificeren bij het gebruik van die nieuwe innovaties. Ook staat omschreven welke technische eisen er op dat vlak aan de banken en betaalinstellingen worden gesteld. Tevens schrijft het bijvoorbeeld voor hoe vaak een fintech bij de bank in de systemen mag kijken.
Hoewel de technische standaarden nu duidelijk zijn, blijft spannend wat er na 13 januari 2018 gebeurt. Dan dreigt er een ongelijk speelveld in de EU te ontstaan. Volgens PSD2 hebben fintechbedrijven dan toegang tot de data van banken, maar niet alle EU-landen hebben de richtlijn dan al omgezet in nationale wetgeving. Dat geldt ook voor Nederland.
Als gevolg daarvan zullen Nederlandse bedrijven die met de data aan de slag willen, nog geen vergunning kunnen krijgen. Buitenlandse partijen die in eigen land een vergunning hebben gekregen, zullen daarentegen wel toegang eisen tot de Nederlandse markt.
Ijzersterke bankenlobby
In de maandag gepubliceerde Regulatory Technical Standards schrijft de Commissie dat screenscraping gelijk met de invoering van PSD2 in principe verboden wordt. Toegang tot de rekening moet via een API gaan. Daar was veel kritiek op bij nieuwkomers in het betaalverkeer. Fintech’s zijn van mening dat banken met hun API’s nog te veel aan de knoppen zitten.
De bank bepaalt welke informatie op welk moment door deze digitale toegangspoortjes gedeeld wordt. Fintech’s willen juist zo veel en zo vaak mogelijk data verkrijgen. Daarnaast twijfelden fintech’s of banken wel in staat zijn een robuuste API te bouwen. Screenscraping zou een goed alternatief zijn om toegang tot de rekening te faciliteren.
De lobby rond het dossier was heftig, bleek eerder al uit een rondgang langs betrokkenen. ‘Er wordt van alle kanten zwaar op de politiek ingepraat’, bevestigde Gijs Boudewijn van Betaalvereniging Nederland in een eerder gesprek met Het Financieele Dagblad.
Er komt wel een overgangsregeling tussen het in werking stellen van PSD2 en het moment dat de technische standaarden van kracht worden, naar verwachting begin 2019. Tot die tijd blijft screenscraping onder voorwaarden nog mogelijk.
Verder blijkt uit de technische standaard dat de Brussel ervoor kiest de eisen die aan het gebruik van veilige identificatiemethoden gesteld wordt te versoepelen. De grens waarop consumenten minstens twee identificatiemiddelen moeten gebruiken voor alle betalingen op afstand was eerst gelegd op €30, nu is die grens verhoogd tot €50.
Copyright: Het Financieele Dagblad, 27 november 2017