Open bankrekening
De nieuwe Europese betaalrichtlijn PSD2
Voor begin 2018 moeten alle EUlidstaten de Payment Services Directive 2 implementeren in nationale wetten. Daarmee krijgen online diensten toegang tot rekeninggegevens van bankklanten zodat ze nieuwe innovatieve diensten kunnen aanbieden. Bovendien moet het elektronische betalingsverkeer veiliger worden door tweetrapsauthenticatie sterker te integreren.
Zonder elektronisch betalingsverkeer zou de enorme groei van online handel niet mogelijk zijn. Voor 2017 wordt alleen al in Europa een omzet van meer dan 250 miljard euro verwacht. Bovendien gaan steeds meer transacties in de e-commerce over landsgrenzen heen. De EU heeft vroeg op deze ontwikkelingen gereageerd en legde al in 2009 de basis voor een uniforme Europese betaalmarkt met de Payment Services Directive (PSD), oftewel een richtlijn voor betaaldiensten. Iedereen heeft al wel eens met die PSD te maken gehad. Een van de resultaten was namelijk de Single Euro Payments Area (SEPA). En een van de onderdelen van SEPA is dan weer het IBAN-nummer dat het tegenwoordig zo lastig maakt om overschrijvingen in te vullen. Met de PSD is bovendien de markt voor aanbieders van betaaldiensten in Europa verder geopend.
Omwegen
Nu grijpt de politiek opnieuw in. Voor begin 2018 moeten de leden van de Europese Unie de Payment Services Directive 2 (PSD2) implementeren in nationale wetgeving. Volgens de Europese Commissie is de nieuwe richtlijn onder andere bedoeld om online betalen nog makkelijker te maken, klanten beter te beschermen tegen fraude, innovatieve betaalmethoden te bevorderen en de rechten van de consument verder te versterken.
En de PSD2 zou dat best eens waar kunnen maken. De belangrijkste vernieuwing is dat traditionele banken in de toekomst direct toegang tot rekeninggegevens moeten geven aan derde partijen: Third Party Payment Providers (TPP's). De banken moeten zelf zorgen voor de benodigde technische interfaces. Vooral betaalinitiatieen rekeninginformatiediensten ('payment initiation service providers' en 'account information service providers') profiteren hiervan. Die kunnen het betaalproces bij online aankopen overnemen of bijvoorbeeld rekeninggegevens samenvoegen voor multi-banking-apps.
Zulke diensten zijn er nu ook al, maar omdat veel banken derde partijen geen toegang geven tot hun rekeninggegevens,
nemen online dienstaanbieders vaak een omweg.
Bij de Nederlandse marktleider iDeal is die omweg dankzij contracten tussen een groot deel van de Nederlandse banken en iDeal-eigenaar Currence B.V. relatief klein. Als klant word je alleen doorgestuurd naar de omgeving voor internetbankieren van je eigen bank, die de betaalgegevens doorkrijgt en bij voldoende saldo de betaling afhandelt. Met directe toegang tot rekeninggegevens zou die redirect naar internetbankieren ertussenuit kunnen, maar dat is het dan. Het is daarom maar de vraag of de nieuwe regels voor betaaldiensten als Adyen genoeg bieden om op dit punt de concurrentie met iDeal aan te gaan.
Veel andere diensten, zoals de Duitse iDeal-tegenhanger Sofort, werken met zogeheten screen scraping. Dan geef je de toegangsgegevens voor je bankrekening feitelijk aan de dienstverlener en die logt op de achtergrond voor jou in bij je bank om je saldo te checken en de betaling af te handelen. Je moet dan nog wel bevestigen met een eenmalige pincode die je van je bank krijgt.
Access-to-account
Ook veel rekeninginformatiediensten, zoals de automatische bankkoppeling van het Nederlandse huishoudboekje AFAS Personal, gebruiken screen scraping. Daarmee wordt data van meerdere rekeningen bij verschillende banken opgeroepen en gecombineerd tot totaaloverzichten. Maar daar moet nu een eind aan komen. De Europese toezichthouder EBA (European Banking Authority), die verantwoordelijk is voor het uitwerken van de technische standaard van de PSD2, wil communicatie tussen banken en derde partijen (TPP's) alleen nog toestaan via directe access-toaccount-interfaces (XS2A).
De banken krijgen veel vrijheid bij de invulling van die interfaces en de protocollen die ze daarvoor gebruiken. Ze kunnen bijvoorbeeld API's implementeren of de TPP's toegang geven tot de bestaande interfaces voor klanten. De Regulatory Technical Standards (RTS) geven wat dat betreft geen gedetailleerde eisen. Het idee is dat de markt dat zelf moet regelen. De XS2Ainterfaces moeten alleen techniekneutraal en vooral veilig zijn.
Het doel van de PSD2 is om de markt te reguleren, omdat banken het de online dienstaanbieders tot nu toe vaak moeilijk maakten. Nederlandse bedrijven met betaalinitiatieen rekeninginformatiediensten zullen dan wel een vergunning nodig hebben van De Nederlandsche Bank (DNB) en onder toezicht komen te staan van de Autoriteit Financiële Markten (AFM). Bovendien moeten ze zich aan de spelregels houden. Dat betekent onder andere dat ze alleen rekeninggegevens mogen inzien als de klant daar expliciet toestemming voor geeft. Ook mogen ze niet zomaar alle data van een rekening opvragen, maar alleen de gegevens die nodig zijn om hun dienst te kunnen uitvoeren.
Maar ook de banken moeten van de nieuwe XS2A-interfaces profiteren. Zo kunnen ze in de toekomst eigen platforms voor allerlei soorten externe dienstaanbieders bouwen, zodat die makkelijk bij de rekeninggegevens kunnen en potentiële klanten aanbiedingen op maat kunnen voorleggen. De Nederlandse banken ABN Amro, ASN Bank, ING, Rabobank, RegioBank en SNS springen hier komende zomer vast op in met ondersteuning voor de app Payconiq. Daarmee kun je betalen bij webshops, fysieke winkels en aan gebruikers onderling via hun telefoonnummer. Ook is er sprake van het vermarkten van de API's voor nieuwe vormen van gebruikersbeheer.
Klantauthenticatie
Met de PSD2 wordt bovendien de Strong Customer Authentication (SCA) dieper in het elektronisch betalingsverkeer verankerd. In heel Europa moet voor online toegang tot je bankrekening en voor elektronische betalingen gebruikgemaakt worden van tweestapsauthenticatie. Je moet jezelf dan dus identificeren met twee kenmerken uit de categorieën bezit (bankpas, telefoon), kennis (pincode, wachtwoord) en lichaam (biometrische kenmerken). Veel banken doen dat nu al, bijvoorbeeld met een combinatie van pas en pincode via een kaartlezer of met tancodes via sms.
Natuurlijk zullen daar net als nu allerlei uitzonderingen op zijn. Daarbij worden de limieten wel ruimer dan de huidige Nederlandse regels. Voor betalingen via internet en met je telefoon heb je tot 30 euro maar één authenticatiefactor nodig en voor contactloze betalingen aan de kassa hoef je bij bedragen onder de 50 euro je pincode niet in te voeren.
Uit veiligheidsoverwegingen wordt na meerdere van deze betalingen zonder SCA op rij toch regelmatig een sterkere authenticatie gevraagd. Bij betaalterminals moet dat na maximaal 150 euro of 5 transacties het geval zijn en bij online betalingen na maximaal 100 euro of eveneens 5 transacties.
Voor betalingen aan onbemande terminals, bijvoorbeeld bij parkeerautomaten of tolwegen hoef je geen pincode meer in te voeren. Bovendien wordt met de PSD2 het eigen risico bij schade door niet geautoriseerde betalingen teruggebracht van 150 euro naar 50 euro – als de klant tenminste niet bijzonder nalatig is geweest.
(hhe)