Open Banking tar form under 2019

2019-03-05 Nyheter

EU:s andra betaltjänstdirektiv (PSD2) genomfördes i Sverige i och med att ändringar i lagen om betaltjänster trädde i kraft den 1 maj 2018, men det är under 2019 som de sista viktiga pusselbitarna läggs.

Direktivet tvingar bland annat banker att öppna sina tekniska gränssnitt och göra kontoinformation och betalorders tillgängligt genom API:er (Application Programming Interface) för tredjepartsleverantörer (TPP) under förutsättning att kunden själv begär det. Härigenom tar kunden över kontrollen över konto- och betalningsdata från sin bank. Kontoförvaltande institut (banken) ska förlita sig på att en auktoriserad TPP har inhämtat det samtycke som krävs. Vidare får TPP:er inte använda, ha tillgång till eller lagra uppgifter om kunden för andra ändamål än för att tillhandahålla tjänsten.

PSD2 reglerar typer av informationsmängder, nämligen;

  • Initiering av betalningsorder på begäran av användaren på ett betalkonto hos en annan betaltjänstleverantör (vanligtvis ett bankkonto i en bank)
  • Sammanställd information om ett eller flera betalkonton som användaren innehar hos antingen en annan betaltjänstleverantör eller hos fler än en betaltjänstleverantör

Bankliknande tjänster utöver ovan nämnda regleras däremot inte av PSD2. Vad gäller exempelvis spar- eller kredittjänster är inte bankerna skyldiga att dela med sig av dessa informationsflöden.

PSD2 har tillkommit som ett svar på den utveckling som har kommit att kallas ”Open Banking”. Begreppet sammanfattar mestadels övergången från en sluten modell till en där data delas mellan olika medlemmar inom bankekosystemet. Ett av syftena har varit att förbjuda och ersätta s.k. skärmskrapning, som fram till idag varit den metod TPP:er nyttjat för att få tillgång till transaktionsdata, med ett säkrare, snabbare och bättre alternativ. Detta gynnar bankerna och konsumenterna, samtidigt som många TPP:er varit kritiska eftersom deras datainsamling blir helt beroende av vilken data olika banker väljer att tillgängliggöra. Trots den snabba utveckling står TPP:erna alltjämt inför hinder att få tillgång till data och integrera mot de traditionella bankerna. Attityden och öppenheten skiljer sig åt mellan svenska banker där somliga nöjer sig med att följa regelverket och andra går utöver minimikraven i utvecklandet av API:er.

Bolag (TPP:er) som tillhandahåller eller vill tillhandahålla betalnings-initieringstjänster (PISP) och kontoinformationstjänster (AISP) är numera föremål för tillsyn och krav på auktorisering från Finansinspektionens (FI) eller en motsvarande myndighet inom EU/EES. Den som omsätter betaltjänster för motsvarande mer än 3 miljoner Euro per månad måste ha tillstånd för att få driva verksamheten och kallas i lagen för ”betalningsinstitut”. Den som omsätter ett lägre belopp kan ansöka om att undantas från tillståndsplikt och kallas för ”registrerad betaltjänstleverantör”. FI har även instiftat ett antal nya rapporteringskrav under PSD2 som träffar såväl TPP:er som kontoförvaltande institut (i huvudsak banker). Blanketter och rapporteringsmallar publiceras löpande på FI:s hemsida: FI/Blanketter/Betaltjänster

Från och med den 14 mars 2019 gäller nya bestämmelser om upprättande av testsystem, genomförande av produktionsprov och tillgång till stöd, vilket innebär att banker inom EU måste ha gjort sina tjänster tillgängliga för TPP:er före detta datum. Från och med samma datum tar FI även emot ansökningar om undantag från kravet på beredskapsmekanism, vilket handlar om undantag från skyldigheten att ha ett gränssnitt i reserv för kommunikation mellan bank och TPP.

Den 14 september 2019 träder EBA:s tekniska standard för tillsyn (RTS) som reglerar vilka metoder TPP:er får använda sig av för att hämta kontoinformation i kraft. I denna är kravet på stark kundautentisering tongivande. Innebörden är en autentisering som grundas på användning av två eller flera element som kategoriseras som kunskap, innehav och unik egenskap, vilka är fristående från varandra. Det blir allt mer angeläget för såväl banker som TPP:er att ta itu med denna fråga under de närmaste månaderna. Kravet på stark kundautentisering påverkar även kortleverantörer och egentligen samtliga näringar som tar emot betalningar. Med andra ord är det den 14 september som den verkliga dataåtkomsten tillhandahålls och Open Banking ”går live”.

Tillståndskategori Auktoriseringskrav Säkerhetskrav Rapporteringskrav
PISP – Betalnings-initierings-tjänsteleverantörer
  • Måste ansöka om tillstånd att tillhandahålla betaltjänster (kan inte ansöka om undantag)
  • Krav på ansvarsförsäkring
  • Startkapitalkrav och kapitalkrav motsvarande minst 50 000 euro.
  • Processer och funktioner för att kontinuerligt övervaka verksamhetsfunktioner, transaktioner och informationstillgångar med tillhörande detekteringsåtgärder
  • Ramverk för hantering av operativa risker och säkerhetsrisker (riskbedömning och regelbundna tester)
  • Scenariobaserade kontinuitetsplaner och löpande kontinuitetskontroller.
  • Allvarliga operativa incidenter och säkerhetsincidenter (informationsläckage, skadlig kod, allmänt kända sårbarheter)
  • Operativa risker, säkerhetsrisker och åtgärder (funktioner, processer och tillgångar, fysisk säkerhet och åtkomstkontroll)
  • Statistiska uppgifter om svikliga förfaranden
  • Underrättelse från en betaltjänstleverantör som inte återställer konto
  • Uppgifter om lägsta avgift för de mest representativa tjänsterna knutna till ett betalkonto.
AISP – Konto-informations-tjänsteleverantörer
  • Kan ansöka om undantag som benämns ”registrerad betaltjänstleverantör”. Undantaget måste förnyas senast 1/5 2019
  • Inget kapitalkrav
  • Får verka gränsöverskridande inom EES genom ombud eller filial.

 

Vill du veta mer? Kontakta mig:


Stefan Hugosson
stefan.hugosson@omeo.se
070-313 77 18