Europeiska kommissionen publicerade den slutliga Regulatory Technical Standard (RTS) om stark kundautentisering och gemensam säker kommunikation under det reviderade betaltjänstdirektivet (PSD2). I denna slutliga version bekräftade kommissionen att skärmskrapning
[1]
kommer inte längre att tillåtas när RTS träder i kraft, med hänsyn till farhågor som uttryckts av Europeiska bankmyndigheten (EBA) och andra intressenter kring säkerhet. Kontobetjänande betaltjänstleverantörer (ASPSP) kommer dock fortfarande att behöva vidta beredskapsåtgärder i händelse av otillgänglighet eller underpresterande av deras dedikerade gränssnitt under en kommunikationssession med tredjepartsleverantörer (TPP).
Nya beredskapsåtgärder
Enligt de uppdaterade reglerna kommer ASPSP:er att vara skyldiga att göra de tekniska specifikationerna för alla sina kommunikationsgränssnitt, oavsett om de är dedikerade eller inte, allmänt tillgängliga och erbjuda, minst sex månader före tillämpningsdatumet för RTS, en möjlighet som gör det möjligt för betaltjänstleverantörer för att testa gränssnitten och säkerställa att de fungerar korrekt. När det gäller dedikerade gränssnitt måste ASPSP:er också definiera transparenta nyckelprestandaindikatorer och servicenivåmål, som måste vara minst lika stränga som de som fastställs för onlinebetalnings- och bankplattformar som används av ASPSP:s kunder. Nationella behöriga myndigheter (NCA) kommer att stresstesta och övervaka prestandan hos dedikerade gränssnitt.
Utöver ovanstående kommer ASPSP:er också att behöva införa en så kallad reservmekanism, som TPP:er kan lita på om dedikerade gränssnitt inte är tillgängliga under mer än 30 sekunder, eller om de inte uppfyllde de allmänna operativa kraven som anges i RTS.
Liksom i det tidigare utkastet till RTS kommer en sådan reservmekanism att bestå av att öppna ASPSP:s användarvänliga gränssnitt som en säker kommunikationskanal för betalningsinitiering och kontoinformationstjänster. Men, och det är viktigt, kommissionen har nu specificerat att när man använder reservalternativet bör TPP:er säkerställa att de kan identifieras av ASPSP:erna. vidta nödvändiga åtgärder för att säkerställa att de endast kommer åt, lagrar eller behandlar data som konsumenten har samtyckt till; logga de uppgifter de har tillgång till och göra dem tillgängliga för den relevanta nationella konkurrensmyndigheten om så begärs; och motivera för NCA, på begäran, användningen av gränssnittet.
De nationella konkurrensmyndigheterna kommer i samråd med EBA att kunna undanta enskilda ASPSP:er från att införa en sådan reservmekanism, förutsatt att deras dedikerade kommunikationsgränssnitt uppfyller kvalitetskriterierna som definieras av de tekniska standarderna. EBA kommer att ansvara för att se till att bedömningen av kvaliteten på dedikerade gränssnitt är konsekvent mellan medlemsstaterna. Undantagen kommer att återkallas av de nationella konkurrensmyndigheterna om ett dedikerat kommunikationsgränssnitt inte längre uppfyller kvalitetskriterierna under mer än två på varandra följande kalenderveckor. I det här fallet måste reservmekanismen sättas på plats av ASPSP inom kortast möjliga tidsram och inte mer än två månader.
Balansera säkerhet och konkurrens
Kommissionen hade till en början förkastat EBA:s förslag, tidigare i februari, att förbjuda användningen av skärmskrapning. Dess oro, som delas av FinTech-sektorn, var att ett sådant förbud skulle lämna TPP:er i underläge i fall där ett dedikerat gränssnitt misslyckades, eftersom medan en bank skulle kunna erbjuda sina egna betaltjänster genom sina kundvända gränssnitt, skulle TPP:er inte kunna göra det förrän det dedikerade gränssnittets funktionalitet återställts.
Å andra sidan skulle det innebära en väsentlig säkerhetsrisk för ASPSP:er och kunder att tillåta obegränsad användning av skärmskrapning som en beredskapsåtgärd. Detta beror på att TPP:er skulle kunna få tillgång till all information som är tillgänglig för kunder på deras onlinebanksplattformar, som om de hade loggat in, vilket gör det mycket svårt eller omöjligt för ASPSP:er att identifiera TPP:er och begränsa åtkomsten endast till data som är tillåtna i enlighet med en kunds samtycke.
Därför hade kommissionen den föga avundsvärda uppgiften att utveckla en standard som kunde förena behovet av att säkerställa lika villkor mellan TPP:er och ASPSP:er, med att skydda konsumenterna och hålla betalningstjänsterna säkra. Den sista RTS försöker göra det genom att introducera, i huvudsak, en mer återhållsam version av skärmskrapning som en reservmekanism – en där skyldigheten läggs på TPP:erna för att kunna bevisa för nationella konkurrensmyndigheter att de agerar i linje med PSD2-reglerna , och samtycke från kunder.
Teori vs. praktik
I princip uppnår denna kompromiss en bättre balans mellan säkerhet och konkurrens, men i praktiken kan de nya beredskapsåtgärderna visa sig vara något opraktiska att genomföra för både företag och nationella konkurrensmyndigheter. De kan också få oavsiktliga konsekvenser.
Ökad kostnad, komplexitet och fragmentering
Som EBA observerade tidigare, kommer införandet av en reservmekanism sannolikt att öka kostnaderna för både ASPSP:er och TPP:er, eftersom de kommer att behöva designa och underhålla flera anslutningslösningar. Speciellt kommer TPP:er att behöva bygga och underhålla olika anslutningslösningar för varje ASPSP de vill ansluta till, för både dedikerade och användarvänliga gränssnitt. Och även om TPP:er kommer att ansvara för att identifiera sig själva, kommer ASPSP:er fortfarande att behöva uppgradera sina användarvänliga gränssnitt för att göra detta möjligt. Eftersom ASPSP:er inte kan vara säkra på att de kommer att beviljas ett undantag av sina nationella konkurrensmyndigheter, eller vara säkra på att det inte kommer att återkallas med kort varsel, kan de behöva införa reservmekanismen som en förebyggande åtgärd.
Detta skulle kunna avskräcka vissa ASPSP:er från att helt och hållet utveckla dedikerade gränssnitt, vilket i sin tur kan bromsa utvecklingen av standardiserade applikationsprogrammeringsgränssnitt och minska interoperabilitet och konkurrens på marknaden. Denna risk kan ökas ytterligare genom kravet att offentliggöra tekniska specifikationer och tillhandahålla testfaciliteter för PSP:er minst sex månader före tillämpningsdatumet för RTS. Detta minskar effektivt tiden ASPSP:er har på sig att utveckla sina säkra kommunikationslösningar med en tredjedel.
Slutligen kommer att övervaka och upprätthålla dessa beredskapsåtgärder, inklusive stresstester, hantering av undantag och övervakning av dedikerade gränssnitts prestanda, också innebära betydande operativa utmaningar för de nationella konkurrensmyndigheterna och EBA, vilket ytterligare belastar deras redan begränsade resurser.
Nästa steg
RTS kommer att träda i kraft 18 månader efter det att det har offentliggjorts i Europeiska unionens officiella tidning. Med förbehåll för överenskommelse mellan Europeiska rådet och parlamentet, som har tre månader på sig att granska den slutliga texten, förväntas RTS för närvarande träda i kraft runt september 2019.
[1] Åtgärden att använda ett datorprogram för att kopiera data från en webbplats, utan att behöva identifiera sig.
Det här inlägget skrevs av Storbritanniens Deloittes Risk Advisory-team och EMEA Center for Regulatory Strategy och publicerades först på bloggen Deloitte Financial Services UK.
ERISA, Fiduciary Standard and Where We Go From Here
Fördelar, nackdelar och möjliga katastrofer efter SECURE Act
4 fastighetsstrategier för välbärgade pensionärer under SECURE Act
Hur man lämnar ett arv efter SECURE Act
5 sätt att SECURE Act kan skada pensionärer
Möjligheter för pensionering och fastighetsplanering efter SECURE Act
SECURE Act Basics:What Everyone Should Know
Granska din pensionsplan för att överväga SECURE lagändringar