EBA har nu publicerat EU-kommissionens förslag till ändringar av sitt utkast till RTS om stark kundautentisering (SCA) och gemensam och säker kommunikation under det reviderade betaltjänstdirektivet (PSD2), samt kommissionens medföljande brev som beskriver de viktigaste ändringarna som införts. Båda dokumenten lämnades in till EBA onsdagen den 24 maj, men offentliggjordes inte förrän fredagen den 1 juni.

1. Oberoende granskning av säkerhetsåtgärderna i de fall där undantaget från transaktionsriskanalys tillämpas. (Se kapitel 1, artikel 3.2 i EBA-utkastet och i kommissionens ändrade RTS).
   Betaltjänstleverantörer (PSP) som använder sig av SCA:s undantag för "Transaktionsriskanalys" (enligt artikel 18) ska ha en lagstadgad revision utförd för metoden, modellen och de rapporterade bedrägerifrekvenserna minst en gång per år grund. Kommissionen har infört detta för att säkerställa att den riskanalysmetod som används är objektiv och konsekvent.
2. Införande av ett nytt undantag för SCA för vissa företagsbetalningsprocesser . (Se kapitel III, NY Artikel 17)
   PSP:er ska tillåtas att inte tillämpa SCA med avseende på juridiska personer som initierar elektroniska betalningstransaktioner genom  användning av särskilda företagsbetalningsprocesser eller protokoll, förutsatt att den relevanta behöriga myndigheten bekräftar ex- ante, att de är övertygade om att dessa processer eller protokoll garanterar minst likvärdiga säkerhetsnivåer som de som eftersträvas av PSD2.
3. Bedrägerirapportering från PSP:er direkt till EBA. (Se kapitel III, artiklarna 16.2 och 17.2 i EBA-utkastet - artiklarna 18 och 19 i kommissionens ändrade RTS)
   Kommissionen lade till fler detaljer om hur PSP:er behöver beräkna risken poäng för varje betalningstransaktion. Dessutom ska den metod och alla modeller som används av PSP för att beräkna bedrägerifrekvenserna, såväl som själva bedrägerifrekvenserna, dokumenteras och göras fullt tillgängliga för de behöriga myndigheterna såväl som för EBA. Detta innebär att EBA kommer att ha tillgång till individuella bedrägeridata från PSP:er snarare än att förlita sig på aggregerade data på hög nivå som rapporterats av behöriga myndigheter.
4. Beredskapsåtgärder vid otillgänglighet eller otillräcklig prestanda för det dedikerade kommunikationsgränssnittet. (Se kapitel 5, artikel 28 i EBA-utkastet – artikel 33 i kommissionens ändrade RTS)

Som väntat införde kommissionen en ändring av RTS som anger att om det dedikerade gränssnittet inte är tillgängligt i mer än 30 sekunder under en kommunikationssession mellan PSP:er, eller om det inte fungerar i enlighet med kraven i artiklarna 30 och 32 (Allmänt skyldigheter för ett dedikerat gränssnitt), leverantörer av betalningsinitieringstjänster (PISP) ​​och leverantörer av kontoinformationstjänster (AISP) bör ges tillgång till de gränssnitt som görs tillgängliga för betaltjänstanvändare för direkt åtkomst till deras betalkonto online, tills det dedikerade gränssnittet har återupptagits fungerar. Flera villkor gäller (se artikel 33.3 för mer information), inklusive identifierings- och autentiseringsförfaranden, men i praktiken återinför denna bestämmelse ett element av skärmskrapning som en oförutsedda åtgärd.

EBA:s förslag om att förbjuda skärmskrapning hade välkomnats av banker, men ifrågasattes hårt av FinTech-sektorn, som trodde att det skulle lämna tredjepartsleverantörer (TPP) i underläge. För att mildra farhågor gjorde kommissionen denna ändring för att säkerställa att otillgänglighet eller otillräcklig prestanda för det dedikerade gränssnittet inte hindrar PISP:er och AISP:er från att erbjuda sina tjänster till sina användare. Annars skulle en bank kunna erbjuda sina egna betaltjänster genom de användarvänliga gränssnitten, som fungerar utan några svårigheter, medan PISP:er och AISP:er inte skulle kunna göra det.

Även om kompromissen är vettig i teorin, återstår det att se hur genomförbar den är i praktiken. Å ena sidan kommer banker att behöva uppgradera sina användarvänliga gränssnitt för att kunna identifiera TPPs, se till att de endast tillåts åtkomst om det dedikerade gränssnittet inte är tillgängligt och skydda den känsliga kundernas information som TPPs inte har behörighet att få åtkomst till. Å andra sidan, eftersom kommunikationsgränssnitten kan skilja sig åt för varje bank, kommer TPP:er att behöva bygga och underhålla olika anslutningslösningar för varje bank de vill ansluta till, och för både bankens dedikerade och användarvänliga gränssnitt – vilket kan visa sig kostsamt och tid. konsumerar.

Slutligen, medan det ytterligare SCA-undantaget för företagsbetalningar och de ytterligare försäkringarna om transaktionsriskanalys och bedrägerimodeller välkomnas, förlänger de föreslagna ändringarna ytterligare övergångsperioden mellan implementeringsdatumet för PSD2 (januari 2018) och det datum då bestämmelserna inkluderade i detta kommer RTS att bli tillämplig – nu beräknad under våren 2019. Detta skapar ytterligare utmaningar för både nya aktörer, som till exempel inte kommer att kunna förlita sig på API:er på nästan två år till, och för etablerade banker, som måste fortsätta att stödja befintliga lösningar (t.ex. skärmskrapning), samtidigt som de utvecklar sina RTS-kompatibla kommunikationsgränssnitt.

Nästa steg

• EBA har fram till den 5 juli på sig att yttra sig om den ändrade RTS
• Efter denna period kan kommissionen anta RTS med hänsyn till EBA:s åsikt eller bortse från den
• När kommissionen officiellt har antagit RTS börjar parlamentets och rådets tre månaders granskningstid

För ytterligare läsning om detta ämne, besök:

• PSD2 öppnar dörren för nya marknadsaktörer
• Betalningar avbrutna
• PSD2 RTS om autentisering och kommunikation | Djävulen finns i (bristen på) detaljer
• PSD2 – EBA erbjuder flexibilitet för att uppnå en mer balanserad strategi

Det här inlägget skrevs av Stephen Ley och Steven Bailey i Deloittes Risk Advisory-team och Valeria Gallo i EMEA Center for Regulatory Strategy och publicerades först på Deloitte Financial Services UK-bloggen.