Nu när förfallodatumet för efterlevnad av PSD II har passerat är golvet nästan öppet för äkta Open Banking i Europa. Open Banking kommer att skaka om betalningsmarknaden genom att kräva att banker tillhandahåller tredjepartsleverantörer (TPP) med kunders transaktionsdata och tillgång till kundkonton för att göra betalningar för sina kunders räkning. Vi förväntar oss att Open Banking-revolutionen kommer att få en långsam start medan flera regulatoriska frågor återstår att besvara.
Det reviderade betaltjänstdirektivet (PSD II) trädde i kraft i januari 2018 för alla betaltjänstleverantörer som erbjuder betaltjänster inom Europeiska unionen/Europeiska ekonomiska samarbetsområdet. Företagens efterlevnad och strategiska planer har hämmats av bristen på reglerande tydlighet, inklusive den långvariga avsaknaden av en slutgiltig Regulatory Technical Standards (RTS) för Strong Customer Authentication (SCA) och Common Secure Communication (CSC) mellan banker och tredje part Leverantörer (TPP). Detta kommer att göra utvecklingen och antagandet av nya tjänster och produkter i hela EU under 2018 långsammare än väntat.
Deras varumärke och finansiella styrka, tillsammans med breda kundbaser, innebär att etablerade banker är väl positionerade för att lyckas tillsammans med etablerade "FinTechs" och "BigTechs". Men även om många företag har genomfört någon form av strategisk konsekvensanalys, har de flesta resurser hittills använts på efterlevnadsprogram snarare än på ett strategiskt svar. I en nyligen genomförd Deloitte PSD II-undersökning med 70 företag som deltog i 18 europeiska länder, inklusive Schweiz, uppgav 59 % av de tillfrågade att de ansåg regimen vara en möjlighet för deras organisation, men bara 32 % ansåg att de var redo att reagera strategiskt. I denna mening, även om förseningen i slutförandet av RTS för SCA och CSC är utmanande, kan det köpa banker lite extra tid för att slutföra sina Open Banking-strategier, eftersom konkurrensen sannolikt kommer att uppstå långsammare än tidigare förväntat.
Bankerna måste stödja befintliga lösningar, såsom skärmskrapning, från januari 2018 tills RTS om SCA och CSC blir tillämpliga i september 2019. Detta placerar dem mellan sten och hård, eftersom skärmskrapning kommer att vara svår att förena med den allmänna dataskyddsförordningen (GDPR). EU-kommissionen har tydligt signalerat till bankerna att den kommer att ta en hård linje i konkurrensfrågor, men banker riskerar också dryga böter enligt GDPR. Företag kommer att behöva ha ett nära samarbete med relevanta tillsynsmyndigheter för att förklara sina problem och försöka få tydligare vägledning om hur man balanserar konkurrens med säkerhet, inte bara med avseende på GDPR, utan även med avseende på andra ansvarsområden under PSD II-modellen för tredje part. Faktum är att 58 % av de tillfrågade i vår undersökning nämnde problem kring kund- och tredjepartsautentisering och avsaknaden av en branschstandard för kommunikation som de största utmaningarna för att utveckla en åtkomstlösning för tredje part.
Vi förväntar oss dock att banker och TPP:er i EU kommer att övervinna bristen på en specificerad gemensam kommunikationsstandard genom att gå samman för att definiera en industristandard för sin marknad. Detta kommer att öka interoperabiliteten, minska implementeringskostnader och tid, och även underlätta några av problemen kring kunders samtyckesverifiering och TPP-identifiering. Schweiziska banker kanske inte deltar aktivt i några standardiseringsorgan, men de kommer att ha ett intresse av att noga övervaka deras verksamhet.
Slutligen har FSB och EBA redan sagt att de kommer att övervaka huruvida Open Banking kommer att införa några oavsiktliga konsekvenser som till exempel lägre insättnings "klibbighet" och i sin tur en negativ inverkan på likviditet och utlåningsförmåga. I vilken utsträckning denna risk visar sig kommer att bero på hur snabbt konsumenterna tar till sig nya produkter och tjänster, men bankerna bör se till att de inför system för att upptäcka förändringar i insättarnas beteende och deras omfattning.
Det här inlägget skrevs av Storbritanniens Deloittes riskrådgivningsteam och EMEA Center for Regulatory Strategy och publicerades först på Deloitte UK Financial Services-webbplatsen.