Tjugo månader efter att European Banking Authority (EBA) utfärdade det första utkastet, publicerades den 13 mars slutligen den regulatoriska tekniska standarden (RTS) för stark kundautentisering (SCA) och Common Secure Communication (CSC) under det reviderade betaltjänstdirektivet (PSD2) i Europeiska unionens officiella tidning.
Processens längd och antalet iterationer som krävs för att slutföra standarden bevisar komplexiteten i att utveckla regler för att skapa lika villkor mellan olika marknadsaktörer, samtidigt som man säkerställer teknisk neutralitet, konsumentskydd och ökad säkerhet i betaltjänster. .
Slutförandet av RTS är en viktig milstolpe som kommer att ge företagen mycket mer klarhet och säkerhet om hur de ska driva på sina PSD2-efterlevnad och strategiska program. Ändå lämnar den slutliga RTS fortfarande ett antal viktiga frågor öppna, särskilt när det gäller utveckling och testning av åtkomstgränssnitt för tredjepartsleverantörer (TPP).
Den slutliga texten i RTS, som förblir densamma som den version som publicerades av EU-kommissionen i november förra året, kommer att gälla i sin helhet från och med den 14 september 2019. Från och med den 14 mars 2019 kommer Account Servicing Payment Service Providers (ASPSP) dock att behöva göra de tekniska specifikationerna för deras åtkomstgränssnitt (oavsett om de är dedikerade eller vända mot användaren) tillgängliga för TPPs, och förse dem även med en testmöjlighet för att utföra tester av programvaran och applikationerna TPPs kommer att använda för att erbjuda tjänster till sina användare.
RTS specificerar endast att ASPSP:er måste se till att deras gränssnitt följer kommunikationsstandarder som utfärdats av internationella eller europeiska standardiseringsorganisationer. Kommissionen erkänner att avsaknaden av mer detaljerade krav är en utmaning, men anser att det är marknadsaktörernas ansvar att arbeta tillsammans för att utveckla en lösning som fungerar för alla sidor.
För att underlätta detta föreslog kommissionen inrättandet av en Application Programming Interface Evaluation Group (API EG) för att utvärdera standardiserade API-specifikationer för att säkerställa att de överensstämmer med PSD2 och annan relevant lagstiftning, inklusive den nya allmänna dataskyddsförordningen (GDPR). och möta behoven hos ASPSP, TPP och Payment Service Users (PSU). EU-kommissionen, EBA och Europeiska centralbanken (ECB) kommer att vara observatörer i API EG, men kommer att ge assistans till marknadsaktörer om och när så krävs.
Rekommendationerna och vägledningen från API EG kommer att försöka skapa harmoniserad marknadspraxis i EU:s medlemsstater. Att uppnå detta kommer inte bara att minska implementeringstiderna och kostnaderna för både ASPSP och TPP, utan kommer också att vara avgörande för att möjliggöra effektiv gränsöverskridande konkurrens baserad på PSD2-aktiverade produkter och tjänster.
Gemensamma kommunikationsstandarder kan också stödja nationella behöriga myndigheter (NCA) för att avgöra om de ska undanta enskilda ASPSP:er, om de har valt att utveckla ett dedikerat gränssnitt, från att införa reservmekanismen (dvs. öppna upp sina användarvända gränssnitt som en säker kommunikation kanal), som TPP:er kan lita på om sådana dedikerade gränssnitt inte uppfyller kriterierna för den gemensamma marknadens acceptans, eller är otillgängliga i mer än 30 sekunder.
Detta kan bidra till att mildra, om än bara delvis, vissa farhågor som EBA uttryckt att bestämmelserna i den slutliga RTS - inklusive stresstester, hantering av undantag och övervakning av prestanda för dedikerade gränssnitt - kommer att medföra betydande och överdrivna ytterligare administrativa och operativa belasta både EBA och de nationella konkurrensmyndigheterna.
API EG inledde sitt arbete i januari, med målet att utfärda slutlig vägledning och rekommendation om API-standarder senast i juni 2018, varefter den kommer att fokusera på att definiera högnivåprinciper och tillvägagångssätt för ett gemensamt testramverk för åtkomstgränssnitt.
RTS specificerar endast att ASPSP:er måste se till att deras gränssnitt följer kommunikationsstandarder som utfärdats av internationella eller europeiska standardiseringsorganisationer. Kommissionen erkänner att avsaknaden av mer detaljerade krav är en utmaning, men anser att det är marknadsaktörernas ansvar att arbeta tillsammans för att utveckla en lösning som fungerar för alla sidor.
För att underlätta detta föreslog kommissionen inrättandet av en Application Programming Interface Evaluation Group (API EG) för att utvärdera standardiserade API-specifikationer för att säkerställa att de överensstämmer med PSD2 och annan relevant lagstiftning, inklusive den nya allmänna dataskyddsförordningen (GDPR). och möta behoven hos ASPSP, TPP och Payment Service Users (PSU). EU-kommissionen, EBA och Europeiska centralbanken (ECB) kommer att vara observatörer i API EG, men kommer att ge assistans till marknadsaktörer om och när så krävs.
Rekommendationerna och vägledningen från API EG kommer att försöka skapa harmoniserad marknadspraxis i EU:s medlemsstater. Att uppnå detta kommer inte bara att minska implementeringstiderna och kostnaderna för både ASPSP och TPP, utan kommer också att vara avgörande för att möjliggöra effektiv gränsöverskridande konkurrens baserad på PSD2-aktiverade produkter och tjänster.
Gemensamma kommunikationsstandarder kan också stödja nationella behöriga myndigheter (NCA) för att avgöra om de ska undanta enskilda ASPSP:er, om de har valt att utveckla ett dedikerat gränssnitt, från att införa reservmekanismen (dvs. öppna upp sina användarvända gränssnitt som en säker kommunikation kanal), som TPP:er kan lita på om sådana dedikerade gränssnitt inte uppfyller kriterierna för den gemensamma marknadens acceptans, eller är otillgängliga i mer än 30 sekunder.
Detta kan bidra till att mildra, om än bara delvis, vissa farhågor som EBA uttryckt att bestämmelserna i den slutliga RTS - inklusive stresstester, hantering av undantag och övervakning av prestanda för dedikerade gränssnitt - kommer att medföra betydande och överdrivna ytterligare administrativa och operativa belasta både EBA och de nationella konkurrensmyndigheterna.
API EG inledde sitt arbete i januari, med målet att utfärda slutlig vägledning och rekommendation om API-standarder senast i juni 2018, varefter den kommer att fokusera på att definiera principer och tillvägagångssätt på hög nivå för ett gemensamt testramverk för åtkomstgränssnitt.
I vår EMEA-omfattande PSD2-undersökning förra året noterade många företag att frånvaron av en färdig RTS skapade utmaningar i definitionen av deras bredare efterlevnadsprogram. Med reglerna nu slutförda, inklusive de korta implementeringstiderna, bör europeiska företag gå framåt med full fart, inte bara i förhållande till sina kommunikationsgränssnitt, utan också i förhållande till sina SCA-lösningar.
Men ur ett schweiziskt perspektiv finns det för närvarande begränsad press på företag att gå vidare med implementeringen eftersom schweiziska företag för närvarande inte är skyldiga att följa PSD2 förutom deras dotterbolag i EU, som erbjuder betaltjänster. Därför har schweiziska banker friheten att bestämma om och hur de ska göra sina API:er tillgängliga för tredje part.
Vi anser att det är klokt att noggrant bedöma de tidigare nämnda tillkännagivandena från EBA och särskilt övervaka resultatet av API EG:s arbete eftersom det förväntas att trycket, i synnerhet från kunder, sannolikt kommer att öka så snart tjänsten är tillgänglig i EU:s grannländer. Övervakning av implementeringen kommer inte bara att ge klarhet kring den öppna frågan om utveckling och testning av åtkomstgränssnitt för TTP:er, det kommer också att ge schweiziska banker möjlighet att förbereda sig inför ett framtida öppet bankekosystem.
Eftersom de banker med dotterbolag som erbjuder betaltjänster i EU tvingas följa RTS redan senast den 14 september 2019, kommer de att bli skyldiga att noga övervaka hur kommunikationsstandarderna definieras och implementeras i EU. Dessa banker kan också tycka att det är mer effektivt att implementera förändringarna i hela sin bank för att använda de nödvändiga investeringarna mot ett framtida öppet bankekosystem. Beroende på dynamiken i denna utveckling på den schweiziska marknaden är det troligt att trycket på andra schweiziska spelare kommer att öka snabbare än vad som förväntas för närvarande.
Den här bloggen skrevs först av Deloitte EMA Center for regulatory strategy. För att läsa mer om ämnet öppen bank, vänligen klicka här.