Ställningstagande 10.1.2018 – 1/2018

Ställningstagande om läget för PSD2-övergångsperioden

​PSD2:s nationella ikraftträdande

De ändringar som det förnyade betaltjänstdirektivet (PSD2) förutsätter i betaltjänstlagen och lagen om betalningsinstitut träder i huvudsak i kraft i Finland den 13 januari 2018. Med stöd av direktivet ges även ut kommissions förordning om tekniska standarder om stark autentisering och trygg kommunikation. Förordningen träder i kraft 18 månader efter att den har publicerats i den officiella tidningen. För närvarande väntas förordningen träda i kraft hösten 2019.

Det att nationella lagändringar och förordningen träder i kraft olika tider innebär utmaningar såväl för banker när de genomför de nya gränssnitten för nya betaltjänster som för tjänsteleverantörer när de inleder tillhandahållandet av nya betaltjänster till kunderna.
Förfaringssätten under övergångsperioden vid tillhandahållandet av nya betaltjänster.
Nya tillhandahållare av betaltjänster som har fått auktorisation av Finansinspektionen eller tillsynsmyndigheten i en annan medlemsstat har rätt att tillhandahålla kunder betalningsinitierings- eller kontoinformationstjänster från den 13 januari 2018. Även kreditinstitut och nuvarande betalningsinstitut kan börja tillhandahålla nya betaltjänster

Till den nya regleringens centrala principer hör:

  • förbud för kontoförvaltande banker att hindra tredje tjänsteleverantörer från tillhandahållandet av nya betaltjänster, samt
  • kontoförvaltande bankers skyldighet att låta tredje tjänsteleverantörer utnyttja en metod för stark autentisering som den kontoförvaltande banken erbjuder sina kunder, när tjänsteleverantörerna tillhandahåller nya betaltjänster.

Tillhandahållandet av nya betaltjänster förutsätter att de kontoförvaltande bankerna bygger ett gränssnitt som möjliggör tillgången till kundens kontoinformation samt för betalningsinitiering. Eftersom de tekniska säkerhetskrav gällande gränssnitten som definieras i kommissionens förordning inte än är i kraft, kan banker inte nödvändigtvis erbjuda nya gränssnitt med vilka de nya betaltjänsterna kunde tillhandahållas kunderna, när lagändringarna träder i kraft. För att det ska vara möjligt att tillhandahålla nya betaltjänster under övergångsperioden bör bankerna efter att lagen har trätt i kraft antingen tillhandahålla ett gränssnitt som överensstämmer med förordningen eller ett alternativt, tillfälligt gränssnitt för tillhandahållandet av betalningsinitieringstjänster och kontoinformationstjänster.

I detta regleringsläge har som alternativ föreslagits utnyttjandet av kundgränssnittet med den s.k. screen scraping-metoden. Då skulle tillhandahållaren av nya betaltjänster utnyttja samma gränssnitt som kunderna för närvarande använder när de loggar in i nätbanken. Europeiska bankmyndigheten (EBA) har i sin den 19 december 2017 publicerade opinion1 ansett att dess användning är möjligt under övergångsperioden.

Finansinspektionens ställningstagande om screen scraping

Finansinspektionen anser att det i Finland inte är möjligt att använda kundgränssnittet med en screen scraping-metod2 vid tillhandahållandet av nya betaltjänste, om villkoren i Finansinspektionens bedömning nedan inte kan uppfyllas.

Finansinspektionens ställning baserar sig på följande fakta:

Enligt den betaltjänstlag som träder i kraft i Finland den 13 januari 2018 ska en tjänsteleverantör identifiera sig för banken alltid när en betalningstransaktion inleds genom förmedling av tillhandahållaren av betalningsinitieringstjänster eller alltid då en kommunikationshändelse genomförs genom tillhandahållaren av kontoinformationstjänster.

Ifall kundgränssnittet utnyttjades, skulle kunden vara tvungen att ge tredje tjänsteleverantören nätbankkoderna på ett sådant sätt att tredje tjänsteleverantören loggar in i kundens nätbank i kundens namn. Med den här metoden skulle tjänsteleverantören inte kunna uppfylla sin egen autentiseringsskyldighet gentemot den kontoförvaltande banken, som lagen förutsätter.

Finansinspektionen anser att tredje tjänsteleverantörers autentisering hos den kontoförvaltade banken är en central skyldighet enligt den nya regleringen. Detta krav ska tas på allvar på grund av både säkerhets- och ansvarsfördelningsskäl. Även under övergångsperioden ska autentiseringen ske på ett tillräckligt pålitligt och tryggt sätt. Till exempel sändandet av tjänsteleverantörens IP-adress till den kontoförvaltande banken kan inte betraktas som ett tillräckligt tryggt autentiseringssätt bland annat med anledning av den risk för missbruk som förknippas med det (det är möjligt att förfalska en IP-adress).

Finansinspektionen anser vidare att utnyttjandet av kundgränssnittet med en screen scraping-metod inte är en tillräckligt pålitlig metod bland annat för att den inte bara möjliggör tillgången till specificerade betalningsuppgifter utan även till kundens övriga uppgifter i nätbanken. Till detta ger den nya regleringen inte rätt.

Finansinspektionen konstaterar även att utnyttjandet av ett kundgränssnitt med kundens nätbankkoder i tredje tjänsteleverantörers betalningsinitieringstjänster eller kontoinformationstjänster inte har överensstämt med den betaltjänstlag som är i kraft i Finland. Med anledning av detta kan tjänsteleverantörer inte i Finland under övergångsperioden tillhandahålla dessa tjänster ens enligt undantagsbestämmelsen i artikel 115 (5) i direktivet. Även EBA har i sin ovannämnda opinion konstaterat att det inte är nödvändigt att godkänna screen scraping-metoden under övergångsperioden, om det hittills enligt den nationella lagstiftningen har varit förbjudet.

Finansinspektionens bedömning beträffande övergångsperioden

Finansinspektionen vill påpeka att det är möjligt att använda ett alternativt gränssnitt under övergångsperioden, om det går att genomföra tredje tjänsteleverantörens autentisering på ett tillräckligt pålitligt och tryggt sätt och om tillgången till kundens uppgifter enbart kan begränsas till de betalkontouppgifter som kunden definierat.

Finansinspektionen uppmanar dock alla parter att uppfylla kraven i kommissionens förordning så fort som möjligt redan innan den träder i kraft, i synnerhet då det gäller genomförandet av gränssnitt samt autentiseringen av de olika parterna.

Med sitt ställningstagande vill Finansinspektionen försäkra trygga och pålitliga betaltjänster under övergångsperioden.

Närmare upplysningar lämnas av

  • Sanna Atrila, jurist, tfn (09) 183 5552, sanna.atrila(at)finanssivalvonta.fi
  • Erja Pullinen, riskexpert, tfn 09 183 5358, erja.pullinen(at)finanssivalvonta.fi. 
     

1 Opinion of the European Banking Authority on the transition from PSD1 to PSD2 (pdf)

2 Med screen scraping avses en metod för s.k. skärmdumpning, som går ut på att en tredje tjänsteleverantör loggar in på kundens egen nätbank i kundens namn, medan kunden matar in sina nätbankskoder i en tjänst som tillhandahålls av den tredje tjänsteleverantören.

Den svenska versionen av detta ställningstagande publicerades den 12 januari 2018.