Asiakkaan vahva tunnistaminen parantaa maksamisen turvallisuutta – Miksi tärkeät muutokset saivat lisäaikaa?
Kirjoittaja Sanna Atrila työskentelee Finanssivalvonnan Digitalisaatio ja analyysiosastolla johtavana lakimiehenä.
Uuden maksupalveludirektiivin (PSD2) yksi keskeinen uudistus on tuoda asiakkaan vahva tunnistaminen pääsäännöksi kaikkeen sähköiseen maksamiseen. Vahvan tunnistamisen tavoitteena on varmistaa se, että maksun tekee maksuvälineen oikea haltija ja siten sääntelyllä pyritään ehkäisemään väärinkäytöksiä.
Maksupalveludirektiivi ja vahvan tunnistamisen pääsääntö astuivat pääosin voimaan jo 13.1.2018, mutta vahvan tunnistamisen tarkemmat vaatimukset tulivat voimaan vasta 14.9.2019. Juuri nämä tarkemmat tekniset vaatimukset ovat tehneet asiasta vaikean. Tekniset sääntelystandardit on säädetty teknologia-neutraalisti, mikä jättää aina tulkinnanvaraa. Uusien vaatimusten toimeenpanoon direktiivissä tarjottu 18 kuukauden siirtymäaika ei toimialalle riittänyt.
Nyt sääntely on voimassa, mutta useat Euroopan maiden valvojat ovat joutuneet antamaan lisäaikaa vaatimusten toteuttamiseen. Suurin ongelma kulminoituu verkkokaupan korttimaksamiseen, jossa kaikki osapuolet eivät vielä ole valmiita toimimaan uuden sääntelyn mukaisesti. Myös Finanssivalvonta on antanut lisäaikaa toimialalle toteuttaa vahvan tunnistamisen vaatimat muutokset verkkokaupan korttimaksamiseen. Moni on kysynyt minulta viime aikoina, miten ja miksi tällaiseen tilanteeseen on päädytty.
Toimialan esittämiä syitä tilanteeseen
Finanssivalvonta lähetti heinäkuun lopussa toimialalle Euroopan Pankkiviranomaisen laatiman kyselyn. Siinä kysyttiin muun muassa ”miten hyvin olette tietoisia uudesta sääntelystä, mitä esteitä sen noudattamiselle näette olevan ja miten paljon katsotte tarvitsevanne lisäaikaa tarvittavien muutosten tekemiseen”. Vastauksia tuli runsaasti ja ne vaihtelivat paljon. Moni vastaaja sanoi, että tuntee sääntelyn vaatimukset melko hyvin, mikä on sinänsä hyvä lähtökohta. Useissa vastauksissa tuotiin esiin, että oma järjestelmätoimittaja tai muu palveluntarjoaja on merkittävin este noudattaa sääntelyä ajallaan. Helposti joku muu maksuketjun osapuoli kuin vastaaja itse on syntipukki tähän tilanteeseen. Toki on ymmärrettävää, että asia monimutkaistuu, mitä enemmän osapuolia on ketjussa. Maksujenvälityksessä on tyypillisesti paljon eri palveluntarjoajia, joilla on erilaisia rooleja. Informointi sääntelyn vaatimuksista ei ole ilmeisesti ollut kaikille osapuolille riittävää.
Useissa vastauksissa tuotiin esiin vahvan tunnistamisen velvollisuuteen säädetyt poikkeukset. Sääntely mahdollistaa maksutapahtumien toteuttamisen ilman vahvaa tunnistamista tietyissä vähäriskisissä maksuissa. Näihin liittyvät yksityiskohdat eivät ole kaikille vielä selviä. Osa vastaajista ei haluaisi toteuttaa vahvaa tunnistamista ennen kuin poikkeusten käyttö on täysimääräisesti mahdollista. Poikkeusten käyttäminen on kuitenkin maksuvälineen liikkeeseenlaskijan oikeus eikä velvollisuus. Kyse on viime kädessä pankkien riskienhallinnan linjauksista eikä muilla osapuolilla ole automaattista oikeutta vaatia maksujenvälitystä ilman vahvaa tunnistamista.
Miksi ongelma on juuri korttimaksamisessa? Voiko syy liittyä siihen, että eurooppalaista korttimaksamista hallinnoi pääasiassa kaksi globaalia korttijärjestelmää eikä eurooppalaisilla korttien liikkeeseenlaskijoilla eli pankeilla ole juuri mahdollisuuksia vaikuttaa niiden järjestelmiin ja sääntöihin. Uskon, että nämä globaalit toimijat ovat tehneet ja tekevät edelleen parhaansa uusien järjestelmäversioiden kehittämisessä, jotta eurooppalaiset pankit pystyvät toteuttamaan sääntelyn vaatimukset. Muutosprosessi on kuitenkin ollut turhan hidas.
Vastauksissa tuli ilmi myös sääntelyn tulkinnanvaraisuus. Jälkikäteen ajateltuna voi todeta, että sääntely ei ole kaikilta osin niin selkeää kuin se olisi voinut olla. Sääntelyn monille tulkinnoille on ollut tarvetta jo ennen sääntelyn voimantuloa, mikä lienee jokseenkin poikkeuksellista. Yleensähän lain tulkintoja annetaan vasta sitten kun lainsäädäntö on jo ollut jonkun aikaa voimassa. Valvovat viranomaiset olisivat ideaalitilanteessa voineet antaa tulkintoja jo aikaisemmin, mutta en tiedä olisiko se kuitenkaan ratkaissut asiaa. Valvojan näkökulmasta sanoisin myös, että meillä on yleensä vahva luottamus siihen, että toimiala osaa itse ratkaista tekniset kysymykset hyvin. Syväosaaminen ja parhaat resurssit näissä kysymyksissä ovat tyypillisesti juuri toimialalla. Valvoja yleensä puuttuu asiaan vasta sitten kun mikään muu ei auta. Finanssivalvonta on omalta osaltaan pyrkinyt jakamaan tietoa toimialalle aktiivisesti PSD2-seurantaryhmän avulla.1 Tässä asiassa olisi ilmeisesti kaivattu vielä enemmän apua ja tukea valvojalta.
Maksamisen turvallisuuden parantaminen – tuleeko maksamisesta liian vaikeaa?
Kaikki lähtökohtaisesti kannattavat maksamisen turvallisuuden parantamista, mutta ne keinot, millä sitä parannetaan jakavat mielipiteitä; ei haluta että turvallisuuden parantaminen näkyy asiakasrajapintaan asti ja tutusta maksamisen tavasta ei haluta luopua. Väärinkäytökset ja varojen menetykset rikollisille jäävät tässä keskustelussa usein vähemmälle huomiolle. Jos itse ei ole koskaan joutunut rikoksen uhriksi, ei välttämättä näe asian nurjaa puolta. Pidän hyvänä asiana sitä, jos uusilla turvallisuusvaatimuksilla saadaan eliminoitua ainakin osa tyypillisistä väärinkäytöksistä, joissa uhreina ovat usein heikommassa asemassa olevat. Rikolliset keksivät aina uusia huijaustapoja, mutta se ei voi olla syy olla pyrkimättä kohti turvallisempaa maksamista.
Osa kauppiaista on ollut huolissaan uudistuksesta, koska se tuo mukanaan ylimääräisen askeleen osto-prosessiin ja saattaa vähentää myyntiä. Tämä on ymmärrettävää kauppiaan näkökulmasta. Moni asiakaskin haluaa, että maksaminen olisi mahdollisimman helppoa. Joissakin tilanteissa tämä on hyvinkin perusteltua, kuten ostettaessa matkalippua liikennepalveluja tarjoavan yhtiön sovelluksella. Maksamisen helppous ei kuitenkaan ole ainoa tavoite ja asiassa on muitakin näkökulmia. Liian helppo maksaminen voi johtaa joidenkin kohdalla harkitsemattomaan kulutuskäyttäytymiseen. Näissä tilanteissa riskinä voi olla myös huomaamaton velkaantuminen. Direktiivin tavoitteena ei luonnollisesti ole kulutuksen hillitseminen, mutta silti pieni harkinta voi olla joskus paikallaan.
Uusi sääntely ei kuitenkaan tarkoita sitä, että maksamisesta tulisi vaikeaa. Vahvan tunnistamisen menetelmän rakennuspalikoissa on elementtejä, jotka mahdollistavat sujuvan tunnistamisen tavan. Nyt eri toimijoilta kaivataan innovaatioita tällä saralla. Parhaillaan onkin monia hankkeita vireillä, jotka kehittävät esimerkiksi biometristen ominaisuuksien hyödyntämistä entistä laajemmin maksamisessa.
Tekemättä olevat tekniset muutokset on nyt priorisoitava
Isot muutokset eivät yleensä tapahdu kivuttomasti. Lopullisen siirtymäajan pituus on tätä kirjoitettaessa vielä päättämättä ja siitä käydään parhaillaan keskustelua Euroopan pankkiviranomaisen ja kansallisten valvojien kesken. Siirtymäaika ei voi olla liian pitkä. Toimijoiden on nyt tehostetusti priorisoitava muutosten tekemistä, jotta vahva tunnistaminen saadaan kaikilta osin käyttöön. Tässä asiassa on yhdessä vielä paljon työtä tehtävänä.
1 Finanssivalvonnan PSD2 seurantaryhmän materiaalia
Vahva tunnistaminen on menetelmä, jossa asiakkaan tunnistaminen perustuu kahteen toisistaan riippumattomaan osatekijään. Käytettävissä olevat vaihtoehtoiset tunnistamisen osatekijät ovat: tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esim. pin-koodi tai salasana), hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esim. matkapuhelin tai tunnuslukulaite) sekä maksupalvelun käyttäjän yksilöivä ominaisuus (esim. sormenjälki tai kasvokartasto).