In februari heeft de Europese Bankautoriteit (EBA) hun definitieve ontwerp reglementaire technische normen (RTS) de aan de Europese Commissie aangeboden. In mei heeft de Europese Commissie hierop inhoudelijk gereageerd. In aanloop naar de Conferentie Goed voorbereid op PSD2 hebben wij voor u gekeken naar wat de stand van zaken op dit moment is.
Suggesties ter wijziging van het RTS
Op hoofdlijnen zijn er een viertal suggesties gedaan om het ontwerp RTS, te wijzigen:
- De EU Commissie stelt voor dat de audit die wordt verricht omtrent de vrijstelling gebaseerd op het gebruik van transactie risicoanalyse, zou moeten worden uitgevoerd door zogeheten ‘statutory auditors’ (artikel 3, lid 2).
- De Commissie stelt voor om een vrijstelling toe te voegen voor een sterke klantauthenticatie voor bepaalde bedrijfsbetalingen, wanneer zij gebruik maken van ‘dedicated’ betaalprocessen of protocollen (nieuw artikel 17).
- De Commissie stelt voor dat, wat betreft het gebruik van vrijstellingen met SCA, betalende dienstverleners meer informatie zouden moeten rapporteren aan de EBA. Dit betreft het rapporteren van de uitkomsten van hun controle en de methodiek die zij gebruiken om de fraudekoers te berekenen, binnen de vrijstelling bij het gebruik van transactie risicoanalyse. Deze rapportage komt naast het feit dat zij deze informatie aan de nationale bevoegde overheden moeten worden gerapporteerd (artikel 18, lid 3 en 20, lid 2).
- De Commissie stelt voor dat, wanneer de dedicated interface niet beschikbaarheid is en/of onvoldoende functioneert, AISP’s en PISP’s toegang zouden moeten krijgen tot informatie met behulp van de klantinterface (artikel 33).
Reactie van de EBA
Recentelijk heeft de EBA in haar plaats haar mening gegeven over de meest relevante voorgestelde suggesties van de Europese commissie omtrent de aanpassingen op de strong customer authentication en common & secure communication binnen de PSD2. Allereerst geeft EBA een algemene reactie om aan te geven dat zij een aantal concurrerende en uitdagende doelstellingen van de PSD2 met elkaar hebben moeten verenigen. Zoals het verbeteren van de beveiliging, het bevorderen van concurrentie en stimuleren van innovatie, beschermen van de consument, het waarborgen van technologische en business-model neutraliteit, een bijdrage leveren aan de integratie van betalingen in de EU en het verbeteren van het klantgemak.
Ook heeft de EBA dankzij een uitvoerig consultatie aanpassingen gedaan voordat zij het RTS ontwerp aan de commissie hebben doorgestuurd. Tevens willen zij benadrukken dat de RTS evenmin controversieel zijn gebleven. Vervolgens geeft de EBA haar mening op de 4 suggesties die de Europese Commissie heeft gedaan:
-
De EU Commissie stelt voor dat de audit die wordt verricht omtrent de vrijstelling gebaseerd het gebruik van transactie risicoanalyse, zou moeten worden uitgevoerd door zogeheten ‘statutory auditors’ (artikel 3, lid 2)
De EBA is het eens met de reden waarom de Commissie dit punt zou willen aanpassen en dat de audits moeten worden uitgevoerd door onafhankelijke en gekwalificeerde auditors. Echter, de EBA verwacht dat de term ‘statutory’ audit mogelijk verwarrend werkt. Hiervoor halen zij een aantal punten aan, namelijk dat er binnen de EU verschil zit in de bestaande auditors. Daarnaast geven zij aan dat het doel van statutory auditor aldus de Europese wetgeving anders is dan wat de Commissie van hen verlangt in de gedane suggesties, namelijk focus op beveiliging in plaats van enkel om certificeren van financiële statements. Daarnaast geven zij aan dat niet iedere PSP op dit moment vereist is om een statutory audit te doen.
Als oplossing doet de EBA de suggestie om de termen ‘statutonary auditors’ te vervangen door ‘auditors met expertise in IT-beveiliging en betalingen en operationeel onafhankelijk zijn binnen en/of van de betalingsdienstaanbieder’.
-
De Commissie stelt voor om een vrijstelling toe te voegen voor een sterke klantauthenticatie voor bepaalde bedrijfsbetalingen
De EBA begrijpt deze vrijstelling, gericht op bedrijfstransacties en machine-to-machine betalingstransacties, in plaats van als vrijstelling voor alle zakelijke transacties. Dit specifieke typen bedrijfsbetalingen die in het voorgestelde amendement worden genoemd, zullen aldus de Commissie van minder riskante aard zijn. De EBA heeft echter hier geen bewijsmateriaal voor.
Daarnaast merkt de EBA op dat het voorgestelde amendement geen juridische definitie bevat van ‘corporate’, wat het mogelijk verwarrend maakt. Ook meent de EBA dat het vaststellen van een vrijstelling op basis van het gebruik van een specifieke technologie, zoals machine-tot-machine betalingen, in strijd zou zijn met het doel van de RTS om het technologisch neutraal te houden (zoals omschreven in de overwegingen 4 en 19). Dit zou er ook toe kunnen leiden dat de RTS mogelijk gedateerd raakt met risico’s van dien. Tot slot merkt de EBA op dat deze vrijstelling ‘national competentent authorities (NCA’s) nodig heeft om specifieke machine-to-machine protocollen op te stellen om de RTS in de praktijk te brengen. Het is de vraag of het in alle lidstaten mogelijk dit voor elkaar te krijgen, wat de harmonisatie binnen de regio in gevaar brengt.
De EBA stelt voor om een nieuwe categorie toe te voegen bij de vrijstelling van de transactie-risicoanalyse voor specifieke betalingen van betalers die geen consument zijn (in plaats van een verwijzing naar ‘bedrijfsbetalingen’) zonder een monetaire drempel, op voorwaarde dat het fraudebedrag gelijk is aan of lager dan een specifiek referentiefraude bedraagt. De EBA meent dat alle voorwaarden die zijn vastgesteld in relatie tot de transactie-risicoanalyse-vrijstelling op deze nieuwe categorie van toepassing moeten zijn.
-
De Commissie stelt voor dat betalende dienstverleners meer informatie zouden moeten rapporteren aan de EBA.
De EBA is het eens met de intentie van de Commissie dat het toegang krijgen tot ‘disaggreted’ data nuttig zou zijn om een beoordeling te doen of de vrijstelling van de risicoanalyse van de transactie overeenkomstig is met artikel 32 van het RTS ontwerp. Echter, de EBA geeft aan dat deze nieuwe rapportage vereisten voor PSP’s, mogelijk inefficiënt kunnen zijn en verwarrend zou kunnen werken. Dit, omdat de EBA verwacht dat de data die wordt verzameld onder Artikel 36 afdoende zou moeten zijn. Daarnaast is er dan ook geen risico dat deze nieuwe rapportage mogelijk verwarring veroorzaakt door de overlap van de verplichte data verzameling onder Artikel 96.
De EBA is van mening dat door de woorden “op verzoek” opnieuw in te vullen en de woorden “met voorafgaande kennisgeving aan de bevoegde autoriteit (en)” aan het ontwerp RTS toe te voegen zowel het doel van de Commissie zal worden behaald en bovenstaande risico’s zullen worden getackeld.
-
De Commissie stelt voor dat AISP’s en PISP’s toegang zouden moeten krijgen met behulp van de klantinterface
De EBA begrijpt dat de EU Commissie met dit voorstel ervoor zorgt dat ASPSP’s voldoen aan hun verplichting om klanteninformatie te delen met derden (TPP’s) zonder discriminatie en in overeenstemming met de beveiligingsvoorschriften van de artikelen 65-67 PSD2. Het amendement beoogt ervoor te zorgen dat AISP’s en PISP’s toegang hebben tot de gegevens die zij nodig hebben om diensten te leveren en effectief te concurreren tegen banken en andere PSP’s.
De EBA onderschrijft deze doelen, maar is van mening dat het opleggen van een dergelijke ‘fall back option’ verder zou gaan dan het wettelijke mandaat dat aan de EBA is verleend (artikel 97 PSD2). Tevens is de EBA sceptisch over de mate waarin het voorgestelde amendement de gewenste doelstellingen zou bereiken.
Aanvullend stelt de EBA vast dat nieuwe vereiste beveiligingseisen de manier waarop de markt momenteel werkt, voor alle bestaande aanbieders zal veranderen. In dit verband zullen ASPSP’s wettelijk verplicht zijn om te garanderen dat TPP’s toegang hebben tot de gegevens die nodig zijn om een bepaalde service aan hun klanten te leveren, dat TPP’s zichzelf kunnen identificeren en dat TPP’s veilig met elkaar kunnen communiceren. Dit betekent dat, zodra ASPSP’s zouden kiezen om dergelijke toegang te verschaffen op basis van hun bestaande klantinterface, deze interface zou moeten worden aangepast om te voldoen aan PSD2. Huidige toegangsbenaderingen, vaak aangeduid als ‘screen scraping’ zouden niet voldoen aan de nieuwe wetgeving.
Negatieve gevolgen fall back option:
De EBA wijst op verschillende negatieve gevolgen van een ‘fall back option’.
- Hogere kosten
- Meer fragmentatie waardoor de ontwikkeling van gestandaardiseerde applicatie-programmeringsinterfaces wordt gecompromitteerd
- Concurrentienadelen voor AISP’s en PISP’s die de markt willen betreden
- Geen verbetering van de technische betrouwbaarheid
- Incompatibiliteit met de beveiligingseisen van PSD2
- Toezeggingsbeperkingen
- Onduidelijk begrip en toestemming van de consument
Om die reden stelt de EBA voor om een aantal zaken toe te voegen aan de huidige RTS. Hiermee verwachten zij dat de ASPSP’s de TPP’s de informatie leveren die zij nodig hebben zonder verdere standaardisatie of verbeterde beveiliging in te weg te staan.
- ASPSPs te verplichten om transparante KPI’s evenals serviceniveaudoelstellingen voor de klantinterface vast te stellen, zowel wat betreft de beschikbaarheid als de prestatie van de interface, alsmede kwalitatieve maatregelen om dit te beoordelen (artikel 31, lid 2);
- PSP’s verplicht te stellen om hun beschikbaarheids- en prestatiegegevens op kwartaalbasis te controleren en publiceren (artikel 31, lid 3);
- Een vereiste voor ASPSPs om de interfaces tenminste drie maanden voor de toepassingsdatum van de RTS ter beschikking te stellen om te testen (artikelen 29, lid 3 en 29, lid 5);
- een evaluatie van de werking van de interfaces als onderdeel van de beoordeling die is gepland voor 18 maanden na de toepassing van de RTS
Tot slot gaat de EBA nog in op een aantal andere suggesties die de Commissie heeft gedaan. De EBA is van mening dat een aantal van deze suggesties tot een ongewenste substantiële wijziging van de RTS leidde. Namelijk omtrent het aantal voorwaarden waaraan de PSP’s moeten voldoen, wijzigingen in de tekst omtrent vrijstelling van de transactie risicoanalyse, het verwijderen van de verwijzing naar de verplichting om communicatieberichten te laten voldoen aan ISO 20022, de referentie aan anonieme betalingen in overweging 8 en tot slot omtrent een inconsistentie bij het refereren aan ‘Frauduleuze’ en ‘onbevoegde’ transacties. Het uitgebreide artikel kunt u op onze website vinden.
Conferentie Goed voorbereid op PSD2
De komende maanden zullen de Europese Commissie en vervolgens het Europese Parlement naar de laatste RTS gaan kijken. De definitieve RTS zijn onderwerp van gesprek tijdens de conferentie ‘Goed Voorbereid op PSD2 – Tijd voor the Next Step’ die zal plaatsvinden op 23 november 2017. Tijdens deze conferentie zal de implementatie van de PSD2 centraal staan.
Wilt u weten welke stappen u kunt zetten, zorg dat u erbij bent!