PSD2: EBA definieert duidelijk pad | KPMG | NL

PSD2: EBA definieert duidelijk pad naar sterke cliëntauthenticatie en veilige communicatie

PSD2: EBA definieert duidelijk pad

Op 23 februari heeft de EBA haar definitieve conceptversie gepubliceerd van de technische reguleringsnormen (RTS) inzake sterke cliëntauthenticatie (SCA) en veilige communicatie op grond van de herziene richtlijn betalingsdiensten PSD2.

1000

Gerelateerde content

PSD2

Gedurende de raadplegingsperiode zijn er door een brede en representatieve groep belanghebbenden in totaal 224 reacties op de vragen van de EBA ingediend. Nadat de EBA de reacties had bestudeerd, heeft zij drie thema's vastgesteld:

1. Reikwijdte en technologische neutraliteit van de vereisten.

2. Vrijstellingen, met inbegrip van het toepassingsgebied, de drempels en de toevoeging van een vrijstelling voor transacties met een laag risico op basis van transactierisicoanalyse (TRA).

3. Toegang tot betaalrekeningen door derde partijen en vereisten met betrekking tot de te communiceren informatie.

De EBA heeft alle reacties beoordeeld en ten aanzien van voornoemde aandachtsgebieden wijzigingen aangebracht in diverse artikelen van haar oorspronkelijke conceptversie. Belangrijke wijzigingen zijn onder meer:

1. Bepaalde details, die eerder rondom SCA waren beschreven, zijn verwijderd. De eerder genoemde eisen waren vaak alleen in te vullen door middel van specifieke oplossingen (wachtwoorden of generators van tokens) en zouden daarom een ongewenste beperking kunnen vormen voor innovatieve oplossingen zoals beeldherkenning. Bijvoorbeelde bij het 'kennis aspect' zijn de volgende details verwijderd: “… wordt gekenmerkt door beveiligingsfuncties waaronder, maar niet beperkt tot lengte, complexiteit, vervaltijd en gebruik van niet-herhaalbare tekens, teneinde bescherming te bieden tegen het gevaar dat de elementen worden …”. En bij het 'bezits-aspect': “specificatie van de algoritmes, sleutellengte, entropie van de informatie, teneinde bescherming te bieden tegen het gevaar dat de elementen worden (gebruikt) …”.

2. Uit artikel 21 zijn verwijzingen verwijderd naar de naleving van ISO 27001 met betrekking tot de verwerking en routering van gepersonaliseerde aanmeldingsgegevens voor beveiliging en authenticatiecodes. Dit vanwege de zorg dat wanneer sommige bedrijfstaknormen worden overgenomen en andere niet, dit nadelige gevolgen kan hebben voor marktpartijen.

3. Een vrijstelling van de vereisten van SCA voor 'onbemande terminals' (d.w.z. voor vervoers- of parkeertickets) is toegevoegd.

4. In artikel 16 van de RTS is vrijstelling op basis van TRA van de vereisten van SCA toegevoegd. De vrijstelling is van toepassing op specifieke elektronische transacties op afstand. Deze moeten aan de hand van een transactiemonitoringmechanisme (TMM) zijn geclassificeerd als transacties met een laag risico. En ze moeten voldoen aan de voorwaarden: zo mag het transactiebedrag niet meer dan een specifiek referentietarief van maximaal EUR 500,- bedragen. Verder moet er aan bepaalde voorwaarden voldaan zijn, waaronder de berekening van een fraudepercentage die onder een norm moet liggen die weer afhankelijk is van het bedrag behorend bij de betaling. De uit de berekening voortvloeiende cijfers moet onderworpen zijn aan een audit door interne of externe onafhankelijke auditors. Ondanks enkele consultatiereacties wordt er geen vrijstelling voor zakelijke betalingen verleend en deze zullen dus moeten voldoen aan de SCA-beginselen.

5. De limiet voor betalingstransacties op afstand is verhoogd van EUR 10 tot EUR 30. Daarnaast is een vrijstelling voor een reeks overmakingen wat algemener gemaakt door hiernaar te verwijzen als een reeks betalingen.

6. Account Servicing Payment Service Providers (ASPSP's), meestal banken, moeten nu aan Account Information Service Providers (AISP's) en Payment Initiation Service Providers (PISP's) ten minste één interface bieden voor toegang tot betalingsrekeninginformatie. Daarnaast is “screen scraping” (of zogeheten “directe toegang”) niet langer toegestaan zodra de overgangsperiode is verlopen en de RTS van toepassing zijn (op zijn vroegst in november 2018). Bovendien moeten ASPSP's voor die interface dezelfde mate van beschikbaarheid en dezelfde prestaties bieden als voor hun eigen interfaces die door de klant worden gebruikt. In geval van ongeplande onbeschikbaarheid wordt hetzelfde niveau van noodmaatregelen verwacht. AISP's kunnen aan een betalingsrekening maximaal vier per dag automatische toegang tot de voor hun bedoelde informatie bieden, tenzij wederzijds anderszins is overeengekomen door partijen. Actieve aanvragen (geïnitieerd door de gebruiker van de betalingsdienst) blijven echter onbeperkt.

Implicaties

Bedrijfsmodellen en winstgevendheid drivers vormen de voornaamste prioriteit voor de ECB voor 2017 ten aanzien van toezicht. Tevens zijn IT-storingen en concurrentie van niet-banken aangewezen als belangrijke risicofactoren voor banken. De PSD2 is een mogelijkheid voor banken om die factoren en de daarmee gepaard gaande risico's te adresseren: banken kunnen kijken hoe de nieuwe regelgeving hen kan helpen om de bedrijfsmodellen en de ontwikkeling van nieuwe producten anders vorm te geven en hoe ze zich beter kunnen voorbereiden op de concurrentie van niet-banken. In het volgende onderdeel bespreken we een aantal details met betrekking tot wat de RTS eigenlijk voor banken inhouden.

Kenmerken van de drie aspecten van SCA

Diverse respondenten hebben in de raadplegingsperiode hun zorgen geuit over het feit dat er een onnodige laag aan complexiteit aan online betalingen zou worden toegevoegd. Dit zou kunnen leiden tot meer onafgeronde transacties en een algehele afname van het aantal online betalingen. Door de specifieke details van de drie deelaspecten van SCA te verwijderen, waarborgt de EBA neutraliteit ten aanzien van gebruikte technologieën. Payment Services Providers (PSP's) kunnen zich daardoor blijven ontwikkelen en zich continu aanpassen aan de actuele fraudescenario's. Dit leidt tevens tot meer flexibiliteit en een betere gebruikerservaring, aangezien online betalingsproducten worden ingericht zonder dat er onnodige complexiteit en extra stappen worden geïntroduceerd. ASPSP's en AISP's zijn echter nog steeds verplicht SCA te implementeren en hebben tot (op zijn vroegst) november 2018 de tijd om dit te doen. Niettemin zijn bepaalde transacties op grond van de definitieve versie van de RTS vrijgesteld van SCA: toegang tot saldogegevens en recente transacties zonder dat er gevoelige betalingsgegevens worden bekendgemaakt; terugkerende betalingen aan dezelfde begunstigden die eerder zijn aangemaakt door de betaler met behulp van SCA; betalingen aan zichzelf van een natuurlijk of rechtspersoon binnen de rekeningen bij dezelfde PSP. De vrijstelling geldt niet voor de eerste keer dat er toegang wordt gezocht tot een rekening of wanneer de betaler voor de eerste keer een reeks betalingen initieert. Artikel 10 bevat nadere details over deze en andere vrijstellingen.

Interface met veilige communicatie tussen ASPSP's en PISP's/AISP's

ASPSP's moeten ten minste één interface bieden waarop veilige communicatie mogelijk is met AISP's, PISP's en PSP's die instrumenten voor kaartbetalingen bieden. Deze interfaces moeten goed gedocumenteerd en publiekelijk beschikbaar zijn en moeten voorzien in een manier waarop AISP's, PISP's en PSP's hun technische oplossingen kunnen testen. Dit betekent dat banken (ASPSP's) interfaces moeten implementeren voor rekeninginformatie, betaalopdrachten en saldocontroles (voor kaartaanbieders) die openlijk beschikbaar zijn (op basis van passende identificatie), en moeten zorgen voor communicatie op basis van veilige versleuteling en veilige klantauthenticatie wanneer hun klanten toegang willen tot hun rekeningen. Al zijn dit soort publieke interfaces wijdverspreid in overige industrieën – uw auto kan bijvoorbeeld reeds geïntegreerd zijn met Android Auto, de API van Google voor audio-amusement en messaging – ze zijn nog altijd relatief nieuw voor de financiële sector. Banken moeten de tijd en moeite die nodig zijn voor de invoering ervan niet onderschatten. Hierbij zal een aantal mogelijkheden moeten worden overwogen: Moet de bank zijn eigen interface boven op de bestaande centrale banksystemen implementeren of moet de bank op zoek gaan naar een SaaS-oplossing (“software as a service”)? Of moet de bank een volledige digitale transformatie in gang zetten en de bestaande centrale banksystemen vervangen met een API-oplossing die eenvoudig kan worden gekoppeld aan het voortdurend groeiende ecosysteem van externe dienstverleners? Het tijdspad en de vereisten voor deze overwegingen lopen aanzienlijk uiteen. Er zal dus spoedig een besluit moeten worden genomen. Geen van deze oplossingen is eenvoudig en elke oplossing brengt zijn eigen risico's en uitdagingen met zich mee. Ongeacht het traject waarvoor de bank kiest, moeten de authenticatiemaatregelen die voor SCA worden gebruikt, ook bruikbaar zijn via deze publieke interfaces en via de bestaande kanalen voor interactie met de klant. De prestaties zullen op één lijn moeten staan om een potentieel groot aantal aanvragen te ontvangen. En tot slot, maar daarom niet minder belangrijk: de interfaces moeten worden ontworpen, geselecteerd en gebouwd met het oog op de strategische ambities van de bank.

Achtergrond

De PSD2 is goedgekeurd op 12 januari 2016 en zal van toepassing zijn met ingang van 13 januari 2018. De richtlijn omvat elf mandaten voor de EBA, waarvan er drie betrekking hebben op de ontwikkeling van de RTS en richtlijnen inzake veiligheid voor elektronische betalingen. De drie RTS hebben, net als de degene die momenteel is gepubliceerd in de definitieve conceptversie, verschillende toepassingsdata. Voor meer informatie over de definitieve RTS inzake SCA en veilige communicatie verwijzen wij naar de website van de EBA.

Payments

Payments

Betalingsverkeer is al lang niet meer het exclusieve terrein van banken.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

FS Update

Insights, facts and figures for decision makers in finance