Tilskipun Evrópusambandsins um greiðsluþjónustu, PSD2, hefur þegar verið innleidd sem lög í flestum aðildarríkjum sambandsins. Það hefur aftur á móti ekki gengið eins vel að uppfylla tæknistaðal sem fylgir tilskipunni og á meðan svo er fer minna fyrir opnu bankakerfi en vonir stóðu til um.

7. október 2019 | Védís Sigurðardóttir

Landsbankinn hefur þegar stigið fyrstu skrefin í átt að opnu bankakerfi með því að opna API-markaðstorg í byrjun þessa árs, fyrstur íslenskra banka, en erlendir bankar eru margir hverjir vel á veg komnir með slík markaðstorg. Á markaðstorgi Landsbankans er m.a. að finna fyrstu A2A-greiðslulausnina hérlendis en hún gerir fyrirtækjum á fjártæknimarkaði kleift að búa til lausnir sem gera viðskiptavinum bankans mögulegt að greiða beint út af reikningum sínum í gegnum öpp eða vefsíður samstarfsfyrirtækja bankans. Þessi lausn Landsbankans er hugsuð sem forveri þeirra lausna sem verða í boði þegar PSD2 tekur gildi hérlendis.

PSD2 tilskipunin leiðir til víðtækari breytinga fyrir neytendur á fjármálamarkaði en fordæmi eru fyrir og er meðal annars ætlað að ýta undir opnun bankakerfisins (e. open banking). Hún kveður þannig á um að bankar skuli gera viðskiptavinum kleift að nýta sér þjónustu annarra aðila en banka til þess að nálgast upplýsingar um reikninga sína og millifæra af þeim. Slíkir aðilar geta verið staðsettir hvar sem er í Evrópu en þurfa að hafa leyfi frá yfirvöldum heimalands. Því er ljóst að bankar munu standa frammi fyrir breyttu samkeppnisumhverfi og viðskiptavinir munu fá aukið val um hvar þeir stunda sín bankaviðskipti.

PSD2 mælir einnig fyrir um aukið öryggi reikningsupplýsinga og að greiðslur á netinu verði gerðar með svokallaðri sterkri auðkenningu (e. strong customer authentication, SCA). Þetta mun fela í sér töluverðar breytingar fyrir viðskiptavini, hvort sem greiðslurnar fara í gegnum netbanka, bankaapp eða tæknilausn þriðja aðila. Hið sama mun gilda um kaup á vöru og þjónustu á netinu. Til þess að framkvæma greiðslur mun þannig þurfa tvö af eftirfarandi þremur atriðum; eitthvað sem þú veist (t.d. PIN númer), eitthvað sem þú hefur (t.d. sími) eða eitthvað sem þú ert (t.d. fingrafar). Þó gilda um þetta ákveðnar undantekningar, þ.e. ekki mun þurfa að framkvæma sterka auðkenningu í hvert sinn sem greiðsla er gerð eða yfirlit reikninga skoðuð.

Fengu frest til að uppfylla tæknistaðal

PSD2 tilskipunin hefur tekið gildi sem lög í flestum aðildarríkjum Evrópusambandsins. Tilskipuninni fylgir einnig tæknistaðall sem kveður á um helstu breytingarnar sem henni fylgja en bönkum og öðrum aðilum á greiðslumarkaði í Evrópu hefur ekki gengið eins vel að uppfylla hann.

Tímarammi innleiðingar PSD2 var í raun og veru tvíþættur. Annars vegar áttu aðildarríki ESB að vera búin að innleiða tilskipunina sem lög í janúar 2018 en nú, 21 mánuði síðar, hafa tæp 90% ríkja gert það. Hins vegar fylgir tilskipuninni tæknistaðall sem hafði 18 mánaða innleiðingartíma frá því hann var samþykktur og áttu bankar og aðrir aðilar á greiðslumarkaði í ESB að vera búnir að uppfylla staðalinn þann 14. september síðastliðinn.

Tæknistaðallinn tekur á helstu breytingunum sem PSD2 kveður á um, þ.e. útfærslu fyrir aðgengi þar til bærra aðila að greiðslureikningum í bönkum í gegnum API-viðmót (e. application programming interface) og notkun sterkrar auðkenningar. Það kom síðan í ljós að evrópskir bankar og aðilar á greiðslumarkaði yrðu fæstir tilbúnir með sterka auðkenningu á tilsettum tíma, a.m.k. ekki nema með því að bjóða upp á lausnir sem myndu flækja rafræna bankaþjónustu verulega fyrir notendum.

Evrópska bankaeftirlitið (EBA) gaf því í júní sl. leyfi fyrir því að stjórnvöld hvers aðildarríkis fyrir sig myndu veita aðilum á greiðslumarkaði frest til að innleiða sterka auðkenningu við netgreiðslur, að því gefnu að þeir gætu sýnt fram á áætlun um innleiðinu hennar. Meirihluti ESB-ríkjanna nýtti sér þetta leyfi EBA og hafa með formlegum hætti veitt aðilum á markaði lengri frest fyrir innleiðingu sterkrar auðkenningar fyrir netgreiðslur. Þá hafa sum ríkjanna veitt bönkum formlegan frest til þess að innleiða sterku auðkenninguna.


Óljóst hvenær PSD2 verður innleidd á Íslandi

Umræðan um PSD2 er að jafnaði með þeim hætti að tilskipunin kollvarpi greiðslumarkaðnum eins og við þekkjum hann í dag. Það er á hinn bóginn óljóst hvenær viðskiptavinir munu finna raunverulega fyrir þessum breytingum. Innleiðingin í Evrópu tekur lengri tíma en upphaflega var gert ráð fyrir og þar að auki eru API-viðmót bankanna, sem einnig áttu að vera tilbúin þann 14. september sl., mörg hver enn ófullnægjandi.

Hvernig þessi mál þróast á meginlandinu mun gefa okkur á Íslandi dýrmæta innsýn í hvernig hægt er að standa að innleiðingunni á PSD2 hérlendis. Tilskipunin er þegar orðin hluti af sameiginlegu regluverki Evrópska efnahagssvæðisins og því ljóst að hún verður innleidd sem lög hérlendis. Það er þó óljóst hvenær það verður. Á meðan mun Landsbankinn halda áfram að fylgjast vel með gangi mála og undirbúa bankann fyrir opið bankakerfi, viðskiptavinum til hagsbóta. A2A-greiðslulausnin (e. account to account) sem er á API-markaðstorgi bankans, og fjallað er um hér að ofan, mun gefa bankanum dýrmæta reynslu. Viðskiptavinir Landsbankans munu því geta notið góðs af opnu bankakerfi í gegnum samstarfsaðila bankans fyrr en ella væri.