Veiligheid en ervaring prioriteit bij PSD2

PSD2 stelt dat alle aanbieders van financiële diensten (van fintechs tot banken) tegen 14 september 2019 aan bepaalde beveiligingsvereisten moeten voldoen, waaronder die van de sterke authenticatie. De Europese Bankautoriteit maakte onlangs bekend dat aanbieders van financiële diensten meer tijd kunnen krijgen na deze deadline. Wat betekent dat precies?

De herziene richtlijn inzake betalingsdiensten – PSD2 – werd door de Europese Commissie in het leven geroepen om de veiligheidseisen voor online betalingen en online bankieren te harmoniseren en een gemeenschappelijk regelgevend kader voor de EU te bieden. In een recent advies verklaart de Europese Bankautoriteit (EBA) dat de bevoegde autoriteiten (bijvoorbeeld nationale banken) een uitzondering kunnen toestaan aan specifieke aanbieders om te voldoen aan de authenticatievereisten. De bedrijven die extra tijd nodig hebben, moeten een gedetailleerd plan ter goedkeuring voorleggen aan hun bevoegde autoriteit.

Het advies roept echter enkele vragen op, die ik hierbij toelicht.

Mogelijk uitstel

Als het gaat om een mogelijk uitstel, verwijst het advies vooral naar issuers (kaartuitgevers), acquirers (kaartverwerkers) en handelaars: een terminologie die typisch is in de context van kaartbetalingen voor e-commerce. Vermoedelijk kwamen de meeste verzoeken om de termijn van september uit te stellen vanuit die hoek. Het is momenteel niet duidelijk of de bevoegde autoriteiten alleen extra tijd toestaan in de context van kaartbetalingen voor e-commerce, of ook voor andere toepassingen die sterke authenticatie vereisen, zoals online en mobiel bankieren.

Daarnaast legt het advies geen termijn op voor de ‘beperkte extra tijd’. Verschillende betaaldiensten kunnen dus andere termijnen hanteren, met mogelijke gevolgen voor betalingen waarbij meerdere betalingsdiensten betrokken zijn. Een voorbeeld: een kaartbetaling wordt uitgevoerd tussen een issuer die vanaf 14 september 2019 aan de vereisten voldoet, en een acquirer die een verlenging van zes maanden heeft gekregen. De acquirer stuurt een verzoek voor betaling zonder sterke authenticatie naar de issuer, maar die weigert de betaling omdat hij sterke authenticatie vereist. Betalingen kunnen dus worden afgewezen, hoewel zowel de issuer als de acquirer correct handelen. Dit voorbeeld toont aan dat de bevoegde autoriteiten de verlengingen op een gecoördineerde manier moeten toestaan.

Ten slotte spreek de EBA in het advies over de implementatie van de sterke authenticatie, en niet over extra tijd voor de implementatie van de ‘open banking api’s’, de andere pijler van PSD2. Tot nu toe ging de introductie van de Open Banking API’s hand in hand met de sterke authenticatie en volgden ze dezelfde tijdlijn, met 14 september 2019 als deadline. Het statement voorziet nu meer tijd voor sterke authenticatie, maar blijkbaar niet voor de open banking api’s. Dat wil zeggen dat sommige betaaldiensten open banking api’s kunnen aanbieden zonder sterke authenticatie. Dit heeft twee grote gevolgen:

Gevolgen

Ten eerste betekent dit dat als een bank zijn accounts niet beschermt met sterke authenticatie, en als de bank authenticatie via een embedded model ondersteunt, derde partijen (zoals een fintech) zwakke credentials zullen krijgen die gebruikt worden om bankrekeningen te beschermen. Als een bankrekening bijvoorbeeld wordt beschermd met een gebruikersnaam en een statisch wachtwoord, kan de derde partij deze gegevens verkrijgen. Als gevolg hiervan kan die derde partij inloggen op deze bankrekeningen en eventueel betalingen uitvoeren zonder dat de rekeninghouders hiervan op de hoogte zijn.

Daarnaast kunnen gebruikers die via een derde partij toegang hebben tot hun bankrekeningen worden verplicht om sterke authenticatie uit te voeren voor bank A, maar niet voor bank B. De gebruikerservaring voor verschillende banken zal anders zijn en dat kan voor verwarring zorgen. Dit geldt ook voor derde partijen die optreden als aanbieder van betaaldiensten.