PSD2 heeft wél impact op Nederlandse (online) spaarbanken
Er bestaat bij banken, vooral bij (online) spaarbanken, onduidelijkheid over de vraag of de PSD2 ook op hen van toepassing is. De recent gepubliceerde ‘Regulatory Technical Standards’ (RTS) nemen deze onduidelijkheid weg. Pieter van Andel, adviseur bij Enigma Consulting, geeft tekst en uitleg over de stand van zaken en de impact die banken te wachten staat.
Achtergrond
De herziene Europese betaalrichtlijn, de PSD2, wordt op 13 januari 2018 van kracht in alle EU lidstaten. De initiële betaalrichtlijn PSD is inmiddels ruim zeven jaar van kracht en heeft voor uniformering van het Europese betalingsverkeer gezorgd. Deze richtlijn vormde o.a. de wettelijke basis voor de introductie van de SEPA betaalproducten. In de tussentijd zijn er echter diverse nieuwe diensten op het gebied van betalingsverkeer geïntroduceerd die niet goed door de oorspronkelijke betaalrichtlijn worden afgedekt. Het betreft met name nieuwe vormen van dienstverlening op het gebied van het online initiëren en inzien van betaaltransacties op betaalrekeningen. De PSD2 zorgt dat ook voor deze nieuwe vormen van dienstverlening gelijke en transparante voorwaarden gaan gelden, waarbij een hoge mate van consumentenbescherming wordt gewaarborgd.
In aanvulling op de PSD2 heeft de European Banking Authority (EBA) recent de zogeheten ‘Regulatory Technical Standards’ (RTS) gepubliceerd. Hierin worden de technische standaarden voor een deel van de gevraagde veranderingen beschreven. Nu de definitieve versie van de RTS aan de Europese Commissie is aangeboden, is het voor spaarbanken van groot belang om te weten of de nieuwe eisen van de PSD2 en RTS ook op hen van toepassing zijn.
Vallen spaarrekeningen onder scope PSD2?
Volgens de scope en definities in de PSD2 zijn alle betaalrekeningen waarop betaaltransacties, zoals een girale overboeking, kunnen worden uitgevoerd, in scope van de PSD2. Vrij opneembare spaarrekeningen zouden onder deze definitie als betaalrekening kunnen worden gezien. Voor de meeste spaarrekeningen kan echter alleen van en naar een vaste tegenrekening, die op naam van diezelfde klant moet staan, worden overgeboekt. Ten tijde van de initiële betaalrichtlijn PSD is daarom gevraagd of spaarrekeningen met een dergelijke restrictie wel als betaalrekening moeten worden gezien.
EBA heeft toen in een Q&A document aangegeven dat vrij opneembare spaarrekeningen wel onder de definitie van de betaalrekening vallen en deposito spaarrekeningen niet. Het enige criterium dat hierbij van belang is, is of de klant vrij en zonder enige restrictie over het saldo van zijn rekening kan beschikken. Dit is bij vrij opneembare spaarrekeningen het geval.
Ook de Payments Account Directive (PAD), die vorig jaar september van kracht werd in alle Europese lidstaten, bevestigt dat een vrij opneembare spaarrekening als betaalrekening moet worden gezien. In deze Europese richtlijn worden o.a. regels met betrekking tot transparantie van kosten van betaalrekeningen, het wisselen van bankrekening en de toegang tot een basisbetaalrekening gesteld. De PAD hanteert precies dezelfde definities voor een betaalrekening als de PSD2. In de PAD wordt echter onderscheid gemaakt tussen betaalrekeningen met basisfuncties en betaalrekeningen met meer beperkte betaalfuncties. Alleen de eerste groep betaalrekeningen zijn in scope van de PAD. Spaarrekeningen worden tot de tweede groep gerekend en zijn daarmee uit scope van de PAD, omdat deze rekeningen meestal geen diensten voor alledaagse betaaltransacties ondersteunen, zoals het verrichten van incasso- en betaalkaarttransacties. De PSD2 maakt echter geen onderscheid tussen betaalrekeningen met basis betaalfuncties en die met beperktere betaalfuncties. Voor de PSD2 is het alleen van belang of een rekening als betaalrekening wordt gezien en dat is bij vrij opneembare spaarrekeningen het geval, ook volgens de PAD.
Kijkend naar de doelstellingen van de betaalrichtlijn PSD2 is het ook niet onlogisch dat de vrij opneembare spaarrekeningen in scope zijn. Zaken als transparante betalingsdienstverlening, efficiënt en veilig betalingsverkeer en consumentenbescherming mogen ook voor het betalingsverkeer van en naar spaarrekeningen worden verwacht. Ook uit de initiële PSD zijn diverse eisen door de spaarbanken doorgevoerd, zoals het afschaffen van de valutering van betaaltransacties op spaarrekeningen.
Hoewel de aanleiding om bepaalde nieuwe eisen in de PSD2 op te nemen meer zijn oorsprong kent vanuit de e-commerce, betekent dat niet dat deze eisen niet algemeen van toepassing zijn op alle rekeningen die tot de scope van de betaalrekeningdefinitie behoren. Er zijn namelijk geen artikelen in de PSD2 uitgesloten voor bepaalde categorieën van betaalrekeningen, zoals dit bijvoorbeeld wel het geval is voor bepaalde type transacties zoals betaaltransacties in non-EU muntsoorten. Ook in de RTS zijn geen uitsluitingen voor bepaalde categorieën betaalrekeningen opgenomen. Wel is een vrijstelling voor sterke authenticatie opgenomen voor betalingen tussen betaalrekeningen van dezelfde persoon. Deze vrijstelling geldt echter alleen als beide betaalrekeningen binnen dezelfde bank worden aangehouden en is daarmee niet van toepassing voor de spaarrekeningen van spaarbanken die met een vaste tegenrekening bij een andere bank werken.
Uit bovenstaande argumentatie kan de conclusie worden getrokken dat vrij opneembare spaarrekeningen in scope van de PSD2 zijn. Dit betekent dat de PSD2 ook op de Nederlandse spaarbanken een aanzienlijke impact heeft.
De drie belangrijkste impactgebieden van de PSD2 voor de Nederlandse spaarbanken worden in de volgende paragrafen nader toegelicht.
1. Verzwaarde eisen aan klantauthenticatie
De PSD2 vereist van banken dat deze sterke klantauthenticatie toepassen als een klant online toegang tot zijn betaalrekening wil krijgen of online een betaalopdracht wil initiëren. Sterke klantauthenticatie betekent een authenticatie die gebaseerd is op twee of meer de van volgende factoren:
- kennis (iets wat alleen de klant weet), bijvoorbeeld een pincode
- bezit (iets wat alleen de klant bezit), bijvoorbeeld een betaalpas
- inherente eigenschap (iets wat de gebruiker is), bijvoorbeeld een vingerafdruk of irisscan
De sterke klantauthenticatie moet bij de initiatie van een betaalopdracht daarnaast ook elementen bevatten die een dynamische link legt naar het bedrag en de begunstigde van de betaalopdracht. Wijziging van het bedrag of de begunstigde van een betaalopdracht zal dan altijd tot een compleet andere authenticatiecode leiden. Deze eisen zijn in de PSD2 opgenomen, omdat het risico op fraude bij online transacties hoger is. Door het gebruik van de dynamische link zou een hacker er misschien wel in kunnen slagen om het bedrag en de begunstigderekening van een online betaalopdracht te wijzigen, maar nooit de bijbehorende authenticatiecode kunnen genereren.
De meeste Nederlandse spaarbanken ondersteunen op dit moment geen sterke klantauthenticatie in hun internetbankieren-omgeving of bancaire app. De klant logt in met een gebruikersnaam en wachtwoord of met een pincode. Hetzelfde geldt voor de initiatie van een betaalopdracht vanaf zijn spaarrekening. De DNB staat deze wijze van authentiseren tot op heden toe, omdat de spaarbanken veelal met een vaste tegenrekening van de spaarrekening werken die op naam van diezelfde klant moet staan.
In de RTS zijn de klantauthenticatie-eisen nader uitgewerkt en zijn ook de vrijstellingen hierop gespecificeerd. Spaarrekeningen met een vaste tegenrekening zijn alleen vrijgesteld van de sterke klantauthenticatie eisen als beide rekeningen binnen dezelfde bank worden aangehouden. Deze vrijstelling is daarmee niet van toepassing voor de Nederlandse spaarbanken, omdat deze met een vaste tegenrekening bij een andere bank werken. Dit betekent dat de Nederlandse spaarbanken de sterke klantauthenticatie voor de vrij opneembare spaarrekening zullen moeten invoeren.
Overigens betekent dat niet dat de klant zich in alle gevallen op een andere wijze moet authentiseren. Sterke authenticatie is bijvoorbeeld niet nodig voor het raadplegen van de spaarrekening, behalve als het de eerste keer betreft of indien de laatste raadpleging langer dan 90 dagen geleden heeft plaatsgevonden. Ook kan van sterke klantauthenticatie worden afgezien bij overboekingen tot €500 wanneer het risico van deze overboekingen door de bank als laag wordt ingeschat op basis van een eigen transactie-risicomonitoring.
2. Toegang tot rekening via een derde partij
Een andere belangrijke verandering in de herziene betaalrichtlijn PSD2 zijn de nieuwe eisen met betrekking tot de toegang tot een online betaalrekening van een klant via een derde partij. Klanten moeten de mogelijkheid krijgen om betaalopdrachten via een derde partij te initiëren en om rekeninginformatie van hun betaalrekening via een derde partij op te vragen. Dit geldt ook voor de vrij opneembare spaarrekeningen waar klanten online toegang toe hebben. De Nederlandse spaarbanken moeten specifieke services ontwikkelen om deze dienstverlening aan derde partijen te ontsluiten. Uiteraard zijn de sterke klantauthenticatie-eisen ook van toepassing op de toegang tot een spaarrekening via een derde partij.
In het buitenland bestaan reeds toepassingen van derde partijen die toegang tot betaal- en spaarrekeningen van een klant bieden. Een voorbeeld hiervan is StarMoney in Duitsland. Met deze toepassing kan een klant al zijn Duitse betaal- en spaarrekeningen inzien en met één applicatie betalingen via deze rekeningen uitvoeren. Meer dan 4,5 miljoen particuliere klanten maken gebruik van deze toepassing. De verwachting is dat een dergelijke dienst ook in Nederland veel potentie heeft.
3. Nieuw interbancair navraagproces
Met ingang van november 2018 moeten alle banken, die de SEPA-overboeking ondersteunen, een geautomatiseerd interbancair navraagproces ondersteunen. Deze wijziging komt ook voort uit de nieuwe eisen in de PSD2. Indien een klant aangeeft dat de begunstigde van een betaalopdracht het geld niet of te laat heeft ontvangen, moet de bank de status van de betaaltransactie achterhalen. Wanneer de oorzaak niet bij de bank van de klant ligt moet de bank een navraag bij de bank van de begunstigde indienen. Deze bank dient vervolgens binnen tien werkdagen een antwoord te geven. Banken moeten voor dit navraagproces nieuwe interbancaire services inrichten. Dit zal ook voor de Nederlandse spaarbanken gaan gelden.
Impact en kansen voor spaarbanken
De impact van de drie genoemde veranderingen voor de Nederlandse spaarbanken is aanzienlijk. Er zijn ingrijpende wijzigingen in hun bancaire applicaties en infrastructuur nodig om de vereiste veranderingen te kunnen faciliteren. De PSD2 stelt dat de eisen voor de sterke klantauthenticatie en de toegang tot de rekening via derde partijen 18 maanden na definitieve goedkeuring door de Europese Commissie van kracht worden. De verwachting is dat deze goedkeuring per mei 2017 zal plaatsvinden. De Nederlandse spaarbanken moeten dus rond november 2018 alle genoemde wijzigingen hebben doorgevoerd. Dit zal een grote uitdaging worden voor de meeste spaarbanken. Een interessante optie voor spaarbanken is om de sterke klantauthenticatie-eisen te outsourcen aan een gespecialiseerde derde partij. Hiermee kan de impact voor een spaarbank worden beperkt. Indien deze derde partij ook zorgt voor een verbeterde klantinteractie en extra diensten, zoals bijvoorbeeld een financieel dashboard, biedt outsourcing meteen ook kansen voor een spaarbank om haar spaarproducten via een additioneel kanaal onder de aandacht te brengen.
Hoe nu verder?
Ook als spaarbank is het noodzakelijk een PSD2 project op te starten en de impact te bepalen. Vragen als: “hoe moet de klantauthenticatie en toegang tot de spaarrekeningen worden geadresseerd?”, “welke (FinTech) partners kunnen ons assisteren” en “wat zijn de kansen/bedreigingen van PSD2 op ons business model?” zijn vragen die in zo’n project dienen te worden beantwoord. 18 maanden van nu klinkt ver weg, maar die tijd is zo om en dan vormt PSD2-wetgeving de harde realiteit, ook voor spaarbanken.
Gerelateerd: Payment Services Directive 2 biedt ook kansen aan bankensector.