Nye PSD3 og PSR: Evolusjon eller revolusjon?

Bakgrunn

Det reviderte betalingstjenestedirektivet (PSD2), vedtatt av Europaparlamentet 8. oktober2015 og går live 14. september, 2019, rettet primært mot å styrke sikkerheten til nettbetalinger, fremme utvikling og bruk av åpen bankvirksomhet, og gjøre det europeiske betalingsmarkedet mer integrert og effektivt.

Selv om den sterke kundeautentiseringen (SCA) introdusert av PSD2 har forbedret den generelle sikkerheten for betalingstransaksjoner i Europa betydelig, er det ingen krenkelse for europeiske regulatorer å si at PSD2 ikke har realisert sin opprinnelige ambisjon om å skape et friksjonsfritt paneuropeisk åpent bankområde, til tross for 4,5 års eksistens. For å være rettferdig deles ansvaret, og alle spillere har noe å reflektere over.

PSD2 begrensninger

Vi ser 3 hovedhindringer som har hindret PSD2 og mer generelt open banks utvikling.

• Mangel på klarhet om selve reguleringen, noe som fører til ujevne spilleregler og inkonsekvente implementeringer på tvers av land.
• Manglende vilje fra visse kontobetjente betalingstjenesteleverandører (ASPSP-er) til å åpne for tilgang til kundenes data fullt ut.
• Mangel på markedsberedskap da forskriften gikk i kraft, noe som genererte usikkerhet og høyere risiko for svindel.

For det første var PSD2-reguleringen i seg selv ikke klar nok og skapte rom for tolkning

• Ikke-konsistent definisjon av hva en leverandør av kontoinitieringstjenester (AISP) eller betalingsinitieringstjenesteleverandør (PISP) er, som kan betraktes annerledes i henhold til landet (som en finansinstitusjon som innebærer mange regler å overholde (f.eks. AML) eller som en teknologimuliggjør som krever mye mindre kontroll fra regulatorer).
• Uklarhet angående definisjonen av hva som anses som en betalingskonto og informasjonen en tredjepartsleverandør (TPP) kan få tilgang til (f.eks. kredittkortsaldoer og transaksjoner er tilgjengelige i noen land, men ikke i andre).
• Ingen standardiserte API-grensesnitt definert i de regulatoriske tekniske standardene (RTS) til PSD2.
• Manglende klarhet om forholdene som definerer når en plattform kan handle på vegne av betaleren.
• Uklarheter angående anvendeligheten av visse sterke unntak for kundeautentisering.

For det andre har mange ASPSP-er ikke spilt spillet fullt ut, og har fulgt en «minimum legal product» -tilnærming

• Utilstrekkelig innsats fra ASPSP-er for å få API-ene til å fungere på et standardnivå av høy kvalitet.
• Begrensninger fra visse ASPSP-er på betalingstjenestene som er tilgjengelige for en TPP.
• Vanskeligheter med å få delegert SCA fra ASPSP-er på generell basis.
• Ingen fullt integrerte PSD2-kundereiser innenfor ASPSPs egne bankappprosesser.

For det tredje var markedsaktørene ikke alltid klare da PSD2 ble lansert, genererte forsinkelser og utsettelser, noe som utvannet det totale momentumet og ga noen operasjonelle usikkerheter

• Mange TPPer var ikke klare snart nok til å teste grensesnitt med ASPSP-er og undervurderte tiden og kreftene som trengs for å få en lisens.
• De fleste store nettforhandlere var ikke klare for implementering av SCA og presset på for ekstra tid.

PSD3/PSR forbedringer

EUs finansielle reguleringsorganer er godt klar over disse vanskelighetene og har foreslått to forskjellige lovgivningsmidler for å løse disse smertepunktene: et nytt direktiv (PSD3) som fokuserer på regler knyttet til lisensiering og tilsyn med betalingsinstitusjoner, som må overføres av hver medlemsstat i sin lovgivning, og en ny forordning (PSR) som fokuserer mer på bruk av betalingstjenester og som vil tre direkte i kraft i hvert land uten behov for transponering.

PSD3 og PSR er to sider av samme mynt, med et felles mål om å forbedre betalingsmarkedet i Europa ved å bringe etterlengtede endringer:

Ytterligere avklaringer, harmoniseringer og forenklinger

• Klar definisjon av en betalingskonto og avklaring av omfanget av data som skal være tilgjengelig for TPP-er.
• Harmoniserte regler mellom lisenser for betalingsinstitusjoner og e-pengeinstitusjoner og avklaring om trekantede passspørsmål.
• Harmoniserte regler mellom bank- og ikke-bank-TPP-er.
• Avklaring angående tilgang til betalingssystemer for betalingsinstitusjoner.
• Avklaring angående muligheten for å åpne eller lukke en betalingskonto av en betalingsinstitusjon, dets agenter eller distributører via kredittinstitusjoner.
• Forenkling angående SCA-mekanisme: 2-faktor kan være en del av samme familie, sjeldnere behov for AIPSP-er for å utløse en SCA (180 dager mot 90 dager før).

Ytterligere forpliktelser for ASPSP-er for å gi tilgang til kundenes data

• Forpliktelse for ASPSP-er til å tilby minst ett dedikert grensesnitt til TPP-er for åpen banktilgang, og til å dele mer informasjon om API-oppdateringer og ytelse via kvartalsstatistikk.
• Forpliktelse for ASPSP-er til å tilby et dashbord til brukere av betalingstjenester som gjør det mulig for dem å administrere tilgangsrettigheter til dataene sine.

Sterkere styringskrav til TPP og styrking av tiltak for å bekjempe svindel

• Ansvarsskifte til TPP når en forbruker blir manipulert av en tredjepart som utgir seg for å være ansatt i PSP.
• Ekstra kapital nødvendig for PISP og AISP.
• Utvidede sanksjonsmakt for nasjonale kompetente myndigheter, herunder etterforskningsrettigheter.

Perspektiver

Vil det være nok? PSD3 og PSR ser ut til å være mer en evolusjon enn en revolusjon. Selv om de vil adressere de tre viktigste hindringene på noen måter, kan de ikke tvinge ASPSP-er til å gå utover forskriften, og heller ikke sikre at alle markedsaktører vil fremme adopsjonen.

Det er imidlertid en god ting - adopsjon av nye produkter, tjenester eller teknologier kan ikke komme fra selve reguleringen. Erfaringene fra den første versjonen av den europeiske forskriften om digitale identiteter (eIDAS 1.0) for eksempel viste tydelig at regulering alene aldri er tilstrekkelig til å bevege et marked, spesielt når du ikke har fullt engasjement fra privat sektor. Forordningen kan selvfølgelig bidra til å forhindre for eksempel at noen ASPSP-er utnytter de uklarhetlige og brede definisjonene av PSD2 for å begrense eller komplisere tilgangen til kundenes data, men kan ikke være den viktigste eller unike katalysatoren.

Den store endringen kunne bare komme fra selve markedet, fra banker, betalingsaktører og selgere for å vise frem verdien de kan få fra disse forskriftene og åpen bankvirksomhet generelt, og fra kunder for å omfavne endringen. Til slutt er det bare tjenester som tilfører verdi, forenkler kundereiser og gir kundene kontroll over sine egne data som vil seire. Vi bør ikke glemme at det første markedsskiftet muliggjort av PSD2 - overføring av dataeierskap fra banker til kunder - er kommet for å bli og bare bør forsterkes av kommende markedsutvikling. I den forbindelse kan verdiskapende tjenester fra konto til konto (A2A) og øyeblikkelige betalinger betydelig fremme denne markedsdynamikken og gjøre det mulig for PSD3 å akselerere den fulle realiseringen av potensialet for åpen bankvirksomhet.

Implikasjoner for selgere

Mens selgere har opplevd høyere kortbetalingskostnader de siste årene, fremstår A2A-betalinger som et interessant og levedyktig alternativ til dyre internasjonale kortordninger og lommebokløsninger. Dessverre har direkte A2A-betalinger via TPP forblitt relativt begrenset av årsakene nevnt ovenfor. I den forbindelse kan PSD3 og PSR være et skritt i riktig retning, forenkle reglene, legge til klarhet og oppmuntre ASPSP-er til ytterligere å lette tilgangen til betalingskontoer. Selgere vil også dra nytte av høyere sikkerhet for transaksjoner, og økt åpenhet og harmonisering.

I tillegg til PSD3 og PSR, vil den nye Financial Information Data Access Regulation (FIDA) som kan vedtas av Europaparlamentet ved utgangen av året eller tidlig i 2025, legge til rette for tilgang til manglende betalingsdata gjennom Financial Information Service Providers (FISP) - denne forskriften vil omfatte ikke-betalende kontoer som investeringer, lån, pensjoner og kan endre betalingslandskapet enda mer dramatisk ved å bane vei for utvikling av åpen økonomi. Forhandlere bør samarbeide med innovative TPP-er for å definere førsteklasses kundereiser og opplevelser, og utnytte åpen bankvirksomhet og åpen finanss enorme potensial som nettopp har blitt berørt på overflaten så langt.

‍