Tyve måneder efter den europæiske banktilsynsmyndighed (EBA) udsendte det første udkast, blev den 13. marts endelig den regulatoriske tekniske standard (RTS) om stærk kundeautentificering (SCA) og Common Secure Communication (CSC) under det reviderede betalingstjenestedirektiv (PSD2) offentliggjort. i Den Europæiske Unions Tidende.
Længden af processen og antallet af iterationer, der kræves for at færdiggøre standarden, beviser kompleksiteten i at udvikle regler for at etablere lige vilkår mellem forskellige markedsdeltagere, samtidig med at teknologisk neutralitet, forbrugerbeskyttelse og øget sikkerhed i betalingstjenester sikres. .
Færdiggørelsen af RTS er en vigtig milepæl, som vil give virksomheder meget mere klarhed og sikkerhed for, hvordan de kan skubbe deres PSD2-overholdelse og strategiske programmer frem. Ikke desto mindre efterlader den endelige RTS stadig en række vigtige spørgsmål åbne, især i forhold til udvikling og test af adgangsgrænseflader for tredjepartsudbydere (TPP'er).
Den endelige tekst af RTS, som forbliver den samme som den version, der blev offentliggjort af EU-Kommissionen i november sidste år, vil gælde i sin helhed fra den 14. september 2019. Fra den 14. marts 2019 skal Account Servicing Payment Service Providers (ASPSP'er) dog gøre de tekniske specifikationer for deres adgangsgrænseflader (uanset om de er dedikerede eller brugervendte) tilgængelige for TPP'er, og forsyne dem også med en testfacilitet til at udføre afprøvninger af softwaren og applikationerne TPP'er vil bruge til at tilbyde tjenester til deres brugere.
RTS specificerer kun, at ASPSP'er skal sikre, at deres grænseflader følger kommunikationsstandarder, som er udstedt af internationale eller europæiske standardiseringsorganisationer. Kommissionen erkender, at manglen på mere detaljerede krav er en udfordring, men mener, at det er markedsdeltagernes ansvar at arbejde sammen om at udvikle en løsning, der fungerer for alle sider.
For at lette dette foreslog Kommissionen oprettelsen af en Application Programming Interface Evaluation Group (API EG) til at evaluere standardiserede API'er-specifikationer for at sikre, at de er i overensstemmelse med PSD2 og anden relevant lovgivning, herunder den nye General Data Protection Regulation (GDPR). og opfylde behovene hos ASPSP'er, TPP'er og Payment Service Users (PSU'er). EU-Kommissionen, EBA og Den Europæiske Centralbank (ECB) vil være observatører i API EG, men vil yde assistance til markedsaktører, hvis og når det er nødvendigt.
Anbefalingerne og vejledningen udstedt af API EG vil søge at skabe harmoniseret markedspraksis på tværs af EU-medlemsstater. At opnå dette vil ikke kun reducere implementeringstiderne og -omkostningerne for både ASPSP'er og TPP'er, men vil også være afgørende for at muliggøre effektiv grænseoverskridende konkurrence baseret på PSD2-aktiverede produkter og tjenester.
Fælles kommunikationsstandarder kan også støtte nationale kompetente myndigheder (NCA'er) med at afgøre, om de skal fritage individuelle ASPSP'er, hvis de har valgt at udvikle en dedikeret grænseflade, fra at indføre reservemekanismen (dvs. at åbne deres brugervendte grænseflader som en sikker kommunikation kanal), som TPP'er kan stole på, hvis sådanne dedikerede grænseflader ikke opfylder de fælles markedsacceptkriterier eller er utilgængelige i mere end 30 sekunder.
Dette kan hjælpe med at afhjælpe, om end kun delvist, nogle af de bekymringer, som EBA har givet udtryk for om, at bestemmelserne i den endelige RTS - herunder stresstestning, dispensationsstyring og overvågning af ydeevnen af dedikerede grænseflader - vil pålægge betydelige og overdrevne yderligere administrative og operationelle byrde både EBA og de nationale konkurrencemyndigheder.
API EG påbegyndte sit arbejde i januar med det formål at udsende endelig vejledning og anbefaling om API-standarder inden juni 2018, hvorefter den vil fokusere på at definere principper og tilgange på højt niveau for en fælles testramme for adgangsgrænseflader.
RTS specificerer kun, at ASPSP'er skal sikre, at deres grænseflader følger kommunikationsstandarder, som er udstedt af internationale eller europæiske standardiseringsorganisationer. Kommissionen erkender, at manglen på mere detaljerede krav er en udfordring, men mener, at det er markedsdeltagernes ansvar at arbejde sammen om at udvikle en løsning, der fungerer for alle sider.
For at lette dette foreslog Kommissionen oprettelsen af en Application Programming Interface Evaluation Group (API EG) til at evaluere standardiserede API'er-specifikationer for at sikre, at de er i overensstemmelse med PSD2 og anden relevant lovgivning, herunder den nye General Data Protection Regulation (GDPR). og opfylde behovene hos ASPSP'er, TPP'er og Payment Service Users (PSU'er). EU-Kommissionen, EBA og Den Europæiske Centralbank (ECB) vil være observatører i API EG, men vil yde assistance til markedsaktører, hvis og når det er nødvendigt.
Anbefalingerne og vejledningen udstedt af API EG vil søge at skabe harmoniseret markedspraksis på tværs af EU-medlemsstater. At opnå dette vil ikke kun reducere implementeringstiderne og omkostningerne for både ASPSP'er og TPP'er, men vil også være afgørende for at muliggøre effektiv grænseoverskridende konkurrence baseret på PSD2-aktiverede produkter og tjenester.
Fælles kommunikationsstandarder kan også støtte nationale kompetente myndigheder (NCA'er) med at afgøre, om de skal fritage individuelle ASPSP'er, hvis de har valgt at udvikle en dedikeret grænseflade, fra at indføre reservemekanismen (dvs. at åbne deres brugervendte grænseflader som en sikker kommunikation kanal), som TPP'er kan stole på, hvis sådanne dedikerede grænseflader ikke opfylder det fælles markeds acceptkriterier eller er utilgængelige i mere end 30 sekunder.
Dette kan hjælpe med at afhjælpe, om end kun delvist, nogle af de bekymringer, som EBA har givet udtryk for om, at bestemmelserne i den endelige RTS - herunder stresstestning, dispensationsstyring og overvågning af ydeevnen af dedikerede grænseflader - vil pålægge betydelige og overdrevne yderligere administrative og operationelle belaste både EBA og de nationale konkurrencemyndigheder.
API EG påbegyndte sit arbejde i januar med det formål at udsende endelig vejledning og anbefaling om API-standarder inden juni 2018, hvorefter den vil fokusere på at definere principper og tilgange på højt niveau for en fælles testramme for adgangsgrænseflader.
I vores EMEA-dækkende PSD2-undersøgelse sidste år bemærkede mange firmaer, at fraværet af en endelig RTS skabte udfordringer i definitionen af deres bredere compliance-programmer. Med reglerne nu færdiggjort, herunder de korte implementeringstidslinjer, bør europæiske virksomheder skubbe frem med fuld hastighed, ikke kun i forhold til deres kommunikationsgrænseflader, men også i forhold til deres SCA-løsninger.
Men fra et schweizisk perspektiv er der i øjeblikket begrænset pres på virksomhederne for at gå videre med implementeringen, da schweiziske virksomheder indtil videre ikke er forpligtet til at overholde PSD2 bortset fra deres datterselskaber i EU, som tilbyder betalingstjenester. Derfor har schweiziske banker frihed til at bestemme, om og hvordan de vil gøre deres API'er tilgængelige for tredjeparter.
Vi mener, det er klogt at nøje vurdere de førnævnte meddelelser fra EBA og især overvåge resultatet af arbejdet i API EG, da det forventes, at presset, især fra kunder, sandsynligvis vil stige, så snart tjenesten er tilgængelig i de tilstødende EU-lande. Overvågning af implementeringen vil ikke kun give klarhed omkring det åbne spørgsmål vedrørende udvikling og test af adgangsgrænseflader til TTP'er, det vil også give schweiziske banker mulighed for at forberede sig forud for et fremtidigt åbent bankøkosystem.
Da de banker med datterselskaber, der tilbyder betalingstjenester i EU, er tvunget til at overholde RTS allerede den 14. september 2019, vil de blive forpligtet til nøje at overvåge, hvordan kommunikationsstandarderne defineres og implementeres i EU. Disse banker kan også finde det mere effektivt at implementere ændringerne på tværs af hele deres bank for at gøre brug af de nødvendige investeringer til et fremtidigt åbent bankøkosystem. Afhængig af dynamikken i denne udvikling på det schweiziske marked er det sandsynligt, at presset på andre schweiziske spillere vil stige hurtigere end forventet.
Denne blog blev først skrevet af Deloitte EMA Center for regulatorisk strategi. For at læse mere om emnet åben bank, klik venligst her.