EBA har nu offentliggjort EU-Kommissionens foreslåede ændringer til sit udkast til RTS om Strong Customer Authentication (SCA) og fælles og sikker kommunikation i henhold til det reviderede betalingstjenestedirektiv (PSD2), samt Kommissionens ledsagende brev, der beskriver de vigtigste ændringer, der er indført. Begge dokumenter blev indsendt til EBA onsdag den 24. maj, men blev først offentliggjort fredag ​​den 1. juni.

1. Uafhængig revision af sikkerhedsforanstaltningerne i tilfælde, hvor undtagelsen fra transaktionsrisikoanalysen anvendes. (Se kapitel 1, artikel 3, stk. 2, i EBA-udkastet og i Kommissionens ændrede RTS).
   Udbydere af betalingstjenester (PSP'er), der gør brug af SCA-undtagelsen for "Transaktionsrisikoanalyse" (i henhold til artikel 18), skal mindst en gang om året have en lovpligtig revision for metodologien, modellen og de rapporterede svindelsatser basis. Kommissionen har indført dette for at sikre, at den anvendte risikoanalysemetode er objektiv og konsekvent.
2. Introduktion af en ny undtagelse til SCA for visse virksomhedsbetalingsprocesser . (Se kapitel III, NY artikel 17)
   PSP'er skal have tilladelse til ikke at anvende SCA i forhold til juridiske personer, der initierer elektroniske betalingstransaktioner gennem  brug af dedikerede virksomhedsbetalingsprocesser eller protokoller, forudsat at den relevante kompetente myndighed bekræfter ex- ante, at de er overbevist om, at disse processer eller protokoller garanterer mindst tilsvarende sikkerhedsniveauer som dem, der er tilsigtet med PSD2.
3. Svindelrapportering fra PSP'er direkte til EBA. (Se kapitel III, artikel 16, stk. 2, og artikel 17, stk. 2, i EBA-udkastet - artikel 18 og 19 i Kommissionens ændrede RTS)
   Kommissionen tilføjede flere detaljer til den måde, som betalingstjenesteudbydere skal beregne risikoen på score for hver betalingstransaktion. Derudover skal metoden og enhver model, som PSP'en anvender til at beregne svigraterne, såvel som selve svigraterne, dokumenteres og gøres fuldt tilgængelige for de kompetente myndigheder såvel som for EBA. Dette betyder, at EBA vil have adgang til individuelle svigdata fra PSP'er i stedet for at stole på aggregerede data på højt niveau, rapporteret af kompetente myndigheder.
4. Beredskabsforanstaltninger i tilfælde af utilgængelighed eller utilstrækkelig ydeevne af den dedikerede kommunikationsgrænseflade. (Se kapitel 5, artikel 28 i EBA-udkastet – artikel 33 i Kommissionens ændrede RTS)

Som forventet indførte Kommissionen en ændring af RTS, der angiver, at hvis den dedikerede grænseflade er utilgængelig i mere end 30 sekunder under en kommunikationssession mellem PSP'er, eller hvor den ikke fungerer i overensstemmelse med kravene i artikel 30 og 32 (Generelt forpligtelser for en dedikeret grænseflade), udbydere af betalingsinitieringstjenester (PISP'er) og udbydere af kontoinformationstjenester (AISP'er) bør have adgang til de grænseflader, der stilles til rådighed for betalingstjenestebrugerne for direkte adgang til deres betalingskonto online, indtil den dedikerede grænseflade er genoptaget fungerer. Adskillige betingelser gælder (se artikel 33, stk. 3 for flere detaljer), herunder identifikations- og autentificeringsprocedurer, men reelt genindfører denne bestemmelse et element af skærmskrabning som en nødforanstaltning.

EBA-forslaget om at forbyde skærmskrabning var blevet hilst velkommen af ​​banker, men blev stærkt bestridt af FinTech-sektoren, som mente, at det ville stille tredjepartsudbydere (TPP'er) i en ulempe. For at dæmpe bekymringerne foretog Kommissionen denne ændring for at sikre, at utilgængelighed eller utilstrækkelig ydeevne af den dedikerede grænseflade ikke forhindrer PISP'er og AISP'er i at tilbyde deres tjenester til deres brugere. Ellers ville en bank være i stand til at tilbyde sine egne betalingstjenester gennem de brugervendte grænseflader, som fungerer uden problemer, mens PISP'er og AISP'er ikke ville være i stand til det.

Selvom kompromiset giver mening i teorien, skal det vise sig, hvor brugbart det er i praksis. På den ene side bliver banker nødt til at opgradere deres brugervendte grænseflader for at kunne identificere TPP'er, sørge for, at de kun får adgang, hvis den dedikerede grænseflade er utilgængelig, og beskytte de følsomme kunders oplysninger, TPP'er ikke har adgangstilladelse til. På den anden side, da kommunikationsgrænseflader kan være forskellige for hver bank, bliver TPP'er nødt til at bygge og vedligeholde forskellige tilslutningsløsninger for hver bank, de ønsker at oprette forbindelse til, og for både bankens dedikerede og brugervendte grænseflader - hvilket kan vise sig at være dyrt og tid. forbrugende.

Endelig, mens den yderligere SCA-fritagelse for virksomhedsbetalinger og de yderligere forsikringer om transaktionsrisikoanalyse og svigmodeller er velkomne, forlænger de foreslåede ændringer overgangsperioden mellem implementeringsdatoen for PSD2 (januar 2018) og den dato, hvor bestemmelserne indeholdt i dette vil RTS blive gældende – nu estimeret i foråret 2019. Dette skaber yderligere udfordringer for både nye deltagere, som f.eks. ikke vil kunne stole på API'er i næsten yderligere to år, og for etablerede banker, som skal fortsætte med at støtte eksisterende løsninger (f.eks. skærmskrabning), mens de samtidig udvikler deres RTS-kompatible kommunikationsgrænseflader.

Næste trin

• EBA har indtil den 5. juli til at afgive udtalelse om den ændrede RTS
• Efter denne periode kan Kommissionen vedtage RTS under hensyntagen til EBA's udtalelse eller se bort fra den
• Når Kommissionen officielt har vedtaget RTS, begynder Parlamentets og Rådets tre måneders kontrolperiode

For yderligere læsning om dette emne besøg venligst:

• PSD2 åbner døren for nye markedsdeltagere
• Betalinger afbrudt
• PSD2 RTS om godkendelse og kommunikation | Djævelen er i (manglen på) detaljer
• PSD2 – EBA opfordrer til fleksibilitet for at opnå en mere afbalanceret tilgang

Dette indlæg er skrevet af Stephen Ley og Steven Bailey i Deloittes Risk Advisory-team og Valeria Gallo i EMEA Center for Regulatory Strategy og blev først offentliggjort på Deloitte Financial Services UK-bloggen.