European Banking Authority (EBA) publiserte den 13. Juni 2018 to dokumenter for å presisere fortolkningen kravene til sterk kundeautentisering og sikker kommunikasjon for PSD2-baserte tjenester (Regulatory Technical Standards on Strong Customer Authentication and Common and Secure Communication – RTS on SCA and CSC).
- Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC
- Draft Guidelines on the conditions to be met to benefit from an exemption from contingency measures under Article 33(6) of Regulation (EU) 2018/389 (RTS on SCA & CSC)
«Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC» er skrevet for å sikre at kravene i RTS SCA and CSC fortolkes og praktiseres likt i alle medlemsland (EU og EØS). Dokumentet har fokus på å avklare de spørsmålene som aktørene må ta stilling til i en tidlig fase av implementeringen av PSD2, det vil si de grunnleggende spørsmålene.
Hva er de viktigste punktene i dokumentet?
Ettersom RTS on SCA and CSC er generelt formulert har det vært delte meninger om hvordan løsningene skal implementeres. Spesielt har det vært ulike meninger om hva slags informasjon tredjepartsaktørene skal ha tilgang til, og bruken av sterk kundeautentisering.
European Banking Authority slår i dokumentet fast følgende:
- Tredjepartene skal ha tilgang på all informasjon om betalingskontoen som kunden ser i sin nettbank/mobilbank
- Kontobank må gi tredjepartsaktørene bekreftelse på om det er dekning på konto for en betaling.
- Tredjepartene kan ikke hente ut kontoinformasjon flere enn fire ganger per døgn uten at kunden er direkte involvert.
- Det er kontobankens autentiseringsløsninger som skal brukes for å autentisere kunden
- Kontobanken bestemmer når det skal være unntak fra sterk autentisering
- Kunden kan benytte kontobankens løsning for autentisering så lenge dette ikke gjør det vanskeligere å bruke betalingstjenester hos tredjeparter enn i bankens egne betalingstjenester.
I de følgende avsnittene oppsummerer vi innholdet i dokumentet.
Generelle presiseringer fra EBA
- Fristen for å oppfylle kravene i RTS on SCA and CSC er 14. september 2019.
- Alle banker må tilpasse seg kravene i RTS SCA and CSC, uavhengig av hvilken type grensesnitt man tilbyr til tredjepartsaktører.
- De banker som tilbyr dedikert grensesnitt (API) må legge til rette for at grensesnittet kan testes av tredjepartsaktører i 6 måneder. I praksis innebærer dette at et API må være klart til testing 14. mars 2019.
- Hvis kunden og tredjepartsaktøren har inngått en avtale seg imellom, så behøver ikke banken å kontrollere samtykket til kunden.
Presisering av tredjeparters tilgang til data
- PSD2 dekker tilgang til betalingskontoer, men sier ingen ting om tilgang til annen informasjon.
- Tilbydere av kontoinformasjonstjenester skal ha samme tilgang til informasjon om betalingskontoene, som det kunden selv har i sine online tjenester.
- Hvis kunden har tilgang til flere online tjenester, så er det den tjenesten med mest informasjon som definerer rammen for hvilken informasjon som skal tilbys via tredjepartsaktører.
- For betalingstjenester skal banker bekrefte til tredjepartsaktøren om det er dekning på konto for å utføre en gitt betaling eller ikke. For betalinger som ikke gjennomføres umiddelbart skal bekreftelsen ta flere hensyn, blant annet om det er forhold som medfører at det ikke vil være dekning på tidspunkt for gjennomføring av betalingen.
- Banken skal ikke levere ut personlig informasjon om brukeren av betalingstjenestene, med mindre tredjepartsaktøren kan dokumentere at det er nødvendig for å utføre betalingstjenesten.
- Tredjepartaktøren kan kun hente ut informasjon om betalingskontoer fire ganger per døgn uten at brukeren aktivt benytter tredjepartstjenesten. Banken og tredjepartsaktøren kan imidlertid inngå egen avtale om hyppigere tilgang til informasjon.
- Brukeren av betalingstjenester må få tilgang til de samme betalingstjenester hos en tredjepartsaktør som vedkommende har i sin nettbank hos banken.
Bruk av sterk kundeautentisering
- Sterk kundeautentisering skal bestå av minst to ulike elementer fra følgende tre kategorier: noe man vet, noe man har eller noe man er.
- Sterk kundeautentisering skal alltid gjennomføres, med mindre det kan unntas i henhold til regler i RTS on SCA and CSC.
- Banken er pålagt å tilby sine mekanismer for sterk kundeautentisering for bruk sammen med tjenester fra tredjepartsaktører. Banken kan imidlertid utkontraktere sterk kundeautentisering til en tredjepart.
- Det er kontobanken som i ethvert tilfelle beslutter om det skal gjøres unntak fra sterk kundeautentisering. Dette gjelder også for risikobasert autentisering som spesifisert i artikkel 18 i RTS on SCA and CSC.
Praktisering av unntak fra kravene om sterk kundeautentisering
- Beslutning om fritak fra sterk kundeautentisering basert på akkumulert beløp eller antall transaksjoner skal ikke kombineres. Banken må beslutte hvilken av de to metodene som skal benyttes for å unngå forvirring hos brukerne.
- For kontoinformasjonstjenester skal det praktiseres separate fritak fra autentisering per AISP. Det innebærer at 90-dagers perioden med fritak gjelder per AISP.
- Fritaket for tiltrodde betalingsmottakere gjelder også ved kortbetalinger.
Metoder for sterk kundeautentisering
- Sterk kundeautentisering kan utføres på tre ulike metoder; redirect (redirigering med BankID), decoupled (frikoblet med BankID på mobil), og embedded (innebygget med engangskode og passord som tastes inn i tredjepartsaktørens løsning).
- Selv om RTS nevner at redirigering kan være en hindring for tredjepartsaktørene, så understrekes det at redirigering kun er en hindring hvis den forhindrer tredjepartsaktøren i å levere de betalingstjenester som PSD2 åpner for til kunden.
- Banken må tilby de samme autentiseringsmetoder ved bruk av tredjeparters betalingstjenester som brukeren har tilgang til i bankens nettbaserte betalingstjenester
