Seksjonssjef Olav Johannessen i Finanstilsynet er den som holder bankene i øret når det kommer til innføring av PSD2-regelverket.

Finanstilsynet skjerper tonen om PSD2-tiltak

Finanstilsynet har gjennom hele PSD2-prosessen vært tilbakeholde med å offentlig dele informasjon om feil og brister i bankenes arbeid. Tirsdag publiserte tilsynet et skriv med hele syv eksempler på forhold der til bankenes løsninger ikke er i tråd med regelverket.

Publisert

– Dette er forhold vi har blitt gjort oppmerksom på, og som foretakene må få på plass. Hensikten er å gjøre alle aktørene oppmerksomme på disse, sier Olav Johannessen, seksjonssjef i Finanstilsynet, til Shifter.

Utover å gjøre både banker og tredjepartstilbydere oppmerksom på problemene som er identifisert (full oversikt nederst i saken), var dette ifølge Johannessen også en måte for tilsynet å koble disse forholdene til den nylige meldingen fra EBA, som tilsynet så langt ikke har uttalt seg om.

– Er disse syv punktene eksempler på forhold som banken fortsatt må få løst?

– Det er ikke nødvendigvis det. Tredjepartstilbydere har blant annet meldt om en del forhold underveis, så det er svakheter vi er blitt gjort oppmerksom på. Men om de fortsatt er der eller ikke, kan jeg ikke uttale meg om.

Klar plan

Johannessen vil ikke spekulere i om bankene kommer til å rekke fristen EBA har satt, 30. april.

Han forteller at tilsynet har en klar plan for hva som skal skje etter denne datoen.

– Men nærmere oppfølging vil bli basert på status for den enkelte bank.

– Betyr det at Finanstilsynet er beredt til å innføre sanksjoner om noen banker ikke klarer kravene?

– Det vil jeg verken si ja eller nei til. Vi følger opp bankene i tråd med de forventninger EBA har lagt til grunn. Så må vi se hva som er den faktiske situasjonen bank for bank, og hva slags oppfølging som er hensiktsmessig.

«Bra med tydelig uttalelse»

Styreleder i den nystartede interesseorganisasjonen Fintech Norway og Horde-sjef Alf Gunnar Andersen mener det er veldig positivt at Finanstilsynet nå kommer med slike presiseringer.

– Dette er elementer som vi mener burde være på plass og det er en stor fordel at Finanstilsynet kommer med en så tydelig uttalelse, skriver Andersen i en epost til Shifter.

Utover at tilsynet så tydelig viser til syv punkter som må forbedres, mener Andersen at det er bra at bankene nå aktivt må oppsøke tredjeparter og i samarbeid med disse å sikre at tilgangen til kontoer fungerer tilfredsstillende.

– Vi opplever en positiv holdningsendring hos flere banker og tar gledelig en dialog med dem. Men «handling foran ord» er fortsatt det vi måler etter, skriver Andersen.

EBA stiller krav

I slutten av februar gikk Den europeiske banktilsynsmyndigheten, EBA, ut med en endelig frist for når alle banker må leve opp til kravene i PSD2-direktivet. Det 30. april skal det fungere, ellers vil det få konsekvenser for bankene.

I skrivet kom det blant annet frem at «EBA forventer, i tilfelle hindringer fortsatt eksisterer etter nevnte deadline, at nasjonale tilsynsmyndigheter tar i bruk mer effektive tiltak for å forsikre at lovene etterleves, inkludert, men ikke begrenset til, å tilbakekalle fritaket fra reserveløsning som banker, kortutstedere eller e-pengeforetak allerede har fått og/eller utstede bøter».

Nå har Finanstilsynet altså stilt kravene fra EBA opp mot situasjonen i Norge. Selv om Olav Johannessen sier at publiseringen bare er en måte å informere alle aktører på, er det likevel en usedvanlig tydelig uttalelse fra Finanstilsynet.

«Basert på innkomne meldinger og undersøkelser så langt, bes bankene ha særskilt oppmerksomhet om forholdene som er omtalt nedenfor. Dette er eksempler på forhold der bankers løsninger ikke er i samsvar med regelverket. Finanstilsynet gjør oppmerksom på at disse forholdene ikke utgjør en uttømmende list over mulige feil og mangler», skriver tilsynet

De syv problemene

Eksemplene Finanstilsynet viser til er følgende:

  • Det ikke er anledning til å ha lavere beløpsgrenser for betalinger utført gjennom TPP (tredjepartstilbydere. Reds. Anm.) enn for betalinger utført i bankenes egne kanaler.
  • Informasjon som vises i nettbankene i forbindelse med betalingen, for eksempel betalerens navn, betalingsmottakerens navn og KID, må inngå i grensesnittene som stilles til rådighet for TPP-ene.
  • Informasjon må fremstå som like tilgjengelig (strukturert) som i nettbanken. Konteksten som informasjonen inngår i, må fremkomme like klart, og presentasjonsformen (tekst vs. data) må være den samme.
  • Alle typer betalinger som brukeren kan initiere i nettbanken, skal brukeren kunne initiere gjennom bruk av en TPP. Dette betyr for eksempel at brukerens e-fakturaer må være tilgjengelig for brukeren.
  • Initieringen av betalinger ved bruk av en TPP skjer gjerne ved at brukeren godkjenner all nødvendig informasjon (kontonumre kredit og debet, dato og kid) knyttet til betalingen, uten at banken er inne i bildet. Betalingen sendes så fra TPP-en til banken for gjennomføring. Hovedregelen er da at det skal være kun én (1) autentisering av brukeren.
  • Brukeren angir kontoer som brukeren ønsker tilgang til gjennom TPP-ens løsning. I denne forbindelse autentiserer banken brukeren. Finanstilsynet erfarer at brukeropplevelsen knyttet til overgangen mellom brukerautentiseringen og tredjepartens løsning i en del tilfeller ikke samsvarer med tilsvarende brukeropplevelse ved bruk av bankers egne løsninger. Brukeren må for eksempel selv aktivt «navigere» seg tilbake til tredjepartens løsning etter autentisering. Tilbakekoblingen er ikke alltid intuitiv for brukeren, noe som kan gjøre at brukeren «mister» forbindelsen til TPP-en, og må starte på nytt. TPP-ens løsning kan dermed fremstå som mindre attraktiv for brukeren.
  • Tilsvarende erfarer Finanstilsynet at brukeren, etter autentisering i forbindelse med en betaling, ikke automatisk tilbakeføres fra bankers løsning for autentisering til TPP-ens applikasjon. En slik automatisk tilbakeføring er et krav i uttalelsen fra EBA om hindringer.

Hvorvidt det kan bli aktuelt for Finanstilsynet å utstede bøter eller tilbakekalle fritaket fra reserveløsning, kommer derimot ikke frem i brevet.

Nå får alle abonnenter hos Shifter+ 50% rabatt på årsabonnement på E24+. Les mer