Fintech Norway før PSD2-deadline: «Det er fortsatt banker som mangler bortimot alt på funksjonalitet»

Det er ikke bare i Norge bankene har vært trege med innføringen av PSD2-direktivet. Det fikk Den europeiske bankmyndigheten, EBA, å gå ut med en endelig deadline satt til 30. april, og oppfordret lokale tilsynsmyndigheter til å ta i bruk sanksjoner mot de banker som ikke fulgte reglene til punkt og prikke innen den tid.

Etter at EBAs trussel ble kjent, har det blitt jobbet på spreng både i banker og hos medlemmene i den nystartede bransjeorganisasjonen Fintech Norway.

– Langt fra der det skal være

Styreleder i Fintech Norway og Horde-sjef, Alf Gunnar Andersen, melder at ting er blitt bedre. Det er blitt færre feil på API-ene, stabiliteten i grensesnittet har bedret seg, og noen banker er blitt flinkere til å melde fra når de skal gjøre endringer.

– Men det er likevel langt fra der det skal være. Alle bankene har mangler på funksjonalitet, på datamengde og på stabilitet, sier Andersen.

Hans eget selskap, Horde, og andre medlemmer i Fintech Norway, som Neonomics, Tink og ZTL, tester bankene på kryss og tvers og sammenligner resultater.

– Det er hinsides at vi som er startup-selskaper, som har begrenset økonomi, bruker ressurser på å gjøre det bankene burde gjøre selv, sier han.

Tre ting små må være på plass

Andersen forteller at det fremfor alt er tre ting de ser etter, som må være på plass.

1. Stabilitet

2. At det ikke er unødvendige hindringer når en betaling skal gjennomføres

3. Funksjonalitet.

– Det er fortsatt banker som mangler bortimot alt på funksjonalitet, sier Andersen oppgitt og eksemplifiserer med betalinger.

Det meste av vanlige enkeltbetalinger har bankene fått på plass. Når det gjelder funksjonalitet som gjentagende betalinger, for eksempel at du setter av 500 kroner i sparing hver måned, å betale mange regninger på en gang med én autentisering, såkalte batchbetalinger, eller å legge inn betalinger frem tid, er situasjonen en helt annen, ifølge Andersen.

Han forteller at den som vil slette en betaling som er lagt inn frem i tid, må bytte til sin ordinære nettbank å slette betalingen der.

– Da er ideen med å ha en tredjepart borte. Poenget er at dette er funksjonalitet som bankene tilbyr i sine egne nettbanker. Da må de kunne tilby den til oss også, på en ikke-diskriminerende måte.

Kan bruke 60 prosent

I ZTL, et av de andre selskapene som tester bankene, er erfaringene omtrent de samme.

– Det er fremdeles feil og mangler i forhold til de presiseringer og krav som Finanstilsynet har stilt, særlig på kontoinformasjon, sier daglig leder Andreas Bjerke.

– Vi har estimert at vi kan bruke cirka 60 prosent av det som tilbys gjennom PSD2-API-er i dag. Men det burde jo ha vært 100 prosent, sier han.

Vipps-press hadde vært best

Alf Gunnar Andersen mener at det beste som kunne ha skjedd, er at Finanstilsynet hadde satt en kort og tydelig tidsfrist for når Vipps skal ha flyttet over til de samme PSD2-API-ene som alle andre bruker.

I dag er det slik at Vipps bruker et eget API, som ble tatt i bruk før PSD2-direktivet ble innført, og som utfordrerselskapene mener gir selskapet noen fordeler som ikke er tilgjengelig for dem.

– Hvis Vipps måttet bruke de samme API-ene som vi andre, hadde bankene hadde vært mer incentivert til å på plass det som mangler i dag, mener Andersen.

– Er det noen banker som tross alt utmerker seg positivt?

– Det er noen banker som har fjernet noen hindringer i kundereisen. Bank Norwegian er en av dem. De har gjort det veldig enkelt å koble seg på. Faktisk har utforderbanker som Bank Norwegian og Komplett virkelig snudd seg rundt og laget bedre løsninger, sier Andersen.

Han understreker at Fintech Norway i sin dialog fremover kommer til å være tydelig med å trekke frem de bankene organisasjonen synes gjør en god jobb.

Pisk eller kanon?

Hva vil så skje de kommende ukene, etter at EBAs deadline har løpt ut? Både Andersen og Bjerke mener at det er på tide med tøffere tak fra Finanstilsynet.

Alf Gunnar Andersen synes det er bra at tilsynet etter hvert har skjerpet tonen, men forventer at noe skjer.

– Det er begrenset med gulrot for bankene når det gjelder PSD2. Da må du bruke pisken. Så vi forventer vel egentlig at tilsynet tar frem den og bruker setter noen eksempler.

Bjerke i ZTL foreslår å bruke sterkere våpen:

– Vi gir dem jo alt kruttet, med dokumentasjonen vi sender over. Så spørs det bare om de tør å fyre av kanonen etter den 30., sier han, og legger til:

– Vi forventer jo at de tar affære og innfører dagmulkter for de bankene som ikke er «compliant». Det er jo ikke et ukjent verktøy for tilsynet.

Taust fra tilsynet

Tross at det ikke er mer enn et par dager igjen før Den europeiske bankmyndighetens deadline går ut, vil ikke seksjonssjef Olav Johannessen i seksjon for IT og betalingstjenester i Finanstilsynet si noe som helst om pisk eller kanoner. Svaret er det samme som tidligere.

– Vi har en løpende oppfølging av bankenes arbeid med grensesnittene. Utover det har vi ikke noen kommentarer, sier han og henviser til Finanstilsynets tidligere kommuniserte svar:

«Det er bankenes ansvar å sikre at virksomheten er i tråd med gjeldende regelverk, herunder slik at betalingsforetak som yter betalingsfullmakttjeneste og/eller kontoinformasjonstjeneste får tilgang på informasjon iht. regelverket. Finanstilsynet har en løpende oppfølging av den enkelte banks arbeid med grensesnittene for å følge opp at løsningene snarest mulig samsvarer med regelverket.»

– Ifølge flere kilder har Finanstilsynet hatt en egen deadline den 15. april, der bankene måtte innrapportere status på fremdriften. Har det gitt noen resultater?

– Jeg vet ikke hvor datoen 15. april kommer fra. Det er ikke noe vi kjenner igjen, sier Johannessen.

– Fintech Norway har fortalt om at dere har begynt å ha jevnlige møter. Har det vært til hjelp i arbeidet?

– Vi har hatt møte med dem og har utvekslet erfaringer og informasjon som vi tar med oss. Som vi har sagt før, informasjon fra tredjeparter er nyttig i vår tilsynsmessige oppfølging, sier Johannessen.

– Offisielt skal alle banker ha PSD2-funksjonaliteten på fredag. Hva skjer med dem som ikke har det? Ifølge Fintech Norway er det ikke mange som vil klare nåløyet.

– Vi følger opp fortløpende, men hvilken tilsynsmessig oppfølging som er aktuell, kan jeg ikke si noe mer om.

– Kan vi forvente at det kommer sanksjoner, for eksempel dagmulkter, fra Finanstilsynet i løpet av kort tid?

– Det kan vi ikke uttale oss om, sier Johannessen.

Etterspør mer transparens

Til tross for at Andersen ikke er fornøyd med bankene, håper han at de kommer i mål og blir mer transparente om sin virksomhet. At bankene åpent kan fortelle om hvilken funksjonalitet som er på plass og hva som mangler, slik at det ikke lenger skal være nødvendig for tredjepartsaktørene å bruke ressurser på å teste alt.

– Det er jo mye lettere å ha forståelse for en aktør som er åpen om problemene, enn en som benekter det, sier Andersen.