TOEGANG TOT BETAALREKENING – AUTHENTICATIE DOOR KLANTEN 2/2

Verandering 7: Toegang tot betaalrekening (deel 2/2) – authenticatie door klanten

Een groot verschil tussen de PSD1 en PSD2 is dat onderdelen van de richtlijn als het ware uitbesteed worden aan een Europese toezichthouder, in dit geval de EBA, European Banking Authority, voor nadere uitwerking. Deze aangepaste totstandkoming vindt zijn oorsprong in de financiële crisis, die later overging in de schuldencrisis en wordt uitsluitend toegepast op de financiële sector. De juridische basis hiervoor is gelegd in het verdrag betreffende de werking van de Europese Unie.

De PSD2 heeft 11 mandaten aan de EBA uitgevaardigd, zij zal onder verschillende tijdlijnen met zogenaamde Technische reguleringsnormen (6 Regulatory Technical Standards, RTS) en  richtlijnen (5 Guidelines) moeten komen. Belangrijk verschil tussen een Guideline en een RTS is dat een RTS vastgesteld wordt door de Europese Commissie en na controle door het Europese Parlement door haar wordt gepubliceerd gelijk een richtlijn (Directive) of verordening (Regulation). Een Guideline wordt daarentegen door een Europese toezichthouder vastgesteld. De meeste van deze mandaten zijn bedoeld voor nationale toezichthouders, maar er is er één die impact heeft op alle marktpartijen. Deze RTS ziet op de toepassing, en de uitzonderingen daarop, van sterke cliëntauthenticatie (SCA) en veilige communicatie wanneer een betaler (art.97):

a. Zich online toegang verschaft tot zijn betaalrekening, al dan niet via een derde partij
b. Een elektronische betalingstransactie initieert, al dan niet via een derde partij
c. Via een communicatiemiddel op afstand een handeling uitvoert die een risico op betalingsfraude of andere vormen van misbruik met zich mee kan brengen

Wat zegt de RTS?

De huidige EBA richtlijnen voor Security of Internet Payments staan een eigen risico-gebaseerde afweging van de bank toe bij het al dan niet toepassen van SCA. In haar RTS verlaat de EBA deze mogelijkheid en bepaalt kort gezegd dat SCA altijd benodigd is bij toegang tot de betaalrekening en autorisatie van een transactie, behalve in de volgende gevallen:

  1. Toegang tot de betaalrekening zonder dat vertrouwelijke betaaltransactie informatie wordt ontsloten (met uitzondering van de eerste keer)
  2. Betalingen onder de 10 EUR (mits cumulatief niet meer dan 100 EUR),
  3. Betalingen van/naar dezelfde natuurlijke of rechtspersoon bij dezelfde bank
  4. Een automatische periodieke overboeking (behalve de initiële opdracht hiertoe)
  5. Betalingen naar personen op een vertrouwde lijst (lees: adresboek); deze laatsten dienen dan wel mbv SCA op die lijst geplaatst te zijn door de betaler
  6. Contactloze kaartbetalingen tot 50 EUR (mits cumulatief niet meer dan 150 EUR)