TOEGANG TOT BETAALREKENING DOOR DERDE PARTIJEN 1/2

Verandering 6: Toegang tot betaalrekening (deel 1/2) – door derde partijen

Sinds de invoering van de PSD1 zijn er in de markt verschillende e-commerce services ontwikkeld, waarmee klanten betalingen vanaf hun betaalrekening kunnen doen vanuit een webshop. Ook is er dienstverlening geïntroduceerd, waarmee klanten een online overzicht kunnen verkrijgen van al hun betaalrekeningen, die zij bij verschillende banken aanhouden. Hiermee kan de klant direct inzicht krijgen in zijn financiële situatie op elk gewenst moment. Dergelijke dienstverlening op betaalrekeningen die derde partijen aanbieden, viel tot nu toe niet onder de PSD. De PSD2 trekt deze dienstverlening nu expliciet in scope, zodat zaken als klantbescherming, beveiliging van de dienstverlening, aansprakelijk bij onjuiste verwerking en eerlijke concurrentie via duidelijke regelgeving worden geregeld. De PSD2 onderscheidt de volgende dienstverlening:

  • Betalingsinitiatie services via een betalingsinitiatie dienstaanbieder als derde partij
  • Rekeninginformatie services via een rekeninginformatie dienstaanbieder als derde partij

De derde partijen die genoemde dienstverlening willen bieden, moeten een betaalinstelling of bank licentie hebben en vallen daarmee onder het toezicht van de centrale banken. Een andere belangrijke eis is dat de betalingsinitiatie dienstaanbieder en de rekeninginformatie dienstaanbieder nooit de klantgelden in eigen bezit hebben voor het uitoefenen van bovengenoemde dienstverlening.

Betalingsinitiatie services via derde partijen

Banken moeten het mogelijk maken dat derde partijen toegang krijgen tot de betaalrekeningen van hun klanten voor het initiëren van betaaltransacties door deze klanten. Dit geldt overigens alleen, indien de betaalrekeningen via de eigen bank online benaderbaar zijn, d.w.z. via het internet of een mobiele toepassing. Strikt genomen geldt dit dus ook voor vrij opneembare spaarrekeningen, waarbij het mogelijk is om online overboekingen van deze rekeningen te initiëren.

Als de initiatie van betaalopdrachten via een zogenaamde betalingsinitiatie dienstaanbieder verloopt, moet deze derde partij de autorisatie van deze betaalopdrachten doorgegeven aan de banken waar de betalers rekeningen aanhouden. De derde partijen hoeven hiervoor geen nieuwe contracten met deze banken af te sluiten. De bestaande authenticatie en autorisatie middelen, die de banken in hun eigen kanalen ondersteunen voor het initiëren van betaalopdrachten, mogen hiervoor gebruikt worden. Als een derde partij toch gebruik wil maken van zijn eigen authenticatie- en autorisatiemiddelen, is er wel een contract met de bank nodig. Een bank mag dit weigeren. Wel moeten al deze middelen voldoen aan de eisen die aan sterke klant authenticatie worden gesteld, d.w.z. deze moet gebaseerd zijn op twee of meer van de volgende factoren:

  • Kennis (iets wat alleen de gebruiker weet), bijvoorbeeld een Pincode
  • Bezit (iets wat alleen de gebruiker bezit), bijvoorbeeld een betaalpas
  • Inherente eigenschap (iets wat de gebruiker is), bijvoorbeeld zijn iris t.b.v. een irisscan

Daarnaast moet bij de initiatie van een betaalopdracht de sterke klantauthenticatie ook elementen omvatten dat de transactie dynamisch linkt met het bedrag en de begunstigde van de transactie. Anders gezegd betekent dit dat als het bedrag of de begunstigde van de transactie wijzigt, dit tot een ander resultaat van de sterke klant authenticatie leidt. Hiermee wordt het risico op fraude ingeperkt. De PSD2 vraagt EBA in samenspraak met de ECB en in consultatie met de markt om hiervoor de technische standaarden nader uit te werken. De op te leveren Technische reguleringsnormen over authenticatie en communicatie benoemen ook de situaties die zijn vrijgesteld van de sterke klantauthenticatie eisen. Dit betreft bijvoorbeeld overboekingen naar een gesloten lijst van vertrouwde begunstigden of overboekingen naar een eigen rekening binnen dezelfde bank.

De PSD2 is niet heel expliciet in welke type betaaltransacties een klant via een betalingsinitiatie dienstaanbieder kan initiëren voor zijn betaalrekening bij zijn bank. Dit zijn in ieder geval overboekingen en periodieke overboekingen. De definities in de PSD2 sluiten echter niet uit dat een incassant ook incassotransacties via een betalingsinitiatie dienstaanbieder kan aanbieden. Daarnaast geeft de PSD2 aan dat een klant zijn autorisatie voor een betaalopdracht mag intrekken, mits de uitvoerdatum nog niet bereikt is (geagendeerde overboeking of een toekomstige incasso). Het betreffende artikel geeft echter niet expliciet aan dat een klant dit via een betalingsinitiatie dienstaanbieder kan intrekken. Artikel 66(4)(c) stelt echter ook dat de rekeninghoudende betalingsdienstaanbieder betaalopdrachten, die via een betalingsinitiatie dienstaanbieder zijn geïnitieerd, niet discriminerend mag behandelen ten opzichte van betaalopdrachten die rechtstreeks via de eigen bankkanalen zijn geïnitieerd. Hoewel niet expliciet aangegeven kan dit ook worden geïnterpreteerd dat als de klant de mogelijkheid heeft om een toekomstig uit te voeren betaalopdracht via het bankkanaal in te trekken, dat deze optie dan ook via de betalingsinitiatie dienstaanbieder moet kunnen worden geboden. Vanuit een klantperspectief is dit wel wenselijk.

De data uitwisseling tussen de betalingsinitiatie dienstaanbieder en de rekeninghoudende betalingsdienstaanbieder moet gebaseerd zijn op de ISO20022 standaarden. Ook moet de bank dezelfde statusinformatie over de uitvoer van de betaalopdracht terugkoppelen aan de betalingsinitiatie dienstaanbieder zoals dat ook via de eigen bankkanalen plaatsvindt.

Voor de wijze waarop partijen zich naar elkaar toe identificeren worden twee opties voorgesteld met een voorkeur voor (optie 1) website certificaten die zijn uitgegeven door een zgn. qualified trust service provider onder het eIDAS raamwerk (Vordering 910/2014). Lastig hieraan is echter dat tot op heden nog geen marktpartijen zijn opgestaan die een rol als qualified trust service provider willen vervullen. En de betaaldienstverleners zien natuurlijk liever meerdere van dergelijke providers opstaan die dan in concurrentie met elkaar treden.

Rekeninginformatie services via derde partijen

Banken moeten het mogelijk maken dat derde partijen toegang krijgen tot de betaalrekeningen van hun klanten voor het opvragen van rekeninginformatie door deze klanten. Ook voor deze dienstverlening geldt weer dat dit alleen van toepassing is voor betaalrekeningen welke via de eigen bank online benaderbaar zijn, d.w.z. via het internet of een mobiele toepassing. De vrij opneembare spaarrekeningen, die online zijn in te zien door de klant, zouden dus ook ontsloten moeten kunnen worden via een derde partij. Vanuit een klantperspectief is dit ook wenselijk, omdat deze uitbreiding van de PSD juist beoogt dat de klant een totaaloverzicht van zijn financiële situatie krijgt.

Voor het ontsluiten van rekeninginformatie via een derde partij wordt ook weer een sterke klant authenticatie vereist. De bestaande authenticatie en autorisatie middelen, die de banken in hun eigen kanalen ondersteunen voor de toegang tot de betaalrekening, kunnen hiervoor weer worden gebruikt. De rekeninginformatie dienstaanbieder hoeft hierdoor geen contract met de rekeninghoudende betalingsdienstaanbieder af te sluiten voor het bieden van rekeninginformatie services aan de klanten van deze betalingsdienstaanbieder.

De rekeninghoudende betalingsdienstaanbieder moet rekeninginformatieverzoeken van een derde partij op dezelfde wijze afhandelen als soortgelijke verzoeken via de eigen bankkanalen. Dezelfde informatie moet worden ontsloten met een vergelijkbare dienstverlening. In ieder geval moet de volgende informatie opgevraagd kunnen worden:

  • Saldo van de betaalrekening
  • Boekingsmutaties op de betaalrekening
  • Transactiedetails behorende bij de boekingsmutaties

De informatieverzoeken en -responsen moeten de rekeninginformatie dienstaanbieder en de rekeninghoudende betalingsdienstaanbieder via ISO20022 standaard berichten uitwisselen .