blog

PSD2 richtlijn nader beschouwd

Europese richtlijn PSD2:

Maakt online betalingen veiliger;

Maakt het delen van financiële data voor ‘Open Banking’ mogelijk;

Is compatible met GDPR.

Hoewel de PSD2 richtlijn is aangenomen in 2015 en sindsdien meerdere keren is gewijzigd, is de herziene ‘Payment Services Directive’ (PSD2) sinds 1 januari 2021 volledig operationeel binnen de Europese Unie (EU) en de Europese Economische Ruimte (EER). Alhoewel, maak daar ‘bijna volledig operationeel’ van. Want enkele landen hebben op bepaalde punten uitstel gekregen. De richtlijn richt zich op twee belangrijke innovaties: Strong Customer Authentication (SCA) en Open Banking. Kort gezegd heeft PSD2 als doel het veiliger maken van online betalingen, waardoor er nieuwe zakelijke kansen ontstaan door het delen van gegevens door de klant. Waarbij de klant als eigenaar van de data bepaalt wat met wie gedeeld wordt. Eric Boulet, Project Manager van TriFinance België, nam de PSD2 richtlijn onder de loep en geeft inzicht in de impact en de stand van zaken op dit moment.

Ontstaan van PSD

Laten we eerst eens kijken naar de voorganger van PSD2: de Payment Services Directive (PSD). Het ontstaan ​​van het concept dateert van begin 2000, werd in 2007 omgezet in een wetgeving en werd in de daaropvolgende jaren operationeel. Het idee was om het speelveld voor betalingen in de hele EU en EER te harmoniseren met als doel de klant beter te beschermen. Dit was het geval bij bijvoorbeeld de Single European Payments Area (SEPA). Definities zoals transactiekosten, terugbetalingsregels, etc. voor B2B- en B2C-incasso's etc. waren geregeld en bepaald in SEPA. Als gevolg van deze nieuwe SEPA regelgeving kwamen nieuwe spelers op de markt die nieuwe diensten aanbieden. Deze diensten vielen echter buiten de scope van PSD en waren daardoor niet goed gereguleerd. Om deze juridische omissie te verhelpen, werd PSD2 aangenomen. Na dit zijstapje naar SEPA nu weer terug naar PSD2.

Strong Customer Authentication (SCA)

Het verminderen van fraude en het veiliger maken van online betalingen zijn de doelstellingen van SCA. Voor dergelijke online betalingen zijn ten minste twee van de volgende drie elementen vereist:
• iets wat de klant weet (bv: Pincode)
• iets dat de klant heeft (bv. Digipass of kaartlezer)
• iets wat de klant is (bv. Vingerafdruk)

Normaal gesproken hebben wij dit allemaal meegemaakt bij het online winkelen. Om de zaken nog ingewikkelder te maken, bestaan er een groot aantal vrijstellingen. Maar, in het algemeen moet aan deze vereisten worden voldaan voor alle door klanten geïnitieerde online betalingen binnen de EU of EER die meer dan 30 EUR bedragen. Automatische incasso’s vallen dus buiten het toepassingsgebied van SCA.

SCA in de praktijk

In de praktijk zien we dat handelaren een nogal negatieve mening hebben over de vorm van een tweestapsverificatie. Het argument is dat de extra hindernissen zullen leiden tot lagere omloopsnelheid van de voorraad, met andere woorden, websitebezoekers zullen minder snel iets kopen. Een rapport verwacht dat "SCA in het kader van PSD2, voor handelaren, in 2021 meer dan 100 miljard euro kan kosten". Of dit waar is, valt nog te bezien. Wat wel gezegd kan worden: voor handelaren wordt het essentieel om SCA-strategieën te definiëren en voor betalingsdienstaanbieders biedt het zakelijke kansen.

Voor financiële instellingen (FI's) zou de impact eerder beperkt moeten zijn, althans voor hun IT, aangezien dergelijke online betaalmethoden vaak uitbesteed zijn; denk aan Apple Pay, Visa, MasterCard, AmericanExpress, etc. Deze moeten allemaal voldoen aan SCA, wat betekent dat de banken er grotendeels op kunnen vertrouwen dat derden het afhandelen. SCA zal waarschijnlijk leiden tot minder fraude, voor FI's leidt dit tot minder afhandeling van fraudegevallen, wat gunstig is.

Open Banking 

Open Banking vereist dat financiële gegevens, zoals klanttransacties, worden gedeeld buiten de bank waar ze vandaan komen. Om de klanten te beschermen, is het opt-in systeem van het grootste belang. Dit maakt gebruiksscenario's mogelijk zoals accountaggregatie - waarbij alle klantgegevens afkomstig van meerdere accounts, mogelijk over meerdere banken, terugkomen op één platform - of een betere kredietrisicobeoordeling voor kredietverstrekkers. In essentie: extra beschikbare informatie leidt tot nieuwe (bedrijfs) kansen.

Hoewel in een rapport uit 2017 staat dat 90% van de ondervraagde banken gelooft dat Open Banking zal leiden tot een organische groei van 10%, toont de realiteit een hoge weerstand van de gevestigde exploitanten. Om Open Banking te laten slagen, is inderdaad een beperkt aantal standaarden of idealiter één enkele standaard nodig. Als iedereen dezelfde taal spreekt, wordt de uitwisseling sterk vereenvoudigd. Dit geeft nieuwkomers een gemakkelijkere tijd om Open Banking-diensten aan te bieden, aangezien er minder startkapitaal nodig is. In feite heeft elk land of zelfs elke bank zijn eigen standaard. Dit mag natuurlijk gewoon, maar het vergemakkelijkt de ontwikkeling van Open Banking niet.

Impact van Open Banking op financiële instellingen

De impact van Open Banking op financiële instellingen zal meer merkbaar zijn. Allereerst moeten financiële instellingen minimaal Open Banking-compliant zijn. In de praktijk verloopt dit hoogstwaarschijnlijk via Application Programming Interfaces (API). API’s zijn interfaces die uitwisselingen mogelijk maken. Inclusief gegevensuitwisseling tussen verschillende systemen. De systemen hoeven niet te weten hoe de anderen functioneren, ze hoeven alleen te weten hoe ze met elkaar moeten communiceren. Het is een bonus, dat Open Banking het ontwikkelen en aanbieden van nieuwe diensten mogelijk maakt. Ieder financiële instelling gaat hier op een andere wijze mee om: sommige financiële instellingen voldoen gewoon aan de regels, andere ontwikkelen intern ‘Open Banking’-diensten en een volgende groep zoekt actief de samenwerking voor partnerships met fintechs om dergelijke diensten aan te kunnen bieden. Als een financiële instelling ervoor kiest om ‘Open Banking’-diensten te ontwikkelen, dan kan een partnerschap met een derde partij, een goede keuze zijn. De partner is, in tegenstelling tot de financiële instelling zelf gespecialiseerd in het ontwikkelen van diensten en kan de dienst aanbieden aan verschillende financiële instellingen en zo schaalvoordelen realiseren voor een positieve business case. Uiteindelijk is dit een strategische beslissing die iedere financiële instelling zelf zal moeten nemen.

PSD2 en GDPR

Een ander belangrijk aspect om te belichten is dat PSD2 en GDPR overeenkomsten vertonen. Het naast elkaar bestaan van deze 2 richtlijnen roept echter nog steeds vragen op. In 2017 hebben we in België een opdracht bij één van onze klanten gedaan, waar onder meer een ‘GAP-analyse PSD2-GDPR’ en het afstemmen van de interpretatie van PSD2-vereisten met de Nationale Bank van België werden uitgevoerd. Dit onderzoeks- en analyse werk was duidelijk nodig. Ter verduidelijking: de European Data Protection Board (EDPB) heeft vorig jaar richtlijnen gepubliceerd, maar hiermee worden niet alle vragen beantwoord en ontstaan ​​er zelfs nieuwe vragen. Coëxistentie tussen PSD2 en GDPR, maar ook andere wetgeving is geen alledaagse zaak. Het volstaat te zeggen dat niet alles duidelijk is.

Tot slot, PSD2 zal de samenleving hoogstwaarschijnlijk een aantal veranderingen brengen. De vraag is: Op welke wijze kunt u als financiële instelling deze veranderingen gebruiken om uw klanten beter te bedienen? Het fundament is een goed begrip van PSD2. Maar ook een goed begrip van andere wetgeving op het gebied van Riskmanagement en Compliance, zoals internationale Sanctiewetgeving, Europese AML richtlijnen en nationale wetgeving (Wwft) en Sanctiewet. Dit samen met de juiste aanpak, expertise en deskundige professionals met de juiste proactieve growth mindset zorgt voor het optimale resultaat!

Grow your career

Come join us

Expand your business

Let's work together

Sign up for the latest industry insights
Set preferences