Christoffer Andvig, administrerende direktør i Neonomics.

Bankenes Vipps; bukken og havresekken

Bankene har i tre år vært klare over hva som må til for å innføre PSD2. Likevel er argumentene oppsiktsvekkende svake når de skal forklare hvorfor fintech-utfordrerne ikke har fått den tilgangen til bankenes systemer som de har krav på, skriver Christoffer Andvig, administrerende direktør i Neonomics.

Diskusjonen som har gått i Shifter, Finansavisen og Finanswatch den siste tiden rundt bankenes PSD2 API-er og konkurransesituasjonen, har vært på sin plass. Svarene fra banker, Finanstilsynet og Vipps er derimot oppsiktsvekkende og så svakt argumentert at det bør kommenteres. Hvorfor er dette så viktig?

For de aller fleste i befolkningen er ikke bank noe som opptar dagliglivet, og det er lett for oss «fintech´er» å gå oss blind på vår hverdag i bransjen. For forbrukerne er derimot konkurranse svært viktig for å sikre gode produkter og en rettferdig pris. Mangelen på rettferdighet er bakgrunnen til hvorfor forholdet med bankene og Vipps er så provoserende.

For å forstå hva PSD2 er, så gir intensjonen fra EBA (European Banking Association) en pekepinn på hva dette dreier seg om. Før vi fikk PSD2 hadde EU et første betalingsdirektiv, PSD. Dette direktivet ble spesifikt laget for å bedre konkurransen og regulere forholdet mellom aktørene i betalingsmarkedet. Det første direktivet hadde begrenset omfang, og underveis kom et personverndirektiv på plass (GDPR). Det var behov for en oppfølging og PSD2 ble dermed skapt. PSD2 hadde følgende formål (ref EBA):

  • GI økt kundebeskyttelse
  • Bidra til et mer integrert og effektivt betalingsmarked i EU
  • Støtte EUs interne marked og Euro
  • Samkjørt regulering over hele EØS regionen (Det første direktivet var kun forbeholdt Euro landene).
  • Øke konkurranse gjennom like forutsetninger for alle betalingsaktører
  • Gjøre betalinger sikrere
  • Tilrettelegge for lavere priser for betalinger.

Under det første direktivet var eneste måten fintech-aktører kunne få tilgang til kontodata fra sine brukere å benytte seg av det vi kaller for «screen scraping», eller en noe mer stabil variant kalt «reverse engineering». Sistnevnte metode blir også omtalt av Kjetil Sørtun i Sparebanken Vest i deres svar i Shifter.

Metodene «screen scraping» og «reverse engineering» har blitt eksplisitt bestemt av EBA at ikke er tillatt under PSD2, da dette både er en større sikkerhetsrisiko for konsumenten, samt en større belastning for bankene når det blir brukt uten kontroll. I praksis blir konsumentens pålogging i banken tilgjengelig for tredjeparter. Ved «reverse engineering» bruker tredjeparter i hovedsak grensesnittet som leveres til en mobilbank for å gjenskape kommunikasjonen bankens kjernesystem har med mobilapplikasjonen. På denne måten får man tilgang til all data og funksjonalitet som ligger i mobilbanken.

For å gi både fintech-aktørene som benytter denne metoden, samt bankene tilstrekkelig med tid for å få på plass sine dedikerte PSD2 API-er, så er det satt en overgangsfase hvor det fortsatt tillates å benytte disse metodene. Ironisk og provoserende nok, har banker investert i selskaper som benytter denne metoden i overgangsfasen for å få tilgang til banker som ikke har sine PSD2 API-er klare, etter at de selv er pålagt å lage API-er.

Som Olav Johannesen fra finanstilsynet kommenterer på Sørtun´s uttalelser, så er det riktig at banken ikke må ha dedikerte PSD2 API-er, men de er nødt til å levere et grensesnitt (API) som gir den funksjonaliteten som PSD2 spesifiserer, og sikker kundeautentisering (SKA/SCA) må være på plass. Det er heller ikke tilstrekkelig at banken sier at tredjeparter kan selv gjøre «reverse engineering». Banken må tilrettelegge grensesnittet. Sparebanken Vest har ikke gitt tilgang til den funksjonaliteten vi hadde fått ved å såkalt «reverse engineering» på deres mobilbank (vi skulle gjerne hatt tilgangen til denne funksjonaliteten). Sparebanken Vest har heller ikke gitt tilgang til den funksjonaliteten de er pliktig til under PSD2.

Det er derfor svært kritikkverdig at både Sørtun innrømmer at Sparebanken Vest i praksis bryter loven, og at Olav Johannesen som her representerer tilsynet som skal sørge for at bankene følger loven, ikke henviser til annet enn at vi som tredjeparter får klage. Unnskyldningen fra Sørtun er GDPR (som trådte i kraft i 2016) og antihvitvasking (som alle banker skal ha kontroll på til enhver tid). Sparebanken Vest har under samme tid også lansert Bulder Bank, så dette er kun snakk om prioriteringer. Dette må få konsekvenser!

Her kommer utfordringen med Vipps inn i bildet. Sparebanken Vest eier i underkant av 40 prosent av Balder Betaling som eier 10 prosent av Vipps. Vipps blir markedsført betydelig på Sparebanken Vests hjemmesider. Bankene har vært informert over kravet i PSD2 siden november 2017. Med andre ord i tre år har de vært klar over hva som må til.

I Norge trådte ikke lovverket i kraft før i april 2019, og bankene ble gitt seks måneder på å innføre løsningene. Det var også pålagt at de allerede i juni 2019 skulle ha grensesnitt klare for omfattende testing. Status i juni 2019 var at ingen av bankene hadde disse grensesnittene klare. I mellomtiden fikk derimot Vipps som eneste aktør tilgang til å vise kontodata og gjøre betalinger. Vipps hadde også fått tilgang til å gjennomføre sikker kundeautentisering på vegne av bankene (i en periode også uten såkalt TPP-konsesjon de er pålagt under PSD2), og gjennomførte kontobetaling uten å innhente samtykke fra brukerne for dette. Her gir med andre ord bankene sin egen løsning (Vipps) svært fordelaktige metoder for å gi de beste kundeopplevelsene, mens utfordrere ikke engang får det bankene er pålagt av lovverket å levere. Vipps uttaler politisk korrekt at de selvsagt også ønsker PSD2 API-ene, men jeg kan ikke se en eneste grunn til hvorfor Vipps skulle ønske det, all den tid de har tilgang til langt bedre funksjonalitet og stabilitet gjennom sine såkalte «premium»-API-er. Fintech-bransjen ønsker ikke å svekke produktet til Vipps, men heller konkurrere på like vilkår i henhold til bestemmelsen i PSD2.

Finanstilsynet og Konkurransetilsynet må på banen, da dette åpenbart hindrer rettferdig konkurranse i et marked som definitivt trenger mer konkurranse! Det holder ikke å si at tredjeparter må klage, da gjør ikke tilsynene jobben sin.