PSD2-striden blusser opp: Neonomics varsler Konkurransetilsynet om mulig lovbrudd hos bankene

Gründer Christoffer Andvig mener bankene legger nye hindringer for at selskapet skal kunne tilby løsninger for gjentagende betalinger i PSD2-grensesnittet.

Christoffer Andvig, daglig leder og gründer i Neonomics
Christoffer Andvig, daglig leder og gründer i Neonomics
Publisert Sist oppdatert

Stridens kjerne denne gangen er at Neonomics mener at tredjepartsaktører skal kunne tilby sin egen «avtalegiro»-løsning, for gjentagende varierende betalinger som strømregning, mobiltelefoni, Netflix-abonnement og andre trekk fra konto der brukeren ikke fysisk kan gjøre en sterk kundeautentisering (SKA).

Finanstilsynet har også kommet til konklusjonen at denne typen betalinger, også kalt stående betalingsordre, skal omfattes av reglene i EU betalingstjenestedirektiv PSD2.

Bankene er uenige. I et felles svar via Bits, bank- og finansnæringens eget infrastrukturselskap, mener de at Finanstilsynet tar feil.

– Vi har brukt enormt mye tid på å grave i alt som er skrevet og diskutert om PDS2 i EU. Det er tydelig definert at alt som er av nasjonale «schemes» og funksjoner som er knyttet opp mot en betalingskonto også må være tilgjengelig i PSD2-grensesnittet, sier Neonomics-gründer Christoffer Andvig til Shifter, og legger til:

– Avtalegiro, e-faktura eller om du har gitt informasjonen om ditt debetkort til avisen du abonnerer på, er alle eksempler på dette. Om banken får tilby dette i sine vanlige kanaler må de også tilby det i PSD2-grensesnittet.

LES OGSÅ: Horde melder bankenes PSD2-håndtering til både Finanstilsynet og Konkurransetilsynet

Langvarig frustrasjon

For Andvig er dette selve kjernen i EUs betalingstjenestedirektiv, PSD2, at nye fintech-selskaper skulle få mulighet til å utvikle egne tjenester og konkurrere på lik linje med bankene.

Han har vært frustrert over bankenes holdning til PSD2, helt siden Neonomics ble det første norske selskapet som fikk en såkalt PS2D-lisens. Andvig var også en av hovedpersonene da Hordes Alf Gunnar Andersen dro i gang den første «PSD2-krigen» høsten 2020. Han var med og startet Fintech Norway, som siden har frontet utfordrernes frustrasjoner over bankenes arbeid.

I et nylig innlegg på Linkedin, beskriver den klatreglade Andvig, dette som tøffeste fjellet han har prøvd å erobre.

Krangler på egen hånd

Denne striden driver Neonomics imidlertid alene denne gangen. Som en såkalt API-aggregator agerer selskapet som limet mellom bankene og aktører som ikke har ressurser til å koble seg til alle banker selv.

Det betyr at den som får en regning i Digipost, bruker Neonomics’ plattform når den skal betales. Det samme gjør den som vil begynne å handle kryptovaluta hos Firi, og skal overføre penger fra egen konto. Begge er eksempler løsninger som har vokst frem etter at PSD2-direktivet ble innført.

LES OGSÅ: Glad for at Finanstilsynet endrer syn på forsikringsregler for PSD2-selskaper

Kan gi et konkurransefortrinn

Forretningsmuligheten som ligger i å kunne tilby en alternativ betalingsløsning for gjentagende betalinger som ikke er helt kontrollert av bankene eller de store kortselskapene, er imidlertid noe helt annet.

– Det vil være svært attraktivt for oss å kunne konkurrere på dette, så det er ikke overraskende at bankene motsetter seg dette og favoriserer Visa, Mastercard og sine egne løsninger, sier Andvig.

Om vi skal prøve å forklare hva det handler om. Tenk deg at du abonnerer på Aftenposten. Da du åpnet abonnementet, valgte du debetkortet som betalingsmiddel. For å identifisere deg, brukte du BankID og gjennomførte en såkalt sterk kundeautentisering (SKA). Dermed ga du også tillatelse til Aftenposten å trekke et beløp hver måned, uten at du må godkjenne dette hver gang.

LES OGSÅ: Neonomics laster opp med utenlandsk kapital

Vil bytte kort med konto

Å legge inn kortinformasjonen slik kalles «card-on-file». Det Neonomics ønsker å gjøre i stedet, blir i prinsippet «account-on-file», det vil si at kontoen blir lagret som trekkpunkt i stedet for kortinformasjonen.

Det viktige i denne sammenhengen er at det er Neonomics som utfører betalingsoppdraget på vegne av den som skal motta pengene, i stedet for at det går gjennom Visa eller Mastercard, eller gjennom produktet AvtaleGiro som en gang i tiden ble utviklet av Nets på vegne av Bits, men som i dag eies av Mastercard.

– Banken utsteder kort, som er koblet til en konto. Kortet kan legges igjen som betalingsmiddel på forskjellige tjenester. Avtalegiro er også koblet til en konto. Fordi du har den funksjonaliteten på noe som er koblet til kontoen din, er vårt argument at vi også må kunne levere den informasjonen, sier Andvig.

MELD DEG PÅ FINSHIFT- nyhetsbrevet som kommenterer ukens viktigste fintech-nyheter.

Fikk medhold av Finanstilsynet

I fjor høst kontaktet Neonomics Finanstilsynet for å få tilsynets mening. Det førte til at tilsynet i november i fjor la ut en avklaring på sine hjemmesider.

Finanstilsynets avklaring om «payee initiated transactions»

I Norge har banker gått sammen om å utvikle avtalegiro. Finanstilsynet mener at avtalegiro er et eksempel på «payee initiated transactions» i henhold til definisjonen fra EBA. (1).

Norske banker tilbyr dermed «payee initiated transactions» i sine egne grensesnitt. Finanstilsynet mener at det da følger av EBA Opinion (EBA-Op-2018-04) (2), at betalingsfullmektiger skal ha tilgang til «payee initiated transactions» gjennom PSD2-grensesnittene.

Betalingsfullmektiger kan ønske å lage systemer som kobler betalingsmottaker og betaler, og betalingskravet og betalingen. Systemene inkluderer avtaler og vilkår for tjenesten (det som EBA omtaler som "mandate"). Sterk kundeautentisering må benyttes dersom avtalen inngås elektronisk (3). Finanstilsynet kan ikke se at det er legale eller andre hindringer i veien for at betalingsfullmektiger tilbyr slike systemer.

1) "Payments that are based on a (standing) agreement between a customer and a merchant, according to which the customer authorises the merchant to initiate subsequent transactions in relation to the agreed delivery of goods or services can be considered as payee initiated transactions, provided that these payments are not dependent on a specific action of the payer to trigger the initiation of the payment by the payee".

2) 29. Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments.

3) Where the mandate of the payer to the payee to initiate these transactions is provided through a remote channel, the setting up of such a mandate is subject to strong customer authentication, as this action may imply a risk of payment fraud or other abuses within the meaning of Article 97(1)(c) of the PSD2.

Konklusjonen var at såkalte «Payee initiated transactions», a ltså betalinger som blir initiert/trukket fra en konto av en betalingsfullmektig etter avtale mellom kunden og mottaker, er omfattet av PSD2 og at kravet om sterk kundeautentisering ikke gjelder for slike betalingsoppdrag.

I vår presiserte tilsynet den avklaringen og skrev «I Norge har banker gått sammen om å utvikle avtalegiro. Finanstilsynet mener at avtalegiro er et eksempel på payee initiated transactions i henhold til definisjonen fra EBA.» og at betalingfullmektiger skal ha tilgang til den funksjonaliteten via PSD2-grensesnittene. (se faktaboks)

Olav Johannessen, seksjonssjef i Finanstilsynet
Olav Johannessen, seksjonssjef i Finanstilsynet

Seksjonssjef Olav Johannessen i Finanstilsynet sier til Shifter at tilsynet kontinuerlig jobber med temaer som man vil utdype og avklare i forbindelse med implementeringen av PSD2.

– Så dette betyr at bankene må åpne for at Neonomics og andre aktører skal kunne tilby sine egne løsninger i PSD2-grensesnittet?

– Det følger av de vurderinger vi har publisert, ja, sier Johannessen.

LES OGSÅ: DNB: PSD2 er foreløpig ikke blitt den trusselen man trodde det skulle bli

Fikk blankt nei av bankene

Etter den første avklaringen tok Neonomics kontakt med bankene, henviste til Finanstilsynet og ba om at bankene skulle åpne opp for slike løsninger. Det ble blankt nei. Ifølge Andvig spurte en bank rett ut hvorfor ikke Neonomics kunne bruke kort som alle andre, hvorpå Neonomics svarte at kortet også er koblet til kontoen.

Etter hvert samlet seg banknæringen, og i august kom det et samlet svar via Bits i et brev sendt til Finanstilsynet. Der kommer det frem at Bits og bankene er helt uenig med Finanstilsynet om at avtalegiro er å betrakte som en «payee initiated transaction».

Bits mener også at avklaringene fra tilsynet gjør en urimelig tolkning av hva bankene er forpliktet til å gjøre i henhold til PSD2-direktivet.

Bits mener sikkerheten står på spill

Det er først og fremst tolkningen av bruken av sterk kundeautentisering som Bits vender seg mot.

– Der pågår det en diskusjon hvor Finanstilsynet har foreslått en løsning der betalers bank ikke får innsyn i det mandatet, som betaler har gitt til sin betalingsmottaker. Det mener vi er problematisk, og bryter med sikkerhetsintensjonene i PSD2, sier Eivind Gjemdal, daglig leder i Bits til Shifter og forklarer:

Eivind Gjemdal, daglig leder i Bits
Eivind Gjemdal, daglig leder i Bits

– Om jeg har en avtale med Telenor, kan Telenor eller den betalingsfullmektig Telenor bruker, ifølge forslaget, bruke et API for å hente penger på min konto. Det diskusjonene går på er hvorvidt min bank skal få se det digitale samtykket jeg har gitt til Telenor hver gang selskapet henter penger fra min konto. Det tilsynet indikerer er at det ikke er et krav at betalers bank skal få se et digitalt bevis, forklarer Gjemdal.

Satt på spissen, mener Bits-sjefen en slik beslutning åpner for at enhver aktør innen euro-sonen skulle kunne hente penger fra en konto uten at banken kan se hva transaksjonen handler om.

– Vi mener at tredjeparten, den som administrerer betalingen for betalingsmottaker må gjøre det digitale beviset tilgjengelig for betalers bank, akkurat som i PSD2, sier Gjemdal.

Han mener at verken Bits eller bankene har problemer med om Neonomics eller andre tredjeparter utvikler løsninger parallelt med avtalegiro, og at det er noe man må akseptere kommer.

I Storbritannia, som har kommet lengst med open banking, har banken NatWest inngått avtaler med blant andre API-aggregatoren Truelayer om å begynne å tilby bedrifter mulighet for gjentagende variable betalinger (variable recurring payments).

– Det vi diskuterer er hvilke regler som skal gjelde da de kommer, og hvilken dokumentasjon tredjepart skal legge på bordet for at betalers bank skal vite at betalingen er ekte, sier Gjemdal.

Olav Johannessen i Finanstilsynet ønsker ikke å kommentere innspillene fra Bits, før tilsynet har levert sitt svar til Bits.

Klar i talen

Andvig i Neonomics er klarere i talen om hva han mener om argumentasjonen:

– For det første er det konsesjonsbelagte selskaper som gjør betalingsinitieringen, med det følger at vi er underlagt et regelverk og kontroll fra Finanstilsynet. Det handler ikke om vilkårlige betalinger fra uautoriserte aktører. For det andre skal alle betalinger være gjennomført med grunnlag i en avtale mellom forbrukeren og selskapet som gjør betalingsinitieringen.

Andvig mener at en bank egentlig ikke har anledning til å stoppe en betaling når det er en betaling som er gjort etter ønske fra kontoeier gjennom et konsesjonsbelagt selskap som initierer den. Det samme gjelder når avtalen er satt opp med avtalegiro. Da har banken heller ikke kontroll på den betalingen, mener han.

– Problemet er at bankene vil ha SKA på alle transaksjoner. Det er her dette med hindringer kommer inn, som har vært en gjenganger i hele PSD2-prosessen.

– Om vi blir pålagt å levere mer dokumentasjon på en betaling enn avtalegiro og kort, så har vi per definisjon ikke samme løsning, sier han.

Det er nettopp dette som har ført til at Neonomics har varslet Konkurransetilsynet om et mulig brudd på konkurranselovgivningen.

Det faktum at Bits har levert et felles svar fra banknæringen irriterer også Andvig kraftig. Han mener at det er den respektive banks ansvar for å sørge for at den er PSD2-compliant, og planlegger derfor også å levere inn en klage til ESA.

– Om ikke av PSD2-hensyn, så av konkurransehensyn, er det viktig å ta denne striden, sier Andvig.

Nyheter og innsikt rett i epostboksen

Motta høydepunktene fra Shifters redaksjon direkte i innboksen din.

Ja, takk!

Hvilke nyhetsbrev vil du motta?*

Hvilken bransje jobber du i?*

Powered by Labrador CMS