Seksjonssjef i Finanstilsynet, Olav Johannessen forklarer hvordan tilsynet ser på PSD2-håndteringen så langt.

Finanstilsynet misfornøyd med bankene: «Må få på plass det som skal til, slik at Vipps og andre tredjepartstilbydere får like konkurransevilkår»

Fintech-selskapet Horde har klaget inn bankenes tilrettelegging av PSD2-apier til Finanstilsynet. Tilsynet mener bankene har en jobb å gjøre.

Jörgen Skjelsbæk
Journalist
Publisert Sist oppdatert

Innføringen av EU-direktivet PSD2 var spådd å skape en flom av nye tjenester for norske bankkunder, når kreative startups og andre tredjeparter kunne skape nye produkter ut fra dine data hos bankene. Slik har det ikke blitt. Torsdag fortalte Horde-sjef Alf Gunnar Andersen om problemene selskapet har hatt etter at selskapet ble tildelt en PSD2-lisens i slutten av september. I en drøy måned har selskapet testet bankene API-er, med nedslående resultat.

– Vi har så langt ikke funnet en eneste bank som følger kravene i PSD2-direktivet fullt ut. Vi blir tvunget til å sitte på hendene våre og bruker mye tid og ressurser på feilsøking for bankene, sa Andersen til Shifter i forrige uke.

Irritasjonen har vokst seg så stor at Horde har klaget bankene inn til Finanstilsynet.

Mangler funksjonalitet et år etterpå

Seksjonssjef Olav Johannessen i Finanstilsynet bekrefter at tilsynet har mottatt klagen, og sier at tilsynet er kjent med problemstillingene.

- Når banker som har valgt å utvikle dedikerte grensesnitt (les API-er) ikke har på plass funksjonalitet og tilgjengelighet i de API-ene som er tilsvarende som i bankens ordinære kundegrensesnitt (les nettbanker) over et år etter at delegert kommisjonsforordning (EU) 2018/389 trådte i kraft, sier det seg selv at vi ikke kan være fornøyd med det, sier Johannessen til Shifter.

Johannessen er av dem i Finanstilsynet som har mest kunnskap om PSD2-direktivet, og han jobbet med spørsmål knyttet til innføringen av direktivet i mange år.

- Kan det bli aktuelt for Finanstilsynet å gjennomføre en mer omfattende kontroll av hvordan bankene har fått på plass dedikerte grensesnitt?

- Finanstilsynet følger bankene tett opp i deres arbeid med grensesnittene, og det observeres positiv progresjon både når det gjelder kvalitet, tilgjengelighet og fjerning av hindringer.

111 banker søkte fritak

Da direktivet ble innført i september i fjor var det 111 banker som søkte om fritak fra å lage en reserveløsning til det dedikerte grensesnittet. Per i dag er det fortsatt en majoritet av dem som ikke oppfyller kravene regelverket stiller til et dedikert grensesnitt.

- Velger bankene å lage et dedikert grensesnitt stilles det en rekke krav, sier Johannessen og nevner:

  • De må gi samme tilgjengelighet, ytelse og funksjonalitet som i bankens eksisterende kundegrensesnitt.
  • De må ha samme support på API-ene som det er på bankens kundegrensesnitt.
  • Nøkkelindikatorer og servicenivå på API-ene som er minst lik de som er for eksisterende kundegrensesnittet, og det stilles krav om de skal publiseres på bankens nettsider minst kvartalsvis.
  • De dedikerte grensesnittene skal utformes slik at de ikke skaper hindringer for tredjepartsleverandørenes ytelse av betalingstjenester.

- Men vi ser at det her finnes det problemer. Tredjepartsleverandørene har ikke alltid den samme tilgjengeligheten og ytelsen og mange av bankenes API-er har dårligere funksjonalitet eller manglende informasjon sammenlignet med det bankenes ordinære kundegrensesnitt har, sier Johannessen.

Må ikke finnes noen hindringer

Hva gjelder det siste punktet om at det ikke må finnes noen hindringer, sier Johannessen.

- Et tema som har vært mye diskutert er autentisering. Om tredjepartsleverandører kommer inn med en ferdig utfylt betalingsstreng, skal brukeren i prinsippet bare behøve å autentisere seg en gang, akkurat som ved autentisering av en betaling i nettbanken. Men vi har sett eksempler på API-prosesser, der kunden ved bruk av en tredjepart har vært nødt til å autentisere seg to ganger.

Det er feil mener Johannessen og forklarer at utgangspunktet er at en kunde skal kunne bruke en betalingstjeneste hos en tredjepart og oppleve en tilnærmet lik tjeneste som hos sin egen bank.

Gir Vipps en fordel

Resonnementet fører oss over på et annet ankepunkt i Hordes klage, nemlig at Vipps har en fordel når det gjelder å få utført såkalt delegert sterk kundeautentisering (SKA). Det vil si at Vipps identifiserer deg som kunde direkte i appen, og brukeren må ikke sendes til banken for å godkjenne transaksjonen slik man vanligvis gjør med BankID på mobil og legger inn mobilnummer og fødselsdato.

- Flere banker har fått for seg at de kan levere dårlige API-er og så ha premium-løsninger som PSD2-aktører må betale for, for å få skikkelig tilgang på informasjon. Hvis slike betingelser skulle bli standard, er det ingen PSD2-selskaper, utenom Vipps, som kommer til å ha livets rett, sa Horde-sjefen om praksisen.

Vil ikke ta bort funksjonaliteten til Vipps

Johannessen bekrefter at Vipps har en form for delegert SKA.

- Kort forklart, henger dette sammen med at det ble etablert løsninger før PSD2-regelverket trådte i kraft. Når en bank ikke har fått på plass API-er som er tilstrekkelige, har Vipps heller ikke kunne endre funksjonalitet.

- Det vil være feil av oss å si at Vipps skulle ta bort den funksjonaliteten. Det riktige er at bankene må få på plass det som skal til, slik at Vipps og andre tredjepartstilbydere får like konkurransevilkår.

- Så selv om Vipps har hatt funksjonaliteten på plass før regelverket trådte i kraft, har bankene ikke rett å tilby bare Vipps retten til delegert kundeautentisering (SKA)?

- Det er vårt utgangspunkt når det gjelder delegert SKA. Dersom en bank velger å tilby delegert SKA til det en tredjepartsleverandør, så må de tilby det til andre tredjepartsleverandører på tilsvarende vilkår forutsatt at disse oppfyller kravene, som skal være like og ikke-diskriminerende, som ligger i bankens delegeringsregelverk.

Kravene i forbindelse med delegert SKA er til dels noe annet enn det som kreves for å få PSD2-lisens. Hvorvidt Horde, Neonomics og ZTL, som alle ønsker tilgang til delegert SKA, oppfyller samtlige krav, vil Johannessen ikke uttale seg konkret om.

Manglende forståelse av regelverket

Et annet tema som har vært aktuelt når det gjelder selskaper med PSD2-lisens, er at det er så få av dem i Norge. Seks for å være eksakt, de fem betalingsforetakene Horde, Neonomics, ZTL, Vipps og Lendo, samt e-pengeforetaket Eedenbull. I Sverige finnes det 26 og i Storbritannia over 150.

- Siden det er Finanstilsynet som godkjenner nye aktører, hvordan ser dere på det faktum at det bare er fem godkjente tredjepartsleverandører?

- Det er nok flere grunner til at det ikke er flere. Blant annet, er det flere av foretakene som har søkt som har hatt en manglende forståelse av regelverket og har hatt behov for vesentlig å forbedre sine rutiner. Det har vært mangler i dokumentasjonen som må leveres ved en konsesjonssøknad. Det har vært kravforhold som har vært krevende for foretakene, som (erstatnings-) forsikringer. Det kan også være grunnet utfordringer i å finne gode og lønnsomme forretningsideer, sier Johannessen.

Han ser ikke se bort ifra at det at det er få tredjepartsleverandører, kan ha bidratt til at bankene henger etter med å få løsningene på plass.

- De er to sider av dette. Når ingen presser på, har bankene ikke hatt noen hast med å bli klare og har heller ikke blitt utfordret på manglende funksjonalitet og tilgjengelighet. Når API-ene ikke har hatt den funksjonaliteten tredjepartsleverandørene har vært avhengige av for å kunne tilby tjenester til markedet, har de heller ikke fått startet virksomheten som de har søkt om konsesjon for å drive.

- En slags "Catch 22"-situasjon med andre ord?

- Ja. Mange trodde nok at det skulle være mye enklere å etablere gode forretningsideer og få konsesjon , sier Johannessen.

olav johannessen horde fintech finanstilsynet psd2 alf gunnar andersen nyheter

Last ned Shifters podcast og lær fra de beste

Ledige stillinger:

Flere ledige stillinger her