Horde-sjef Alf Gunnar Andersen er ikke imponert over bankenes PSD2-API-er.
Horde-sjef Alf Gunnar Andersen er ikke imponert over bankenes PSD2-API-er.

Horde melder bankenes PSD2-håndtering til både Finanstilsynet og Konkurransetilsynet

For drøyt en måned siden ble Horde den femte norske aktøren med PSD2-lisens. Siden da har selskapet testet ut bankenes API-er for kontoinformasjon og betalingsinitiering. – API-ene som blir tilbudt er mildt sagt helt forferdelige, sier Horde-sjefen Alf Gunnar Andersen oppgitt.

Publisert

– De tekniske løsningene er ustabile, noen banker har ikke engang API-er på plass, data er mangelfull, og enkelte banker har laget knotete og lite intuitive løsninger for brukerne. I tillegg gir bankene Vipps konkurransevridende fordeler, sier Alf Gunnar Andersen til Shifter.

Irritasjonen over funnene har vokst seg så stor at Horde nå har sendt brev til både Finanstilsynet og Konkurransetilsynet der de tilsynene om å gjøre noe med situasjonen.

«Horde har lagt ned betydelige ressurser på å oppnå konsesjon for å opptre i et nytt marked, skapt av PSD2 med det overordnede samfunnshensyn å åpne for konkurranse på området for betalingstjenester. Det er hver enkelt bank sin plikt å etterleve regelverket, og det er Finanstilsynets plikt å påse at bankene etterlever. … Horde ber om at Finanstilsynet umiddelbart følger opp sine forpliktelser etter delegert forordning artikkel 30 (6) om å sikre tredjeparters tilgang til uhindret å tilby sine tjenester.», skriver Horde i brevet til Finanstilsynet.

Hva er PSD2?

  • PSD2 er et EU-direktiv som er ment å fremme konkurranse og innovasjon i banksektoren
  • Det går kort ut på at tredjeparter skal kunne få tilgang til bankers kunders betalingsdata, samt ha muligheten til å initiere en betaling.
  • Det betyr, i teorien, at tredjeparter skal kunne lage produkter på "toppen av bankene".
  • Januar 2018 ble PSD2-regelverket effektuert blant medlemsstatene i EU.
  • Mars 2019 måtte banker åpne API-ene slik at tredjeparter kan prøve dem i testmiljøer.
  • September 2019 var endelig frist for etterlevelse. Regler for sterk kundeautentsiering og sikker kommunikasjon trådte i kraft.

Gir alle banker underkjent

Med den etterlengtede lisensen på plass var ellers planen til Horde å gi sine 130.000 app-brukere muligheten til å kunne betale ned på sine kredittkorts- og forbrukslån direkte i appen, ikke bare se oversikten. Å få det på plass er en prosess som vil ta lenger tid enn hva Andersen hadde tenkt seg.

– Vi har så langt ikke funnet en eneste bank som følger kravene i PSD2-direktivet fullt ut, sier Andersen.

– Vi blir tvunget til å sitte på hendene våre og bruker mye tid og ressurser på feilsøking for bankene. Vi kan ikke lansere dette før det er godt nok. Så i stedet for å lansere tjenesten til alle våre 130.000 kunder, blir det en «slow roll-out» for et fåtall brukere, fortsetter han.

Må på banen med dagbøter

Andersen mener det er hårreisende at bankene får bryte et regelverk som trådte i kraft for over et siden uten at det får konsekvenser. Han viser også til at EBA (European Banking Authority) nylig uttalte at de forventer at de nasjonale tilsynene følger opp og tar nødvendige grep der bankene ikke følger regelverket

– Vi mener at enten må Finanstilsynet inn her med dagbøter eller så må Konkurransetilsynet på banen og forklare at bankene bruker sin markedsdominans for å hemme andre fra å komme inn, sier Andersen.

Den 14. september 2019 var startdatoen for det som omvekslende er blitt kalt for «PSD2-revolusjonen» eller «fintech-revolusjonen». PSD2-direktivet innebar at bankene måtte begynne å dele med seg av transaksjonsdata og kontoinformasjon og at alle skulle få tilgang til informasjonen på en ikke-diskriminerende måte. Eller for å uttrykke det med Finanstilsynets ord: «Reglene omfatter krav om at betalingskontotilbydere (banker) skal gi betalingsforetak som yter betalingsfullmakttjeneste og/eller kontoinformasjonstjeneste tilgang til samme kontoinformasjon som kontoinnehaver selv har tilgang til gjennom bankens kundegrensesnitt.»

– Regelverket er krystallklart. Kunden skal ha samme tilgang til informasjon hos oss som i sin egen bank. Så om kunden kan se historikk fem år tilbake i sin egen mobilbank, så er det den informasjonen vi skal kunne hente ut, sier Andersen.

Får ikke det de ber om

Slik er det imidlertid ikke. Hordes tester i løpet av oktober viser at bankene ikke leverer det de blir spurt om av transaksjonsdata og det er stor variasjon mellom bankene.

– I våre spørringer har vi bedt om å om å få historikk fra to år tilbake. Det lengste vi har fått er mai. Og noen leverer bare en måneds med transaksjonsdata.

At Horde ikke får de data selskapet ber om, påvirker ikke bare muligheten til å la kundene gjennomføre betalinger i mobilappen. Det går også ut over et annet prosjekt. Tidligere i år fikk Horde 1,9 millioner kroner i utviklingstilskudd fra Innovasjon Norge. Disse pengene var øremerket et nytt maskinlæringsprosjekt som skal føre til at brukerne bedre skal kunne analysere eget forbruk, basert på objektive råd fra appen.

– Det får vi heller ikke gjort noe med. Maskinlæringsprosjektet er basert på at du må ha minimum tolv måneders historikk for å gjøre de analysene. Derfor vil den ikke fungere optimalt dersom kunden bare får et par måneder med transaksjonsdata, forteller Andersen.

Sendte 99 brev – fikk ikke de rette svarene

Et annet problem for Horde er kundeautentisering. Kravet om sterk kundeautentisering (SKA), er i et europeisk perspektiv en veldig viktig del av PSD2-direktivet. I Norge har Bank-ID vært en del av hverdagen så lenge at vi ikke lenger tenker på viktigheten av det.

I denne sammenhengen handler det imidlertid om hvem som skal utføre godkjenningen av kunden og på hvilken måte det skjer. Regelverket er rimelig tydelig også her. Hvis en aktør har tilgang til en teknisk løsning så må alle andre også få det.

Slik er det ikke. Norge har per i dag fem godkjente såkalte TPP-er (Third Party Providers); Vipps, Neonomics, ZTL, Lendo og Horde. Av disse har Vipps en fordel, fordi at bankene har tillatt Vipps å gjennomføre kundeautentiseringen direkte i appen. Dermed kan man for eksempel bruke Face-ID til å godkjenne en betaling direkte, i stedet for å bli sendt via Bank-ID til banken for å gjennomføre autentiseringen og så tilbake til betalingsstedet.

– 1. oktober sendte vi ut brev til 99 norske banker med ønske om å inngå avtale om sterk kundeautentisering. Det vil si at brukere enkelt skal kunne legge til bankkontoer fra ulike banker i appen vår, og godkjenne betalinger med FaceID og PIN-kode, slik som i Vipps, forteller Andersen.

De fleste har vært villige til å møte Horde og diskutere saken, men i et tilfelle fikk selskapet et avtaleforslag i retur som fikk Andersen til å steile.

– Flere banker har fått for seg at de kan levere dårlige API-er og så ha premium-løsninger som PSD2-aktører må betale for, for å få skikkelig tilgang på informasjon.

– Det avtaleforslaget ville ha kostet oss mange millioner kroner i året for noe som vi i utgangspunktet har rett på ifølge PSD2-direktivet. I tillegg hadde vi måttet overta kostnaden for autentiseringen via Bank-ID fra bankene.

– Hvis slike betingelser skulle bli standard, er det ingen PSD2-selskaper, utenom Vipps, som kommer til å ha livets rett, sier Horde-sjefen.

Selskapsinformasjon fra Caphub.io

HORDE AS

Horde har utviklet en app som gir folk oversikt over sine kredittkort og forbrukslån. I appen kan man også enkelt si opp sine kredittkort. Horde Solutions bygger en skybasert SaaS-løsning for banker.

Les mer om selskapet her

BERGEN

Alf Gunnar Andersen

6-10

  • APE HOLDING AS
  • GANTECH AS
  • Øystein Bakke
Se hele selskapsprofilen

Miniserie om bankenes fremtid

Powered by Labrador CMS