Nytt EU-krav: Bankene må få på plass PSD2 før utgangen av april – ellers blir det bøter

Flere norske startups har kjempet en hard kamp for å få bankene til å tilpasse seg PSD2-direktivet, og dermed gi tredjepartsaktører tilgang til informasjon fra kundenes brukskontoer, blant annet.

Nå får de hjelp fra den europeiske banktilsynsmyndigheten, EBA. I en fersk uttalelse gir de bankene frist til 30. april på å få på plass de nødvendige funksjonene.

I samme skriv er det nye retningslinjer for hvordan lokale tilsynsmyndigheter skal agere overfor banker som ikke er i mål innen fristen. Skrivet omhandler også krav om sterk kundeautentisering.

«EBA forventer, i tilfelle hindringer fortsatt eksisterer etter nevnte deadline, at nasjonale tilsynsmyndigheter tar i bruk mer effektive tiltak for å forsikre at lovene etterleves, inkludert, men ikke begrenset til, å tilbakekalle fritaket fra reserveløsning som banker, kortutstedere eller e-pengeforetak allerede har fått og/eller utstede bøter», skriver EBA.

Prioriteringer

– Det har vært i en god dag i «open banking»-verden, sier Alf Gunnar Andersen, daglig leder i Horde og styreleder i nystartede Fintech Norway, organisasjonen som ble start for noen uker siden som en direkte konsekvens av bankens langsomme innføring av PSD2-direktivet.

– Var det overraskende at EBA kom en slik advarsel nå?

– En positiv overraskelse, i hvert fall. Det er jo akkurat dette vi har etterlyst i kontaktene med Finanstilsynet og Finansdepartementet. Hva skal vi forholde oss til?

– Slik det er nå, sitter vi med både et omdømmetap fordi tjenestene ikke fungerer bra, og et kommersielt tap fordi tjenestene ikke fungerer skikkelig.

– Tror du at bankene vil være klare til 30. april?

– Der det er vilje, er det vei. Vi så jo hvor raskt kompensasjonsordning.no kom på plass i fjor. Jeg tror jo definitivt at bankene klarer å få dette på plass. Det handler om prioriteringer.

Tilsynet har observert progresjon

Shifter sendte også over et antall spørsmål til Finanstilsynet på e-post der vi ba om tilsynet reaksjoner på EBAs skrivelse. Sent mandag kveld fikk vi tilbake et skriftlig svar på noen av dem fra seksjonssjef Olav Johannessen i seksjon for IT og betalingstjenester.

– 111 banker søkte fritak fra å lage en reserveløsning til det dedikerte grensesnittet. I november var det fortsatt en majoritet av dem som ikke oppfylte kravene regelverket stiller til et dedikert grensesnitt. Hvor mange er det som ikke er klare i dag?

– Finanstilsynet har ikke anledning til å kommentere den tilsynsmessige oppfølgingen av foretakene. Det er bankenes ansvar å sikre at virksomheten er i tråd med gjeldende regelverk, herunder slik at betalingsforetak som yter betalingsfullmakttjeneste og/eller kontoinformasjonstjeneste får tilgang på informasjon iht. regelverket.

– Vil alle norske banker kunne ha på plass funksjonalitet som lever opp til kravene i PSD2-direktivet før siste april?

– Finanstilsynet har en løpende oppfølging av bankenes arbeid med grensesnittene for å følge opp at bankenes løsninger snarest mulig samsvarer med regelverket. For filialer av utenlandske banker skjer dette i samhandling med respektive hjemlandsmyndighet. Finanstilsynet observerer progresjon i bankenes arbeid.

Har dere vært for snille med bankene, når EBA må gå ut med en uttalelse som dette, 1,5 år etter at regelverket ble innført?

– Når banker som har valgt å utvikle dedikerte grensesnitt (Api-er) ikke har på plass funksjonalitet og tilgjengelighet som er tilsvarende bankens ordinære kundegrensesnitt (nettbanker mm) nærmere 1,5 år etter at delegert kommisjonsforordning (EU) 2018/389 trådte i kraft, sier det seg selv at det ikke er tilfredsstillende.

På spørsmålene om Finanstilsynet er beredt å innføre sanksjoner, slik EBA ber om, og hvilken type sanksjoner som tilsynet i så fall vurderer, avsto tilsynet fra å svare.