Temaer og problemstillinger som Finanstilsynet blir kjent med i sitt arbeid med å følge opp gjennomføringen av bestemmelsene.
Bruk av "iframes"
Finanstilsynet er blitt kjent med at det eksisterer implementeringer av PSD 2-grensesnittet der kunden ikke returneres til tredjepartens sider, men til en "iframe" på den aktuelle kontotilbyders domene.
Denne fremgangsmåte vil gjøre at TPP-ens sider blir vist i en iframe i kontotilbyders domene, istedenfor at TPP-ens sider vises i TPP-ens domene. Fremgangsmåten som er benyttet er anerkjent som usikker, og åpner for click-jacking og cross-site scripting angrep. En rekke TPP-er herunder banker, har satt sikkerhetsparametere på sine sider som hindrer at TPP-ens sider kan vises i iframes. Når brukeren "befinner" seg i kontotilbyders iframe, og TPP-ens sider ikke kan vises der, så stopper naturligvis
tredjepartens tjeneste opp.
Løsningen anses også å være i strid med EBAs uttalelse om hindringer.
(ii) after authentication with the ASPSP, the PSU is automatically redirected back to the AISP/PISP’s app, without for example the PSU having to manually reopen the TPP’s app, which would be an obstacle.
Finanstilsynet viser til delegert kommisjonsforordning (RTS) Article 32 der det går frem at PSD2-grensesnittet skal ha samme ytelse og support som kontotilbyders eget kundegrensesnitt. Feil i PSD 2-grensesnittet skal rettes med samme prioritet
som feil i egne kundeløsninger.
Finanstilsynet ber om at forholdet rettes opp.
Payee initiated transactions
Finanstilsynet viser til EBAs svar på spørsmål 2018_4131 PSD2 der en tredjepartstilbyder ber om klargjøring av begrepet "Payee initiated transactions with irregular period or variable amount", og krav om sterk kundeautentisering i den forbindelse.
I svaret skriver EBA at "Payments that are based on a (standing) agreement between a customer and a merchant, according to which the customer authorises the merchant to initiate subsequent transactions in relation to the agreed delivery of goods or services can be considered as payee initiated transactions, provided that these payments are not dependent on a specific action of the payer to trigger the initiation of the payment by the payee".
Payee initiated transactions er altså omfattet av PSD2, og i svaret går EBA videre og behandler spørsmålet om sterk kundeautentisering i forbindelse med slike transaksjoner, og slår fast at kravet om sterk kundeautentisering ikke gjelder for payee initiated transactions.
Beskrivelsen av payee initiated transactions fra EBA som er gjengitt ovenfor er generell – den peker ikke på bestemte løsninger. Finanstilsynet legger til grunn at beskrivelsen omfatter avtalegiro.
Finanstilsynet viser til EBA Opinion (EBA-Op-2018-04) der det fremgår at "… a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs …".
Kontotilbydere som tilbyr avtalegiro eller andre former for payee initiated transactions basert på stående avtaler har dermed plikt til å tilby payee initiated transactions i PSD2-grensesnittet. Denne plikten omfatter både avtalegiro som produkt, samt også payee initiated transactions som funksjonalitet.
Det fremgår av EBA sitt svar i spørsmål 2018_4131 at det skal foreligge en avtale som gir betalingsmottaker en rett til å belaste kundens konto. Avtalen inneholder mandatet som kunden gir betalingsmottaker, som beløpsgrenser pr. transaksjon, perioden betalingen gjelder for, tjeneste(ne) / produkt(ene) som betalingen gjelder. Dersom avtalen er inngått elektronisk, skal kunden autentiseres ved hjelp av sterk kundeautentisering (SKA), jf.PSD2 artikkel 97(1)(c).
PSD 2 – presiseringer av kontotyper og betalinger
Skattetrekkskonto, lønnsutbetalinger og "sparekonto med betaling"
PSD 2 gjelder for betalingskontoer ("payment accounts"). PSD 2 definerer betalingskonto som "… en konto tilhørende én eller flere betalingstjenestebrukere og som benyttes til å gjennomføre betalingstransaksjoner". Definisjonen forklarer ikke formålet med betalingen eller mengden/typen betalinger, kun at det er en konto til å gjennomføre betalingstransaksjoner.
En uttalelse fra den europeiske banktilsynsmyndigheten (EBA): "Opinion on the implementation of the RTS on SCA and CSC (EBA-Op-2018-04)", 13. juni 2018, avsnitt 29:
"Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments."
Ifølge EBA har betalingsfullmektiger (PISPs – Payment Initiation Service Providers) rett til å initiere de samme transaksjonene som kontotilbyderne tilbyr egne brukere. Det er en forutsetning at betalingskontoen er tilgjengelig på nett, jf. PSD 2 Artikkel 66 nr. 1.
Særnorske betalingstyper er omfattet av betalinger som betalingsfullmektiger har rett til å initiere, jf. formuleringen "… payments set by national schemes". Eksempler kan være skatteinnbetalinger, som er regulert av særnorsk lovgivning, og betalinger som kommer fra e-fakturasystemer (ferdig formaterte betalinger).
Skattetrekkskonto
Skattebetalingsloven § 5-12 har bestemmelser om skattetrekkskonto som begrenser bruken av kontoen for å sikre skattetrekksmidlene. Finanstilsynet mener at skattebetalinger og kontoer som benyttes i denne forbindelse, likevel er omfattet av reglene i PSD 2. Formålet til bestemmelsene i skattebetalingsloven er ikke ment å frata kontotypen dets egenskaper som betalingskonto, men å sikre skattetrekksmidlene.
Lønnsutbetalinger
Finanstilsynet erfarer at en rekke kontotilbydere tilbyr lønnsutbetalinger til sine bedriftskunder i nettbanken. Betalingstjenester som tilbys i nettbanken, tilfredsstiller kravet til tilgjengelighet på nett. Andre former for elektroniske løsninger kan også tilfredsstille kravet til tilgjengelighet på nett. Finanstilsynets oppfatning er at lønnsutbetalinger og kontoer som benyttes til dette, er omfattet av reglene i PSD 2.
Sparekonto
Enkelte kontotyper kan tjene flere formål. Et eksempel er sparekonto, som brukeren også kan utføre betalinger fra. For kontoer med flere formål, er det vanskelig å trekke opp generelle grenser for hva som anses som betalingskonto. Disse kontoene må foretakene vurdere individuelt. Det er ikke avgjørende hva kontotilbyderen kaller kontoen, men det er kontoegenskapene som avgjør om kontoen er en betalingskonto.
Betalers navn
Finanstilsynet viser til delegert kommisjonsforordning 2018/389 (RTS) artikkel 36(1)(b), som gjengir Artikkel 66(4)(b) i PSD 2, og til EBA sitt svar i spørsmål 2018_4081.
Kontotilbyder skal gi betalingsfullmektig samme informasjon om initiering og gjennomføring av betalingstransaksjoner som kontotilbyder opplyser om eller gjør tilgjengelig for betaleren i egne kanaler (nettbank, brettbank, mobilbank, annet).
Finanstilsynet erfarer at kontotilbydere varierer med hensyn på om betalers navn opplyses om på betalingen som er initiert av betaleren.
Finanstilsynet legger imidlertid til grunn at betalers navn er tilgjengelig i nettbanken, og at dette gjelder for nettbanken til alle kontotilbydere. Betalers navn er dermed tilgjengelig for betaleren.
På denne bakgrunn mener Finanstilsynet at kontotilbyder plikter å gi betalingsfullmektig opplysninger om betalers navn.
Så vidt Finanstilsynet kan bringe i erfaring, er det i Berlin Group Standard definert felt for betalers navn, og med dette legges det til rette for at betalers navn opplyses om.
Det er videre Finanstilsynets vurdering at betalers navn er viktig informasjon i betalingsfullmektigers arbeid med bekjempelse av svindel og hvitvasking.
Kredittkort
Finanstilsynet viser til en uttalelse fra EBA: Strong customer authentication and common and secure communication (incl. access)
“Credit card accounts which are accessible online and can be used to send and receive payment transactions to and from a third party, shall be made available to AISPs, PISPs and CBPIIs."
Videre viser Finanstilsynet til Payment Accounts Directive Artikkel 1(6) som sier at den gjelder for "… payment accounts through which consumers can at least place funds in it, withdraw cash from it, and execute and receive payment transactions to and from a third party".
Finanstilsynet anser at en rekke kredittkort har egenskapene som beskrives ovenfor.
Systemer for betalingstjenester § 8 - likebehandling
Betalinger gjennom tredjeparter (TPP) og betalinger gjennom bankenes egne kundekanaler skal likebehandles, jf. forskrift om systemer for betalingstjenester §8, 3. ledd. I 4. ledd fremgår at bankene ikke skal forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste. I 5. ledd fremgår det videre at kontotilbyderen umiddelbart etter mottak av betalingsordren, fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt, skal gjøre all relevant informasjon om initiering og gjennomføring av betalingstransaksjonen tilgjengelig for fullmektigen.
Dette innebærer blant annet at:
- Det ikke er anledning til å ha lavere beløpsgrenser for betalinger utført gjennom TPP enn for betalinger utført i bankenes egne kanaler.
- Informasjon som vises i nettbankene i forbindelse med betalingen, for eksempel betalerens navn, betalingsmottakerens navn og KID, må inngå i grensesnittene som stilles til rådighet for TPP-ene.
- Informasjon må fremstå som like tilgjengelig (strukturert) som i nettbanken. Konteksten som informasjonen inngår i, må fremkomme like klart, og presentasjonsformen (tekst vs. data) må være den samme.
- Alle typer betalinger som brukeren kan initiere i nettbanken, skal brukeren kunne initiere gjennom bruk av en TPP. Dette betyr for eksempel at brukerens e-fakturaer må være tilgjengelig for brukeren.
- Initieringen av betalinger ved bruk av en TPP skjer gjerne ved at brukeren godkjenner all nødvendig informasjon (kontonumre kredit og debet, dato og kid) knyttet til betalingen, uten at banken er inne i bildet. Betalingen sendes så fra TPP-en til banken for gjennomføring. Hovedregelen er da at det skal være kun én (1) autentisering av brukeren, jf. pkt. 26 i uttalelsen fra EBA om hindringer.
Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC - Brukeren angir kontoer som brukeren ønsker tilgang til gjennom TPP-ens løsning. I denne forbindelse autentiserer banken brukeren. Finanstilsynet erfarer at brukeropplevelsen knyttet til overgangen mellom brukerautentiseringen og tredjepartens løsning i en del tilfeller ikke samsvarer med tilsvarende brukeropplevelse ved bruk av bankers egne løsninger. Brukeren må for eksempel selv aktivt "navigere" seg tilbake til tredjepartens løsning etter autentisering. Tilbakekoblingen er ikke alltid intuitiv for brukeren, noe som kan gjøre at brukeren "mister" forbindelsen til TPP-en, og må starte på nytt. TPP-ens løsning kan dermed fremstå som mindre attraktiv for brukeren.
- Tilsvarende erfarer Finanstilsynet at brukeren, etter autentisering i forbindelse med en betaling, ikke automatisk tilbakeføres fra bankers løsning for autentisering til TPP-ens applikasjon. En slik automatisk tilbakeføring er et krav, jf. pkt. 16 (ii) i uttalelsen fra EBA om hindringer.
Andre forhold
Det følger av delegert kommisjonsforordning (EU) 2018/389 (RTS) artikkel 32 Forpliktelser i forhold til et dedikert grensesnitt nr. 1. at:
"1. Kontoførende betalingstjenestetilbydere, som har tatt et dedikert grensesnitt i bruk, skal påse, at det dedikerte grensesnittet til enhver tid sikrer samme tilgjengelighet og ytelse, herunder support, som de grensesnitt, som stilles til rådighet for betalingstjenestebrukere ved direkte adgang til betalingskonti online, jf. de krav, som skal oppfylles i henhold til artikkel 30 og 31."
Dette innebærer blant annet et krav om likebehandling mellom bankens egne grensesnitt og de dedikerte grensesnittene når det gjelder brukerstøtte og feilretting. Dette betyr at bankene skal ha et apparat på plass som sikrer at feil og mangler i grensesnittet for tilgang til kontoer blir rettet med samme prioritet som om det var en feil i bankens egen nettbank, jf. RTS Artikkel 32 nr. 1.
I samarbeid med tredjeparter skal bankene aktivt bidra til at tilgangen til kontoer blir testet, jf. RTS Artikkel 33 nr. 6 (b). I og med at plikten til å levere minst ett grensesnitt som gir TPP-er tilgang til kontoer ligger på bankene, og at bankene derfor kontrollerer utviklingen av løsningene for kontotilgang, mener Finanstilsynet at aktivitetsplikten må innebære at bankene under utviklingen av løsningen for tilgang til kontoer bør oppsøke tredjeparter for i samarbeid med disse å sikre at tilgangen til kontoer fungerer tilfredsstillende.
Dersom banken har etablert dedikerte grensesnitt skal statistikk over tilgjengelighet og ytelse for både dedikerte grensesnitt og bankens ordinære brukergrensesnitt publiseres på bankens nettsted hvert kvartal, jf. RTS Artikkel 32 nr. 4.
Bankene skal stille til rådighet testfasiliteter som samsvarer med produksjonsløsningene, jf. RTS Artikkel 30 nr. 5.
Rapportering av problemer med dedikerte grensesnitt (API-er)
Betalingstjenestetilbydere, både kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, skal omgående rapportere om problemer med dedikerte grensesnitt (API-er), jf. artikkel 33 Beredskapstiltak i forhold til et dedikert grensesnitt nr. 3, i delegert kommisjonsforordning (EU) 2018/389 (RTS). RTS-en er gjennomført i norsk rett i forskrift om systemer for betalingstjenester § 11 2. ledd, som trådte i kraft 14. september 2019.
"3. Kontoførende betalingstjenestetilbydere så vel som de betalingstjenestetilbydere, som er omhandlet i artikkel 30, nr. 1, skal omgående rapportere problemer med dedikerte grensesnitt som beskrevet i nr. 1 til deres respektive kompetente nasjonale myndigheter."
Problemene som skal rapporteres etter artikkel 33. nr. 3 er imidlertid ikke nødvendigvis å betrakte som avvik som faller inn under IKT-forskriftens §9, som omhandler systemer i drift. Ordlyden i respektive bestemmelser indikerer at terskelen for å rapportere etter artikkel 33 er lavere enn terskelen for å rapportere hendelser etter IKT-forskriften, jf. forskriften § 9 tredje ledd:
"Operasjonelle hendelser eller sikkerhetshendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal uten ugrunnet opphold rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk."
Betalingstjenestetilbyderne må selv fastsette rutiner, som ivaretar pliktene som følger av regelverket, for hvordan problemer med API-ene skal inngå i foretakets rutiner for å håndtere problemer og hendelser.
Finanstilsynet ber om at slik rapportering, både fra kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, av problemer med API-ene gjøres til hendelse@finanstilsynet.no og merkes særskilt "Problemer med API-er".