PSD 2 - Presiseringer og avklaringer om regelverket

Meldinger der kontotilbydere uttaler seg om fullmektigers tilgang til brukerens kontoer

Når kontotilbydere åpner for tilgang for fullmektiger til betalingstjenestebrukerens (brukerens) kontoer, har ikke kontotilbyder anledning til å sende melding til, eller på annen måte informere brukeren, der kontotilbyder uttaler seg om fullmektigens tilgang til brukerens kontoer. Eksempel på slike meldinger kan være "Du gir nå fullmektig xx tilgang til dine kontoer i 90 dager".

Ved slik melding uttaler kontotilbyder seg etter Finanstilsynets vurdering om forhold som reguleres i avtalen mellom brukeren og fullmektigen. Kontotilbyder er ikke part i denne avtalen. Kontotilbyder har ikke rett til å få innsyn i avtalen. Finanstilsynet mener kontotilbydere ved slike tilfeller kommenterer avtaleforhold kontotilbyder ikke kjenner innholdet i.

Finanstilsynet viser i denne forbindelse til EBA Opinion on obstacles under Art. 32(3) RTS on SCA & CSC:

The EBA clarified in paragraph 13 of the EBA Opinion on the implementation of the RTS (EBA-Op-2018-04)14 and the final report on the EBA Guidelines on the exemption from the contingency mechanism under Article 33(6) RTS (EBA/GL/2018/07)15 that it is the obligation of the PISP/AISP to ensure that it has obtained the PSU’s explicit consent in accordance with Article 66(2) of PSD2 and, respectively, Article 67(2)(a) of PSD2, and that the ASPSP should not check the consent given by the PSU to the PISP/AISP. This was also confirmed by the European Commission in its response to Q&A 4309.

I avtalen mellom brukeren og fullmektigen kan det ligge vilkår som gjør at kontotilbyders melding blir direkte feil. Eksempelvis kan avtalen inneholde klausuler om at fullmektigen skal ha tilgang i en periode som er kortere enn 90 dager, eller at fullmektigens tilgang til brukerens konto og opplysninger på annen måte skal være avgrenset.

Kontotilbyder er ikke part i avtalen som kontotilbyder uttaler seg om. Etter Finanstilsynets syn kan slik uttalelse bidra til en uheldig form for dobbeltkommunikasjon. I enkelte tilfeller er den ikke relevant eller direkte feil, jf. at uttalelsen kan være i motstrid til innholdet i avtalen mellom bruker og fullmektig. Kontotilbyders melding er derfor egnet til å skape usikkerhet hos brukeren.

Fullmektigen har en selvstendig plikt til å holde seg innenfor avtalens rammer, jf. forskrift om systemer for betalingstjenester §6 f. Der framgår det at betalingsfullmektig ikke skal ha tilgang eller benytte eller lagre opplysningene for andre formål enn utføring av betalingsfullmaktstjenester i samsvar med betalerens uttrykkelige anmodning. Tilsvarende gjelder for opplysningsfullmektiger, jf. § 7 f i forskriften.

Kontotilbydere som har etablert meldinger til kunder som omtaler fullmektigers tilgang til kontoer bes fjerne disse.

Tekst / melding på transaksjoner

Finanstilsynet registrerer at kontotilbydere viser mer informasjon om utførte transaksjoner i egne løsninger (nettbank, brettbank, mobilbank), sammenlignet med informasjon som gjøres tilgjengelig for fullmaktforetak (aka tredjeparter) gjennom PSD2 API-ene.

Nedenfor lister vi noen eksempler.

• I nettbanken står for eksempel «dagligvarer», «transport» eller lignende, uten at denne informasjonen deles via API-ene.
• I nettbanken står for eksempel "Lønn", mens informasjonen som er tilgjengelig for fullmektigen er "Fra NN", der NN er navnet på foretaket som har utbetalt lønn.
• I nettbanken står "Taxi 1 AS Janaflaten 3 Godvik". Informasjonen som er tilgjengelig for fullmektigen er "Postering".

I de tilfellene informasjonen ikke gjøres tilgjengelig for fullmaktforetakene i PSD2-grensesnittet, anser Finanstilsynet det som et brudd på Delegert kommisjonsforordning 2018/389 artikkel 36:

Data exchanges

1. Account servicing payment service providers shall comply with each of the following requirements:
   they shall provide account information service providers with the same information from designated payment accounts and associated payment transactions made available to the payment service user when directly requesting access to the account information, provided that this information does not include sensitive payment data;

Unntak fra sterk kundeautentisering

Den 5. april publiserte den Europeiske tilsynsmyndigheten (EBA) en sluttrapport om endring av regler for sterk kundeautentisering under PSD2. Endringsforslaget innebærer et nytt obligatorisk unntak fra sterk kundeautentisering.

Forslaget fra EBA innebærer at kontotilbyder, under visse forutsetninger, ikke skal anvende sterk kundeautentisering når betalingstjenestebrukere benytter kontoinformasjonstjenester. Dessuten økes tidsintervallet mellom hver gang kunden
er gjenstand for sterk kundeautentisering fra 90 dager til 180 dager.

Rapporten har vært på høring, og EBA fikk over 1200 høringssvar.

EBAs utkast til regler må vedtas av EU-kommisjonen før de trer i kraft i EU.  

Det antas at reglene vil tas inn i EØS-avtalen og gjennomføres i norsk rett.

Sluttrapport fra EBA:

• EBA publishes final Report on the amendment of its technical standards on the exemption to strong customer authentication for account access

[Red.anm.: Oppdatert 25.04.2022]

Payee initiated transactions II

I Norge har banker gått sammen om å utvikle avtalegiro. Finanstilsynet mener at avtalegiro er et eksempel på payee initiated transactions i henhold til definisjonen fra EBA ¹⁾.

Norske banker tilbyr dermed payee initiated transactions i sine egne grensesnitt. Finanstilsynet mener at det da følger av EBA Opinion (EBA-Op-2018-04) ²⁾, at betalingsfullmektiger skal ha tilgang til payee initiated transactions gjennom PSD2-grensesnittene.

Betalingsfullmektiger kan ønske å lage systemer som kobler betalingsmottaker og betaler, og betalingskravet og betalingen. Systemene inkluderer avtaler og vilkår for tjenesten (det som EBA omtaler som "mandate"). Sterk kundeautentisering må benyttes dersom avtalen inngås elektronisk ³⁾. Finanstilsynet kan ikke se at det er legale eller andre hindringer i veien for at betalingsfullmektiger tilbyr slike systemer.

¹⁾ "Payments that are based on a (standing) agreement between a customer and a merchant, according to which the customer authorises the merchant to initiate subsequent transactions in relation to the agreed delivery of goods or services can be considered as payee initiated transactions, provided that these payments are not dependent on a specific action of the payer to trigger the initiation of the payment by the payee".

²⁾ 29. Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments.

³⁾ Where the mandate of the payer to the payee to initiate these transactions is provided through a remote channel, the setting up of such a mandate is subject to strong customer authentication, as this action may imply a risk of payment fraud or other abuses within the meaning of Article 97(1)(c) of the PSD2.

Bruk av "iframes"

Finanstilsynet er blitt kjent med at det eksisterer implementeringer av PSD 2-grensesnittet der kunden ikke returneres til tredjepartens sider, men til en "iframe" på den aktuelle kontotilbyders domene.

Denne fremgangsmåte vil gjøre at TPP-ens sider blir vist i en iframe i kontotilbyders domene, istedenfor at TPP-ens sider vises i TPP-ens domene. Fremgangsmåten som er benyttet er anerkjent som usikker, og åpner for click-jacking og cross-site scripting angrep. En rekke TPP-er herunder banker, har satt sikkerhetsparametere på sine sider som hindrer at TPP-ens sider kan vises i iframes. Når brukeren "befinner" seg i kontotilbyders iframe, og TPP-ens sider ikke kan vises der, så stopper naturligvis
tredjepartens tjeneste opp.

Løsningen anses også å være i strid med EBAs uttalelse om hindringer.

(ii) after authentication with the ASPSP, the PSU is automatically redirected back to the AISP/PISP’s app, without for example the PSU having to manually reopen the TPP’s app, which would be an obstacle.

Finanstilsynet viser til delegert kommisjonsforordning (RTS) Article 32 der det går frem at PSD2-grensesnittet skal ha samme ytelse og support som kontotilbyders eget kundegrensesnitt. Feil i PSD 2-grensesnittet skal rettes med samme prioritet
som feil i egne kundeløsninger.

Finanstilsynet ber om at forholdet rettes opp.

Payee initiated transactions

Finanstilsynet viser til EBAs svar på spørsmål 2018_4131 PSD2 der en tredjepartstilbyder ber om klargjøring av begrepet "Payee initiated transactions with irregular period or variable amount", og krav om sterk kundeautentisering i den forbindelse.

I svaret skriver EBA at "Payments that are based on a (standing) agreement between a customer and a merchant, according to which the customer authorises the merchant to initiate subsequent transactions in relation to the agreed delivery of goods or services can be considered as payee initiated transactions, provided that these payments are not dependent on a specific action of the payer to trigger the initiation of the payment by the payee".

Payee initiated transactions er altså omfattet av PSD2, og i svaret går EBA videre og behandler spørsmålet om sterk kundeautentisering i forbindelse med slike transaksjoner, og slår fast at kravet om sterk kundeautentisering ikke gjelder for payee initiated transactions.

Beskrivelsen av payee initiated transactions fra EBA som er gjengitt ovenfor er generell – den peker ikke på bestemte løsninger. Finanstilsynet legger til grunn at beskrivelsen omfatter avtalegiro.

Finanstilsynet viser til EBA Opinion (EBA-Op-2018-04) der det fremgår at "… a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs …".

Kontotilbydere som tilbyr avtalegiro, eller andre former for payee initiated transactions basert på stående avtaler, har dermed plikt til å gjøre tilgjengelig funksjoner i PSD2-grensesnittet som gjør det mulig for betalingsfullmektiger å tilby payee initiated transactions. 
[Red.anm.: Tekst oppdatert 13. mai 2022]

Det fremgår av EBA sitt svar i spørsmål 2018_4131 at det skal foreligge en avtale som gir betalingsmottaker en rett til å belaste kundens konto. Avtalen inneholder mandatet som kunden gir betalingsmottaker, som beløpsgrenser pr. transaksjon, perioden betalingen gjelder for, tjeneste(ne) / produkt(ene) som betalingen gjelder. Dersom avtalen er inngått elektronisk, skal kunden autentiseres ved hjelp av sterk kundeautentisering (SKA), jf.PSD2 artikkel 97(1)(c).

PSD 2 – presiseringer av kontotyper og betalinger

Skattetrekkskonto, lønnsutbetalinger og "sparekonto med betaling"
PSD 2 gjelder for betalingskontoer ("payment accounts"). PSD 2 definerer betalingskonto som "… en konto tilhørende én eller flere betalingstjenestebrukere og som benyttes til å gjennomføre betalingstransaksjoner". Definisjonen forklarer ikke formålet med betalingen eller mengden/typen betalinger, kun at det er en konto til å gjennomføre betalingstransaksjoner.

En uttalelse fra den europeiske banktilsynsmyndigheten (EBA): "Opinion on the implementation of the RTS on SCA and CSC (EBA-Op-2018-04)", 13. juni 2018, avsnitt 29:
"Given that PSD2 does not limit the types of payment transactions a PISP is allowed to offer, and given the provisions in Articles 4(15) and 66(1) of PSD2 in particular, the EBA would like to clarify that a PISP has the right to initiate the same transactions that the ASPSP offers to its own PSUs, such as instant payments, batch payments, international payments, recurring transactions, payments set by national schemes and future-dated payments."

Ifølge EBA har betalingsfullmektiger (PISPs – Payment Initiation Service Providers) rett til å initiere de samme transaksjonene som kontotilbyderne tilbyr egne brukere. Det er en forutsetning at betalingskontoen er tilgjengelig på nett, jf. PSD 2 Artikkel 66 nr. 1.

Særnorske betalingstyper er omfattet av betalinger som betalingsfullmektiger har rett til å initiere, jf. formuleringen "… payments set by national schemes". Eksempler kan være skatteinnbetalinger, som er regulert av særnorsk lovgivning, og betalinger som kommer fra e-fakturasystemer (ferdig formaterte betalinger).

Skattetrekkskonto
Skattebetalingsloven § 5-12 har bestemmelser om skattetrekkskonto som begrenser bruken av kontoen for å sikre skattetrekksmidlene. Finanstilsynet mener at skattebetalinger og kontoer som benyttes i denne forbindelse, likevel er omfattet av reglene i PSD 2. Formålet til bestemmelsene i skattebetalingsloven er ikke ment å frata kontotypen dets egenskaper som betalingskonto, men å sikre skattetrekksmidlene.

Lønnsutbetalinger
Finanstilsynet erfarer at en rekke kontotilbydere tilbyr lønnsutbetalinger til sine bedriftskunder i nettbanken. Betalingstjenester som tilbys i nettbanken, tilfredsstiller kravet til tilgjengelighet på nett. Andre former for elektroniske løsninger kan også tilfredsstille kravet til tilgjengelighet på nett. Finanstilsynets oppfatning er at lønnsutbetalinger og kontoer som benyttes til dette, er omfattet av reglene i PSD 2. 

Sparekonto
Enkelte kontotyper kan tjene flere formål. Et eksempel er sparekonto, som brukeren også kan utføre betalinger fra. For kontoer med flere formål, er det vanskelig å trekke opp generelle grenser for hva som anses som betalingskonto. Disse kontoene må foretakene vurdere individuelt. Det er ikke avgjørende hva kontotilbyderen kaller kontoen, men det er kontoegenskapene som avgjør om kontoen er en betalingskonto.

Betalers navn

Finanstilsynet viser til delegert kommisjonsforordning 2018/389 (RTS) artikkel 36(1)(b), som gjengir Artikkel 66(4)(b) i PSD 2, og til EBA sitt svar i spørsmål 2018_4081.

Kontotilbyder skal gi betalingsfullmektig samme informasjon om initiering og gjennomføring av betalingstransaksjoner som kontotilbyder opplyser om eller gjør tilgjengelig for betaleren i egne kanaler (nettbank, brettbank, mobilbank, annet).

Finanstilsynet erfarer at kontotilbydere varierer med hensyn på om betalers navn opplyses om på betalingen som er initiert av betaleren.

Finanstilsynet legger imidlertid til grunn at betalers navn er tilgjengelig i nettbanken, og at dette gjelder for nettbanken til alle kontotilbydere. Betalers navn er dermed tilgjengelig for betaleren.

På denne bakgrunn mener Finanstilsynet at kontotilbyder plikter å gi betalingsfullmektig opplysninger om betalers navn.  

Så vidt Finanstilsynet kan bringe i erfaring, er det i Berlin Group Standard definert felt for betalers navn, og med dette legges det til rette for at betalers navn opplyses om.

Det er videre Finanstilsynets vurdering at betalers navn er viktig informasjon i betalingsfullmektigers arbeid med bekjempelse av svindel og hvitvasking.

Kredittkort 

Finanstilsynet viser til en uttalelse fra EBA: Strong customer authentication and common and secure communication (incl. access)

“Credit card accounts which are accessible online and can be used to send and receive payment transactions to and from a third party, shall be made available to AISPs, PISPs and CBPIIs."

Videre viser Finanstilsynet til Payment Accounts Directive Artikkel 1(6) som sier at den gjelder for "… payment accounts through which consumers can at least place funds in it, withdraw cash from it, and execute and receive payment transactions to and from a third party".

Finanstilsynet anser at en rekke kredittkort har egenskapene som beskrives ovenfor. 

Systemer for betalingstjenester § 8 - likebehandling

Betalinger gjennom tredjeparter (TPP) og betalinger gjennom bankenes egne kundekanaler skal likebehandles, jf. forskrift om systemer for betalingstjenester §8, 3. ledd. I 4. ledd fremgår at bankene ikke skal forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste. I 5. ledd fremgår det videre at kontotilbyderen umiddelbart etter mottak av betalingsordren, fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt, skal gjøre all relevant informasjon om initiering og gjennomføring av betalingstransaksjonen tilgjengelig for fullmektigen.

Dette innebærer blant annet at:

• Det ikke er anledning til å ha lavere beløpsgrenser for betalinger utført gjennom TPP enn for betalinger utført i bankenes egne kanaler.
• Informasjon som vises i nettbankene i forbindelse med betalingen, for eksempel betalerens navn, betalingsmottakerens navn og KID, må inngå i grensesnittene som stilles til rådighet for TPP-ene.
• Informasjon må fremstå som like tilgjengelig (strukturert) som i nettbanken. Konteksten som informasjonen inngår i, må fremkomme like klart, og presentasjonsformen (tekst vs. data) må være den samme.
• Alle typer betalinger som brukeren kan initiere i nettbanken, skal brukeren kunne initiere gjennom bruk av en TPP.
• Initieringen av betalinger ved bruk av en TPP skjer gjerne ved at brukeren godkjenner all nødvendig informasjon (kontonumre kredit og debet, dato og kid) knyttet til betalingen, uten at banken er inne i bildet. Betalingen sendes så fra TPP-en til banken for gjennomføring. Hovedregelen er da at det skal være kun én (1) autentisering av brukeren, jf. pkt. 26 i uttalelsen fra EBA om hindringer.
  Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC
• Brukeren angir kontoer som brukeren ønsker tilgang til gjennom TPP-ens løsning. I denne forbindelse autentiserer banken brukeren. Finanstilsynet erfarer at brukeropplevelsen knyttet til overgangen mellom brukerautentiseringen og tredjepartens løsning i en del tilfeller ikke samsvarer med tilsvarende brukeropplevelse ved bruk av bankers egne løsninger. Brukeren må for eksempel selv aktivt "navigere" seg tilbake til tredjepartens løsning etter autentisering. Tilbakekoblingen er ikke alltid intuitiv for brukeren, noe som kan gjøre at brukeren "mister" forbindelsen til TPP-en, og må starte på nytt. TPP-ens løsning kan dermed fremstå som mindre attraktiv for brukeren.
• Tilsvarende erfarer Finanstilsynet at brukeren, etter autentisering i forbindelse med en betaling, ikke automatisk tilbakeføres fra bankers løsning for autentisering til TPP-ens applikasjon. En slik automatisk tilbakeføring er et krav, jf. pkt. 16 (ii) i uttalelsen fra EBA om hindringer.

Andre forhold

Det følger av delegert kommisjonsforordning (EU) 2018/389 (RTS) artikkel 32 Forpliktelser i forhold til et dedikert grensesnitt nr. 1. at:

"1. Kontoførende betalingstjenestetilbydere, som har tatt et dedikert grensesnitt i bruk, skal påse, at det dedikerte grensesnittet til enhver tid sikrer samme tilgjengelighet og ytelse, herunder support, som de grensesnitt, som stilles til rådighet for betalingstjenestebrukere ved direkte adgang til betalingskonti online, jf. de krav, som skal oppfylles i henhold til artikkel 30 og 31."

Dette innebærer blant annet et krav om likebehandling mellom bankens egne grensesnitt og de dedikerte grensesnittene når det gjelder brukerstøtte og feilretting. Dette betyr at bankene skal ha et apparat på plass som sikrer at feil og mangler i grensesnittet for tilgang til kontoer blir rettet med samme prioritet som om det var en feil i bankens egen nettbank, jf. RTS Artikkel 32 nr. 1.

I samarbeid med tredjeparter skal bankene aktivt bidra til at tilgangen til kontoer blir testet, jf. RTS Artikkel 33 nr. 6 (b). I og med at plikten til å levere minst ett grensesnitt som gir TPP-er tilgang til kontoer ligger på bankene, og at bankene derfor kontrollerer utviklingen av løsningene for kontotilgang, mener Finanstilsynet at aktivitetsplikten må innebære at bankene under utviklingen av løsningen for tilgang til kontoer bør oppsøke tredjeparter for i samarbeid med disse å sikre at tilgangen til kontoer fungerer tilfredsstillende.

Dersom banken har etablert dedikerte grensesnitt skal statistikk over tilgjengelighet og ytelse for både dedikerte grensesnitt og bankens ordinære brukergrensesnitt publiseres på bankens nettsted hvert kvartal, jf. RTS Artikkel 32 nr. 4.

Bankene skal stille til rådighet testfasiliteter som samsvarer med produksjonsløsningene, jf. RTS Artikkel 30 nr. 5.

Rapportering av problemer med dedikerte grensesnitt (API-er)

Betalingstjenestetilbydere, både kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, skal omgående rapportere om problemer med dedikerte grensesnitt (API-er), jf. artikkel 33 Beredskapstiltak i forhold til et dedikert grensesnitt nr. 3, i delegert kommisjonsforordning (EU) 2018/389 (RTS). RTS-en er gjennomført i norsk rett i forskrift om systemer for betalingstjenester § 11 2. ledd, som trådte i kraft 14. september 2019.

"3. Kontoførende betalingstjenestetilbydere så vel som de betalingstjenestetilbydere, som er omhandlet i artikkel 30, nr. 1, skal omgående rapportere problemer med dedikerte grensesnitt som beskrevet i nr. 1 til deres respektive kompetente nasjonale myndigheter."

Problemene som skal rapporteres etter artikkel 33. nr. 3 er imidlertid ikke nødvendigvis å betrakte som avvik som faller inn under IKT-forskriftens §9, som omhandler systemer i drift. Ordlyden i respektive bestemmelser indikerer at terskelen for å rapportere etter artikkel 33 er lavere enn terskelen for å rapportere hendelser etter IKT-forskriften, jf. forskriften § 9 tredje ledd:

"Operasjonelle hendelser eller sikkerhetshendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal uten ugrunnet opphold rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk."

Betalingstjenestetilbyderne må selv fastsette rutiner, som ivaretar pliktene som følger av regelverket, for hvordan problemer med API-ene skal inngå i foretakets rutiner for å håndtere problemer og hendelser.

Finanstilsynet ber om at slik rapportering, både fra kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, av problemer med API-ene gjøres til hendelse@finanstilsynet.no og merkes særskilt "Problemer med API-er".