Temaer og problemstillinger som tilsynet blir kjent med i sitt arbeid med å følge opp implementeringen av bestemmelsene.
Grensesnitt for tredjepartsleverandører iht. PSD 2
Finanstilsynet erfarer at det stadig er behov for avklaringer og konkretiseringer når det gjelder bestemmelsene i PSD 2 generelt, og i bestemmelsene i delegert kommisjonsforordning (EU) 2018/389 (RTS) om sikker kommunikasjon og autentisering spesielt. På denne siden vil Finanstilsynet ta opp temaer og problemstillinger som tilsynet blir kjent med i sitt arbeid med å følge opp implementeringen av bestemmelsene.
Forhold betalingstjenestetilbyderne bes ha oppmerksomhet på og ivareta i samsvar med regelverket
Betalingstjenestetilbydere plikter å melde feil og mangler i tilgangen til betalingskontoer til Finanstilsynet, ref. delegert kommisjonsforordning (EU) 2018/389 (RTS), Artikkel 33 nr. 3.
Basert på innkomne meldinger og undersøkelser så langt, bes bankene ha særskilt oppmerksomhet om forholdene som er omtalt nedenfor. Dette er eksempler på forhold der bankers løsninger ikke er i samsvar med regelverket. Finanstilsynet gjør oppmerksom på at disse forholdene ikke utgjør en uttømmende list over mulige feil og mangler.
Finanstilsynet viser til uttalelse fra den europeiske banktilsynsmyndigheten (EBA) 22. februar 2021. I uttalelsen beskriver EBA tiltak som nasjonale tilsynsmyndigheter forventes å iverksette for å fjerne hindringer for tiltrodde tredjeparters tilgang til kunder betalingskontoer.
Betalinger gjennom tredjeparter (TPP) og betalinger gjennom bankenes egne kundekanaler skal likebehandles, jf. forskrift om systemer for betalingstjenester §8, 3. ledd. I 4. ledd fremgår at bankene ikke skal forskjellsbehandle forespørsler om informasjon som gis gjennom en betalingstjenestetilbyder som tilbyr avtale om kontoinformasjonstjeneste. I 5. ledd fremgår det videre at kontotilbyderen umiddelbart etter mottak av betalingsordren, fra betalingstjenestetilbyder som tilbyr avtale om betalingsfullmakt, skal gjøre all relevant informasjon om initiering og gjennomføring av betalingstransaksjonen tilgjengelig for fullmektigen.
Det følger videre av regelverket at:
- Det ikke er anledning til å ha lavere beløpsgrenser for betalinger utført gjennom TPP enn for betalinger utført i bankenes egne kanaler.
- Informasjon som vises i nettbankene i forbindelse med betalingen, for eksempel betalerens navn, betalingsmottakerens navn og KID, må inngå i grensesnittene som stilles til rådighet for TPP-ene.
- Informasjon må fremstå som like tilgjengelig (strukturert) som i nettbanken. Konteksten som informasjonen inngår i, må fremkomme like klart, og presentasjonsformen (tekst vs. data) må være den samme.
- Alle typer betalinger som brukeren kan initiere i nettbanken, skal brukeren kunne initiere gjennom bruk av en TPP. Dette betyr for eksempel at brukerens e-fakturaer må være tilgjengelig for brukeren.
- Initieringen av betalinger ved bruk av en TPP skjer gjerne ved at brukeren godkjenner all nødvendig informasjon (kontonumre kredit og debet, dato og kid) knyttet til betalingen, uten at banken er inne i bildet. Betalingen sendes så fra TPP-en til banken for gjennomføring. Hovedregelen er da at det skal være kun én (1) autentisering av brukeren, jf. pkt. 26 i uttalelsen fra EBA om hindringer.
Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC - Brukeren angir kontoer som brukeren ønsker tilgang til gjennom TPP-ens løsning. I denne forbindelse autentiserer banken brukeren. Finanstilsynet erfarer at brukeropplevelsen knyttet til overgangen mellom brukerautentiseringen og tredjepartens løsning i en del tilfeller ikke samsvarer med tilsvarende brukeropplevelse ved bruk av bankers egne løsninger. Brukeren må for eksempel selv aktivt "navigere" seg tilbake til tredjepartens løsning etter autentisering. Tilbakekoblingen er ikke alltid intuitiv for brukeren, noe som kan gjøre at brukeren "mister" forbindelsen til TPP-en, og må starte på nytt. TPP-ens løsning kan dermed fremstå som mindre attraktiv for brukeren.
- Tilsvarende erfarer Finanstilsynet at brukeren, etter autentisering i forbindelse med en betaling, ikke automatisk tilbakeføres fra bankers løsning for autentisering til TPP-ens applikasjon. En slik automatisk tilbakeføring er et krav, jf. pkt. 18 (ii) i uttalelsen fra EBA om hindringer.
Andre forhold
Det følger av delegert kommisjonsforordning (EU) 2018/389 (RTS) artikkel 32 Forpliktelser i forhold til et dedikert grensesnitt nr. 1. at:
"1. Kontoførende betalingstjenestetilbydere, som har tatt et dedikert grensesnitt i bruk, skal påse, at det dedikerte grensesnittet til enhver tid sikrer samme tilgjengelighet og ytelse, herunder support, som de grensesnitt, som stilles til rådighet for betalingstjenestebrukere ved direkte adgang til betalingskonti online, jf. de krav, som skal oppfylles i henhold til artikkel 30 og 31."
Dette innebærer blant annet et krav om likebehandling mellom bankens egne grensesnitt og de dedikerte grensesnittene når det gjelder brukerstøtte og feilretting. Dette betyr at bankene skal ha et apparat på plass som sikrer at feil og mangler i grensesnittet for tilgang til kontoer blir rettet med samme prioritet som om det var en feil i bankens egen nettbank, jf. RTS Artikkel 32 nr. 1.
I samarbeid med tredjeparter skal bankene aktivt bidra til at tilgangen til kontoer blir testet, jf. RTS Artikkel 33 nr. 6 (b). I og med at plikten til å levere minst ett grensesnitt som gir TPP-er tilgang til kontoer ligger på bankene, og at bankene derfor kontrollerer utviklingen av løsningene for kontotilgang, mener Finanstilsynet at aktivitetsplikten må innebære at bankene under utviklingen av løsningen for tilgang til kontoer bør oppsøke tredjeparter for i samarbeid med disse å sikre at tilgangen til kontoer fungerer tilfredsstillende.
Dersom banken har etablert dedikerte grensesnitt skal statistikk over tilgjengelighet og ytelse for både dedikerte grensesnitt og bankens ordinære brukergrensesnitt publiseres på bankens nettsted hvert kvartal, jf. RTS Artikkel 32 nr. 4.
Bankene skal stille til rådighet testfasiliteter som samsvarer med produksjonsløsningene, jf. RTS Artikkel 30 nr. 5.
Rapportering av problemer med dedikerte grensesnitt (APIer)
Betalingstjenestetilbydere, både kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, skal omgående rapportere om problemer med dedikerte grensesnitt (APIer), jf. artikkel 33 Beredskapstiltak i forhold til et dedikert grensesnitt nr. 3, i delegert kommisjonsforordning (EU) 2018/389 (RTS). RTS-en er gjennomført i norsk rett i forskrift om systemer for betalingstjenester § 11 2. ledd, som trådte i kraft 14. september 2019.
"3. Kontoførende betalingstjenestetilbydere så vel som de betalingstjenestetilbydere, som er omhandlet i artikkel 30, nr. 1, skal omgående rapportere problemer med dedikerte grensesnitt som beskrevet i nr. 1 til deres respektive kompetente nasjonale myndigheter."
Problemene som skal rapporteres etter artikkel 33. nr. 3 er imidlertid ikke nødvendigvis å betrakte som avvik som faller inn under IKT-forskriftens §9, som omhandler systemer i drift. Ordlyden i respektive bestemmelser indikerer at terskelen for å rapportere etter artikkel 33 er lavere enn terskelen for å rapportere hendelser etter IKT-forskriften, jf. forskriften § 9 tredje ledd:
"Operasjonelle hendelser eller sikkerhetshendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal uten ugrunnet opphold rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk."
Betalingstjenestetilbyderne må selv fastsette rutiner, som ivaretar pliktene som følger av regelverket, for hvordan problemer med APIene skal inngå i foretakets rutiner for å håndtere problemer og hendelser.
Finanstilsynet ber om at slik rapportering, både fra kontotilbydere og ytere av de nye betalingstjenestene betalingsfullmakt og kontoinformasjon, av problemer med APIene gjøres til hendelse@finanstilsynet.no og merkes særskilt "Problemer med APIer".