Revolutie in het betaalverkeer op komst: wat betekent PSD2 voor u?
Sinds 14 september kunt u uw zichtrekening ook op de site of de app van een andere partij consulteren en beheren. Anderzijds krijgen banken, retailers, en grote en kleine internetbedrijven dan toegang tot een schat aan financiële data. En als u niet oplet, tot ál uw bankgegevens.
Nu 2019 bijna voorbij is, selecteert Trends de artikels die vorig jaar het meest in de smaak vielen bij de lezers. In september werd een revolutie in het betaalverkeer ontketend: PSD2. Nooit van gehoord? Lees verder.
93 procent van de Belgen heeft nog nooit gehoord van PSD2, de nieuwe Europese richtlijn voor het betaalverkeer, en nog eens 5 procent weet niet precies wat de richtlijn inhoudt. Nochtans ontketent PSD2 op 14 september een revolutie in het Europese betaalverkeer. De consument krijgt nieuwe mogelijkheden om te betalen. Maar er zijn grote vragen over de veiligheid en de privacy. Hoe verstandig is het om toegang te verlenen tot uw zichtrekening en betaaldata?
Wat is PSD2?
PSD2 staat voor Payment Services Directive 2, een nieuwe Europese richtlijn die het betaalverkeer reguleert. Alle landen van de Europese Unie waren verplicht die om te zetten in nationale wetgeving. Met PSD2 wil Europa meer concurrentie voor de banken en meer innovatie in het betaalverkeer stimuleren. Dat moet leiden tot lagere prijzen en een groter gebruiksgemak voor de klanten.
Wat houdt PSD2 in?
De betaalrichtlijn wil de klanten de controle over hun betaaldata geven. Als een houder van een zichtrekening daarom vraagt, moet de bank zijn transactiegegevens vrijgeven aan derde partijen ( third party providers, TPP’s). Dat kunnen andere banken zijn, maar ook aanbieders van betalingsdiensten, webwinkels of technologiebedrijven. Soms zijn het kleine bedrijfjes die als tussenpersoon voor die grote klanten werken.
PSD2 werd op 13 januari 2018 van kracht. Er werd een periode van anderhalf jaar uitgetrokken om de banken de kans te geven technologisch klaar te zijn voor het openstellen van hun systemen voor derde partijen. Die periode eindigt op 14 september 2019. Vanaf dan kunnen bedrijven of organisaties die erkend zijn door een toezichthouder toegang tot de betaaldata van een klant vragen. Als de klant daarvoor uitdrukkelijk toestemming geeft, moeten de banken dat toestaan.
Tot welke informatie krijgen de derde partijen toegang?
Als de klant daarmee instemt, kunnen de derde partijen het saldo van de zichtrekening checken, de historiek ervan bekijken, en betalingen verrichten in naam van de klant. De toestemming van de klant geldt in principe voor negentig dagen. Vier maal per dag kan de firma in kwestie de rekening van de klant, en haar historiek, consulteren. De raadplegingen kunnen gebeuren zonder dat de klant daarvan op de hoogte is. Voor betalingen moet de klant iedere keer de opdracht ondertekenen.
“PSD2 voorziet ook in een sterkere beveiliging van het betaalverkeer”, vertelt Frederik Mennes, director product security bij de leverancier van beveiligingstechnologie Onespan (het vroegere Vasco). “Alle aanbieders van financiële diensten moeten voortaan een ‘tweefactorauthenticatie’ aanbieden. Bij elke transactie moeten minstens twee van de drie klassieke beveiligingsfactoren aanwezig zijn: iets dat de gebruiker heeft (bijvoorbeeld een app op zijn smartphone of een betaalkaart), iets dat de gebruiker weet (bijvoorbeeld een toegangs- of pincode), iets dat de gebruiker is (bijvoorbeeld een vingerafdruk). De statische verificatiecode van een kredietkaart (de drie cijfertjes op de achterzijde van de kaart, nvdr) volstaat dus niet langer.”
Op die nieuwe beveiligingsregel bestaan uitzonderingen. Hij geldt bijvoorbeeld niet voor kleinere bedragen (onder 30 euro per transactie, en onder 500 euro voor een reeks transacties), als de betaling gebeurt naar een bekende begunstigde (bijvoorbeeld een maandelijkse betaling aan een telecom- of energiebedrijf), of bij een overschrijving tussen eigen rekeningen.
Wat is het voordeel voor de consument?
Dankzij PSD2 kunnen consumenten hun betaaldata groeperen, bijvoorbeeld in één app, waardoor ze een overzicht krijgen van al hun zichtrekeningen bij verschillende banken. Dat maakt een beter beheer van het gezinsbudget mogelijk. Bovendien kunnen ze vanuit die centrale app betalingen verrichten vanop verschillende rekeningen. Concreet: stel dat u zichtrekeningen hebt bij KBC, Belfius en ING, dan kunt u die groeperen op één of alle apps van die banken. En u kunt betalen vanop de rekening waaraan u op dat moment de voorkeur geeft.
“Zelfstandigen en kleine ondernemingen met verschillende bankrelaties zullen hiermee een groter voordeel doen dan gewone particulieren”, zegt Rik Coeckelbergs, betaalexpert en oprichter van de netwerkorganisatie The Banking Scene. “Door het transparante rekeningenoverzicht kunnen zij een beter liquiditeitsbeheer voeren.”
Op termijn kunnen de nieuwe gebruiksmogelijkheden leiden tot een strijd tussen de banken om de meest gebruiksvriendelijke app, denkt Coeckelbergs. “Voorlopig zijn klanten nog redelijk onverschillig, onder meer omdat de verschillen tussen de apps niet groot zijn en functionaliteiten snel gekopieerd worden. Op termijn kan het gebruiksgemak van de app wel beslissend worden voor de keuze van een hoofdbank.”
Zullen ook niet- banken zulke diensten aanbieden?
Ook kleine en grote technologiebedrijven zullen digitale rekeningoverzichten aanbieden in een app. Die kunnen ze combineren met tips voor een goedkopere lening of energiefactuur, en aanbiedingen van winkels en horecazaken. Door de toegang die ze hebben tot de betaaldata, weten ze bij wie u koopt en hoeveel geld u uitgeeft, en kan deze dienstverlening sterk gepersonaliseerd worden. In België bouwt het fintechbedrijf Spencer van Davy Kestens een app waarmee mensen al hun financiële gegevens kunnen verzamelen, gepersonaliseerd advies krijgen en hun financiën beter kunnen beheren. De lancering is gepland voor eind oktober.
Kestens: “De klant bepaalt zélf of hij zijn data al dan niet wil delen met een derde partij. Ons doel is de gebruiker financieel vooruit te helpen, door hem inzicht te bieden in zijn inkomsten en uitgaven. We zullen hem suggesties doen over hoe en waar hij kan besparen, we kunnen spaarplannen opzetten, en advies geven waar hij zijn geld het beste besteedt.”
Spencer zal de financiële data van de klanten gebruiken om geanonimiseerde statistieken en marktstudies te maken. Kestens: “Het beschermen van de persoonlijke gegevens van de klant is daarbij een basisprincipe. Spencer wil commerciële bedrijven nuttige inzichten over het gedrag van consumenten bieden, zonder dat ze toegang hebben tot de persoonlijke data. Een deel van de opbrengsten die komen van bedrijfsklanten willen we uitkeren aan de gebruikers van de app. Op die manier kunnen zij voordeel halen uit hun data en een rendement op hun zichtrekeningen halen.”
Is PSD2 een bedreiging voor de banken?
Vanaf 14 september kunnen mensen beslissen om betalingen rechtstreeks te laten verrichten door technologiebedrijven, webwinkels of betalingsbedrijven. Banken worden dan gedegradeerd tot een rol achter de schermen. Dat kan ervoor zorgen dat de banken hun inkomsten uit het betaalverkeer zien afnemen. Vermits ook de rente-inkomsten van de banken onder druk staan, zou dat geen goed nieuws zijn voor de sector. “Met betaalmiddelen valt in België weinig geld te verdienen”, nuanceert Geert Van Mol, chief digital officer van Belfius. “Het is een business die bovendien zware investeringen vergt. Wij gaan ervan uit dat de winstmarge op betalingen naar nul zal evolueren. Het heeft dan ook geen zin dat we ons verzetten tegen de openstelling van onze systemen voor concurrenten.”
Een grotere bedreiging zit in het gebruik dat nieuwe spelers maken van de transactiegegevens van een klant. “Als je drie maanden lang alle inkomsten en uitgaven van iemand monitort, kun je accuraat zijn kredietwaardigheid inschatten”, zegt Coeckelbergs. “Derde partijen zullen bankklanten dan kunnen benaderen met een gedegen kredietaanbod. Op termijn kan dat een grotere impact hebben op de sector dan de openstelling van het betaalverkeer.”
Hoe organiseren de banken de toegang tot de klanten- gegevens?
De toegang tot de IT-infrastructuur van de banken gebeurt in principe via digitale en bewaakte toegangspoortjes, de zogenoemde API’s ( application programming interface). Daarmee kunnen de banken op een gecontroleerde manier derde partijen toegang geven tot een beperkte set functionaliteiten. “Het is de enige veilige manier om een brug te slaan tussen de bank en een andere instelling”, beklemtoont Van Mol. “Door het gebruik van API’s worden paswoorden en codes niet opgeslagen.”
“Het probleem is dat de regelgever de banken of derde partijen vandaag niet verplicht met API’s te werken”, zegt Coeckelbergs. Alternatieve technieken die het toegangsproces tot een bankapp nabootsen, zoals reverse engineering en screenscraping, zijn niet verboden. BNP Paribas Fortis werkt bijvoorbeeld samen met het Zweedse fintechbedrijf Tink, dat op dit moment kiest voor deze technieken. Dat zou vanaf 14 september kunnen veranderen, want ook BNP Paribas Fortis en Tink zeggen de voorkeur te geven aan API’s. Dat derde partijen gebruikmaken van reverse engineering of screenscraping houdt volgens Van Mol grote risico’s in.
Wat zijn de risico’s voor de klant?
Veiligheid is de voornaamste bekommernis, zegt Van Mol: “Bij reverse engineering moet de klant zijn login-gegevens (paswoorden en/of toegangscodes) vrijgeven zodat de derde partij toegang kan krijgen tot zijn zichtrekening en betaalgegevens. Bovendien worden die gegevens opgeslagen. Dat is alsof u aan iemand uw bankkaart én uw pincode geeft. Dat staat volledig haaks op de veiligheidsvoorschriften van de banken.”
“Dat consumenten hun wachtwoord moeten afgeven, is heel verwarrend omdat het indruist tegen het advies dat de banken al jaren geven, namelijk nooit uw login-gegevens prijsgeven”, zegt beveiligingsspecialist Mennes. “Verwarring en onduidelijkheid zijn nooit goed voor de veiligheid. Dit vergroot de kans op phishing-aanvallen (die gebruikers hun paswoord of pincode trachten te onfutselen, nvdr) en fraude met betalingen.”
Bovendien zijn de firma’s aan wie de consument zijn identiteit en toegangscode geeft vaak kleine start-ups die als tussenpartij namens banken en technologiebedrijven werken. Even vaak werken ze met een licentie uit een Europees land met een lakser toezicht (Malta, Cyprus, Griekenland, Litouwen,…). Volgens Van Mol zit daar een groot veiligheidsrisico voor de klant: “Die bedrijven slaan alle gegevens op, maar hebben niet altijd de middelen om genoeg te investeren in cyberveiligheid, waardoor ze een groter risico lopen gehackt te worden, met frauduleus gebruik van de klantengegevens tot gevolg.”
Welke houding nemen de banken aan?
Kristof Mettepenningen, projectleider PSD2 bij de Antwerpse bank Argenta, is het eens met de opmerkingen van Belfius: “Als de klant zijn bankgegevens te gemakkelijk prijsgeeft, is er een potentieel gevaar. We weten niet of alle derde partijen te goeder trouw zijn, en hoe groot de kans op een datalek bij hen is. Er is in een certificering van deze partijen voorzien, maar voorlopig staat dat systeem nog niet op punt. Dat betekent dat als er iets mis loopt, op dit moment niemand verantwoordelijk gesteld kan worden.” Belfius is daarom van plan enkel toegang te verlenen tot partijen die werken met API’s. Van Mol: “We gaan online een lijst publiceren van instellingen waarmee Belfius een veilige link kan leggen. Voorlopig delen wij alleen klantengegevens met KBC en vice versa, omdat wij als enige Belgische instellingen in een beveiligde API-omgeving werken.”
“Wij adviseren onze klanten sowieso alert te zijn, en nooit zomaar hun toegangscodes af te geven”, zegt Inge Ampe, chief commercial officer van Argenta. “Het risico bestaat dat de klant niet weet wat hij aan wie laat zien.”
Zijn er ook risico’s voor de privacy?
“Met screenscraping of reverse engineering krijgt een derde partij toegang tot de volledige e-banking-gegevens van een klant”, waarschuwt Van Mol. “Dus niet alleen de data van de zichtrekeningen, maar ook die van de spaar- en effectenrekeningen. Dat staat haaks op de privacyvoorschriften. PSD2 is bedoeld om enkel de betaalgegevens te delen. Ik weet niet of klanten het zo fijn vinden dat ze ook alle details van hun spaargeld en beleggingen vrijgeven.”
Volgens de Belgische Gegevensbeschermingsautoriteit (GBA), de vroegere Privacycommissie, is er weinig aan de hand. Ze verwijst naar een mededeling van het overkoepelende orgaan van Europese toezichters, die zegt dat PSD2 geen inbreuk vormt op de GDPR-regels over databescherming en privacy die sinds een jaar van kracht zijn. GDPR legt een transparante communicatie op over welke data worden verzameld, hoe die worden verwerkt en waarvoor die worden gebruikt. Er zijn ook voorwaarden voor de beveiliging van de data. Als de regels van het spel gevolgd worden, ziet de GBA weinig graten in PSD2.
Wat vinden de technologiebedrijven van de houding van de banken?
Staan de banken niet gewoon op de rem omdat ze er geen belang bij hebben de betaaldata van hun klanten te delen met anderen? Die opmerking is te horen bij de fintechbedrijven, die de banken beschuldigen van vertragingsmanoeuvres: “Het is hun strategie van zelfverdediging. Banken proberen hun status als ‘betrouwbare en veilige financiële instelling’ uit te spelen om consumenten te ontmoedigen over te stappen naar nieuwe aanbieders van financiële diensten. Terwijl die pas een licentie kunnen krijgen van de toezichthouder als ze aan heel wat vereisten voldoen. Cyberveiligheid is daar een belangrijk onderdeel van.”
Spencer staat bijvoorbeeld onder streng toezicht van de Nationale Bank van België en moet voldoen aan de eisen van een betalingsinstelling, beklemtoont medeoprichter Pieter Schelfhout. “Wij hebben een streng veiligheids- en privacybeleid, dat goedgekeurd is door de Nationale Bank. Voorlopig is het onduidelijk of alle banken tegen 14 september API’s zullen aanbieden, en wat de kwaliteit ervan zal zijn. Voor ons is een API de beste toegangspoort, want de meest veilige. Maar als de API’s niet voldoen, zullen wij screenscraping gebruiken. Kijk, PSD2 verplicht de banken een brug te bouwen, en dat doen ze niet allemaal van harte. Het moet dus nog blijken hoe stabiel hun bruggen zijn.”
Wat is de houding van de financiële toezichthouder?
Als alternatieve technieken niet zo veilig zijn als een API, moet de toezichthouder dan niet ingrijpen? “Wij moeten zorgen dat de wetgeving gerespecteerd wordt”, reageert Reinout Temmerman, payments advisor bij de Nationale Bank. “Het wettelijke kader voorziet naast de API’s, of in het geval die niet goed werken, in een terugvalmechanisme. Dat bestaat erin dat derde partijen de interface van de klant kunnen gebruiken om toegang te krijgen tot zijn betaalgegevens. Dat kan bovendien enkel na identificatie van de derde partij, en daarvoor is in een certificering voorzien.”
“Wij delen de bezorgdheid van de banken over de beveiliging van de toegang tot de klantenrekeningen, maar wij kunnen geen bijkomende maatregelen opleggen over de toegang tot de betaalrekeningen”, zegt Temmerman. “Klanten kunnen voortaan hun paswoorden delen met derde partijen. Wij controleren of die te goeder trouw zijn, voldoende kapitaal aanhouden, zich aan de antiwitwasregels houden en bestand zijn tegen hackers. Als dat niet het geval is, krijgen ze geen erkenning.”
Frederic Romont van de afdeling bankentoezicht van de Nationale Bank wijst erop dat banken die enkel met API’s willen werken dat ook perfect kunnen: “Banken kunnen hun API door ons laten checken om te zien of die voldoende robuust en functioneel is en voldoet aan de vereisten van PSD2. Als dat het geval is, kunnen ze een vrijstelling aanvragen waardoor ze geen terugvalmechanisme via alternatieve technieken moeten toelaten. Wie die vrijstelling niet aanvraagt, moet altijd een terugvalmechanisme mogelijk maken.”
De Nationale Bank van België is als lokale toezichthouder verantwoordelijk voor de controle op de technische standaarden die de European Banking Authority (EBA) uitvaardigde, en voor de toekenning van licenties aan derde partijen. De instelling kende in ons land al acht licenties toe aan aanbieders van de nieuwe betalingsinitiatie- en/of rekeninginformatiediensten. Het gaat om Let’s Didid (BNP-groep), Accountable, BammBamm (Spencer), Isabel, Paynext, Worldline, Ibanfirst en Digiteal.
Wie worden de grote winnaars?
Het uitgangspunt van PSD2 was de Europese bancaire markt open te stellen voor concurrentie, bij voorkeur van kleine fintechspelers die de banken onder druk zouden zetten in innovatie, prijzen en dienstverlening. “Vooral de grote technologiespelers zullen van de betaalrichtlijn profiteren”, zegt Inge Ampe. “Zij hebben de middelen om verschillende API’s te ontwikkelen, zodat ze toegang krijgen tot de systemen van alle banken.”
Dat bijvoorbeeld Google, Facebook, Amazon en Alibaba erg geïnteresseerd zijn in de betaalgegevens van consumenten hoeft niet te verbazen. “Ze zitten al op een schat aan persoonlijke data. Zodra ze ook de historiek van een zichtrekening kunnen inkijken, weten ze alles over het koop- en bestedingsgedrag van een consument. En als ze met screenscraping ook nog eens de hand kunnen leggen op de informatie over de spaarmiddelen en de beleggingen is het plaatje nagenoeg rond”, besluit Ampe.
In de praktijk dreigen de financiële data van consumenten te worden overgeheveld naar de al oppermachtige technologiebedrijven, constateren Nederlandse onderzoekers die zopas een opiniestuk publiceerden in de krant NRC Handelsblad. “Technologiereuzen spinnen er garen bij om ook financiële data van consumenten toe te voegen aan de gebruikersprofielen. Met hun kapitaal en kennis van het bouwen van grootschalige digitale infrastructuur zijn ze in staat in een handomdraai ook in de financiëledienstensector een aanzienlijk marktaandeel te veroveren. Zo dreigen de ‘datasilo’s’ van banken op te gaan in de al overvolle dataschuren van bigtechbedrijven”, waarschuwen zij.
Er is al jaren sprake van dat technologiereuzen als Google of Facebook banken kunnen worden. Peter Van Hees, medeoprichter van Spencer, ziet dat anders: “Het is de bigtechspelers enkel om de data te doen. Het klopt dat ze, in combinatie met hun eigen data, betere kredietscores van de klanten kunnen maken dan de banken vandaag kunnen. Maar dan zullen ze die scores als een bijkomende parameter gebruiken om financiële instellingen een bepaalde doelgroep te laten bereiken. Facebook zou bijvoorbeeld een reclame enkel kunnen laten zien aan mensen met een goede kredietscore. De bijkomende data zullen het businessmodel van de bigtechspelers versterken, maar niet veranderen. Zij hebben liever dat het kredietrisico bij iemand anders zit, en aan de vele verplichtingen en regels van een financiële instelling willen ze al helemaal niet beginnen.”
Let op wat u doet
PSD2, de nieuwe Europese betaalrichtlijn, ontsluit het betaalverkeer en de rekeninginformatie voor derden. Vanaf 14 september kunnen we al onze zichtrekeningen beheren in apps van concurrerende banken, en bij andere bedrijven met een betalingslicentie. We moeten wel expliciet onze toestemming geven om betaalgegevens te delen. De banken zullen u vragen dat met een pincode of een wachtwoord te bevestigen. Let er goed op dat u dat binnen uw gebruikelijke onlinebankdienst doet, want oplichters kunnen via fake websites uw gegevens ontfutselen.
Een ander gevolg is dat u in webshops soms een extra veiligheidsprocedure moet doorlopen om met een kredietkaart te betalen. De drie cijfertjes op de achterzijde van de kaart, de zogenoemde statische verificatiecode, volstaat dan niet langer. Een extra bevestiging met een paswoord of een pincode, wat in België al veel voorkwam, wordt de norm. Een aantal Europese landen is daar niet klaar voor. Daarom wordt bijvoorbeeld in Frankrijk en het Verenigd Koninkrijk PSD2 geleidelijk ingevoerd in webwinkels. In België beraadt de Nationale Bank zich hierover.
Fout opgemerkt of meer nieuws? Meld het hier