Skip to content

PSD2: Commissie verstrekt langverwachte updates over Regulatory Technical Standards RTS en ‘Screen-Scraping’

Veel Europese banken, bankverenigingen en fintech-bedrijven wachten momenteel op de goedkeuring door de Europese Commissie en het Europees Parlement van de Regulatory Technical Standards (RTS) inzake sterke klantenauthenticatie (SCA) en gemeenschappelijke en veilige communicatiemiddelen (CSC). In deze RTS worden de technische vereisten voor de communicatie-interfaces (API’ s) gedefinieerd die banken in de toekomst aan Third Party Providers (TPP’ s) moeten verstrekken. Tevens wordt gespecificeerd hoe banken gebruikers moeten authenticeren wanneer zij een betaalrekening openen of een betaling initiëren.

De meest recente evolutie met betrekking tot RTS dateert van juni. De Europese Banking Authority (EBA) heeft destijds haar advies gepubliceerd over de door de Europese Commissie voorgestelde wijzigingen in het zogenaamde definitieve RTS-ontwerp van de EBA. Uit het advies van de EBA bleek dat de EBA en de Commissie van mening verschilden over de noodzaak voor banken om een ‘fall-back’-communicatie-interface te bieden op basis van ‘screen scraping’ ingeval de API-gebaseerde interface van een bank niet beschikbaar zou zijn of niet naar behoren zou functioneren. De EBA en de financiële instellingen waren geen voorstander van de noodzaak van een dergelijke fall-back interface. De Commissie en de TPP’s hebben daarentegen verzocht dit in het RTS op te nemen.

Tijdens de NextGenPSD2-conferentie van de Groep in Berlijn op 25 oktober jongstleden heeft een vertegenwoordiger van de Europese Commissie een langverwachte update verstrekt. De heer Ralf Jacob besprak de tijdlijnen voor de RTS en lichtte de aanpak van de communicatie-interface toe.

Met betrekking tot tijdlijnen legde de heer Jacob uit dat de tekst van het RTS klaar is en dat deze op dit moment wordt vertaald. De RTS zal naar verwachting rond 25 november worden gepubliceerd. Om officieel te worden moet het RTS in het Publicatieblad van de Europese Unie worden bekendgemaakt, dat eind februari 2018 moet verschijnen. De RTS wordt 18 maanden later, in augustus 2019, van kracht.

De Commissie stelt voor de catch-22-situatie met betrekking tot de communicatie-interface op te lossen door banken niet te verplichten een fall-back interface op basis van ‘screen scraping’ aan te bieden, indien hun op API gebaseerde communicatie-interface naar behoren functioneert. Op het eerste gezicht lijkt de Commissie de door de EBA en de banken voorgestelde aanpak te volgen. De duivel zit echter in de details: de criteria om te bepalen of een bepaalde API-gebaseerde interface adequaat functioneert, zullen worden gedefinieerd door een nieuw orgaan voor de industrie, bestaande uit vertegenwoordigers van zowel banken als TPP’ s. Op deze manier verlegt de Commissie de verantwoordelijkheid voor het vaststellen van criteria naar de marktdeelnemers en zorgt zij ervoor dat TPP’s zeggenschap krijgen over de kwaliteit van op API gebaseerde interfaces die door banken moeten worden geleverd.

Al met al is de door de Commissie voorgestelde aanpak in hoge mate gunstig voor op API gebaseerde interfaces en probeert zij een einde te maken aan de praktijk van het schrapen van schermen, die allang had moeten plaatsvinden.

De mededeling van de Commissie op de NextGenPSD2-conferentie maakt een einde aan enkele maanden van stilzwijgen op het gebied van regelgeving en geeft een nieuwe impuls aan het PSD2 -implementatieproces. Het is nu aan organisaties zoals The Berlin Group, Open Banking UK en STET om hun API-normen af te ronden EN aan banken om beslissingen te nemen over hun procedures voor een sterke klantenauthenticatie.

Frederik Mennes – VASCO Data Security

No comments yet

Leave a Reply

You may use basic HTML in your comments. Your email address will not be published.

Subscribe to this comment feed via RSS

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.