EU-kommisjonen har lagt frem et nytt direktiv for betalingstjenester PSD3 og en ny forordning om datatilgang FIDA som får vidtrekkende konsekvenser for hele finansbransjen, ikke bare bankene. Forslagene fra EU-kommisjonen behandles i 2024, men det er ikke klart når de trer i kraft. 

Bankene har i flere år måttet forholde seg til EUs andre direktiv for betalingstjenester PSD2 (Payment Services Directive 2). Direktivet skulle gjøre det mulig for nye aktører å få tilgang til kundedata såfremt bankkunden ga samtykke. Det har til nå ikke ført til mange nye tjenester og til økt konkurranse som Kommisjonen hadde håpet på.  

PSD3, PSR og FIDA 

Forkortelser i fleng, men vi skal ta dem i tur og orden (se også faktaboks). 

I juni 2023 la Kommisjonen frem forslag til forbedringer av betalingstjenestene med en ny versjon av direktivet for betalingstjenester PSD3, supplert med en nye forordning for betalingstjenester PSR (Payment Service Regulation). Til sammen skal de forbedre det som ble lansert som «open banking» i PSD2. 

Samtidig la Kommisjonen frem et forslag til et rammeverk for deling av finansielle data, Financial Data Access (FIDA). Det vil gjelde alle aktører i finansbransjen i en «open finance»-verden. I forslaget blir finansselskapene pålagt en rekke krav, særlig når det gjelder deling av data, men også når det gjelder datasikkerhet, erstatning ved svindel og kompensasjon til dem som må dele data. 

EU-kommisjonen ønsker å sikre kundene mot svindel, gi dem full styring på hvem som har tilgang til deres kundedata, og åpne for nye, billigere og bedre tjenester. 

TREKLØVER 

EU-kommisjonen deler aktørene i tre grupper: De som sitter på data, «data holders», de som vil bruke data, «data users» og kundene. 

Når de nye lovene er på plass, skal for eksempel et fintech-selskap kunne hente data fra et forsikringsselskap for å tilby nye tjenester til sin kunde. Kunden har på forhånd gitt tillatelse til deling av dataene fra forsikringsselskapet.  

En viktig del av forslaget er et nytt og lett tilgjengelig kundedashbord. Der skal kunden få full oversikt over hvilke selskaper som deler og bruker hens data, og på en enkel måte gi og trekke tilbake tillatelser. 

UTFORDRING FOR ALLE AKTØRENE 

De fleste etablerte banker, forsikringsselskaper og andre finansinstitusjoner sitter på IT-systemer som ikke er bygget for deling av data. Det blir derfor mye å gjøre for iT-avdelingene fremover. 

I forslagene ligger det flere nye elementer som aktørene må ta hensyn til. 

Dersom en kunde blir utsatt for sosial svindel der svindleren utgir seg for å være fra en bankansatt (spoofing), skal hen ha rett på erstatning. 

Finansinstitusjonen som sitter på kundedata, skal få rett til å kreve inn et gebyr fra dem som bruker dataene. Gebyret skal i prinsippet ikke være større enn kostnadene ved å dele dataene.  

FIDA KATALYSATOR 

Daglig leder Stefan Astroza og analysesjef Petter Nybakk i rådgivningsselskapet Cicero Consulting har dukket ned i forslagene fra EU. De mener det spennende og nye ligger i forslaget til Financial Data Access (FIDA). 

– PSD3 og PSR skal fikse det som ikke fungerte i PSD2, og gjøre det tydeligere hvordan utveksling av informasjon om betalinger skal fungere i praksis. Men betaling er bare en del av kundenes finansielle situasjon. FIDA blir katalysatoren for «open finance», det vil si for andre produkter enn betalingsprodukter, sier Astroza. 

Produkter som boliglån, skadeforsikring, pensjon og kryptovaluta vil omfattes av datadelingen regulert av FIDA. Noen produkter som uføreforsikring, sykeforsikring og livsforsikring, er unntatt av personvernhensyn. 

Nybakk sier at en av de viktige nyhetene i FIDA, er at kunden skal få tilgang til et dashbord der kunden styrer og kontrollerer hvilke aktører som får tilgang til deres data. 

– Alle selskapene som har et kundeforhold, plikter å gjøre et slikt grensesnitt tilgjengelig, der du som kunde kan se hva slags data de har om deg og eventuelt kan dele dem med andre aktører, sier han. 

Mens bankene allerede har kommet langt med å dele data, har andre aktører i finansbransjen en vei å gå. Astroza tror forsikringsselskapene har en kjempestor ryddesjau foran seg.  

– Her snakker vi om å gjøre komplekse data på produktnivå tilgjengelig, data som ikke nødvendigvis er lagt opp til at de skal kunne deles med med tredjepart. Den store jobben er å forstå hvordan dette skal gjøres praktisk og teknisk, sier han. 

IF KOBLET PÅ 

Elisabeth Falck som leder utviklingen av API-er og tilgangskontroll (IAM) i skadeforsikringsselskapet If, sier de allerede deler data med flere hundre av sine partnere i Norden og Baltikum hver eneste dag. 

– Det kan for eksempel være bilforhandlere som selger forsikring på vegne av If, veiassistanseselskaper som skal sjekke dekningen kunden har hos oss, eller reiseassistanseselskaper som håndterer kundehenvendelser på vegne av oss, sier hun. 

If har lagt opp til strenge kontrollrutiner for slike eksterne brukere. 

– De eksterne som skal bruke våre API-er, må gjennom en juridisk prosess og en teknisk onboarding-prosess for å sikre at data blir brukt på best mulig måte. Vi må beskytte API-ene. Man kan ikke stole på noen og må ha teknisk kontroll på dem som får tilgang, sier hun. 

Denne erfaringen vil If dra nytte av når FIDA trer i kraft.  

En del av FIDA er at kundene skal få tilgang til et dashbord der de kan kontrollere og styre hvem som har tilgang til deres data. Falck antyder hvordan det kan skje og mener det er naturlig at de som sitter på dataene (data holder) håndterer dashbordet. 

Et scenario er at en kunde går inn på hjemmesiden til et fintech-selskap og gir samtykke å dele sin kundeinformasjon og sine forsikringsprodukter fra If. Da vil If (data holder) autentisere kunden og be om kundens samtykke før dataflyten til fintech-selskapet (data user) åpnes via Ifs API-er. Forutsetningen er at fintech-selskapet er sertifisert i henhold til reguleringene fra EU. 

TIDSPLAN 

Innholdet i et nytt EU-direktiv må tas inn som lov i det enkelte land, mens en EU-forordning (regulations) får virkning for alle selskapene i EU/EØS direkte. 

Den endelige versjonen av direktivet PSD3 er ventet i 2024. Hvert land må deretter ta dette inn i sine lover, noe som fort kan ta et par år. De endelige forslagene til PSR og FIDA er ventet i slutten av 2024. Forordningene skal deretter behandles og vedtas i EU-parlamentet og i Europa-rådet, noe som tidligst er ventet å skje i 2025. 

FAKTA  

Open banking 

PSD2 Payment Services Directive 2, med deling av kundedata for betalingstjenester.  

PSD3 Payment Services Directive 3, styrking av betalingstjenestedirektivet. 

PSR Payment Services Regulation, strengere krav til betalingsaktørene. 

Open finance 

FIDA Financial Data Access Framework skal sikre at alle finansaktører deler data, og at kundene får mer oversikt. 

Data holder: Selskapene som sitter på kundedataene. 

Data user: Selskapene som vil bruke kundedataene til å tilby nye tjenester. 

Dashboard: Nettside der kunden kan se hvilke aktører som har fått tillatelse til å hente data, samt hvilke data som er delt. Kunden skal når som helst kunne slå tillatelsen på og av.