Kannanotto 10.1.2018 – 1/2018

Kannanotto PSD2-siirtymäajan tilanteesta

PSD2:n kansallinen voimaantulo

Uudistetun maksupalveludirektiivin (PSD2) edellyttämät muutokset maksupalvelulakiin ja maksulaitoslakiin tulevat voimaan Suomessa pääosin 13.1.2018. Direktiivin nojalla annetaan myös komission asetus teknisistä sääntelystandardeista asiakkaan vahvasta tunnistamisesta ja turvallisesta kommunikaatiosta. Asetus tulee voimaan 18 kk kuluttua sen julkaisusta virallisessa lehdessä. Tällä hetkellä asetuksen odotetaan tulevan voimaan syksyllä 2019.

Kansallisten lainmuutosten ja komission asetuksen eriaikaiset voimaantulot tuovat haasteita sekä pankeille toteuttaa uudet rajapinnat uusille maksupalveluille että palveluntarjoajille alkaa tarjota uusia maksupalveluita asiakkaille.

Siirtymäajan menettelytavat uusien maksupalvelujen tarjoamisessa
Uusilla maksupalveluntarjoajilla, jotka ovat saaneet luvan Finanssivalvonnalta tai toisen jäsenvaltion valvovalta viranomaiselta, on oikeus tarjota maksutoimeksianto- tai tilitietopalveluita asiakkaille 13.1.2018 alkaen. Myös luottolaitokset ja nykyiset maksulaitokset voivat alkaa tarjota uusia maksupalveluita.

Uuden sääntelyn keskeisiin periaatteisiin kuuluvat:

  • kielto tilinpitäjäpankeille estää kolmansia palveluntarjoajia tarjoamasta uusia maksupalveluita; sekä
  • tilinpitäjäpankkien velvollisuus sallia kolmansien palveluntarjoajien hyödyntää uusia maksupalveluita tarjotessaan vahvan tunnistamisen menettelyä, jonka tilinpitäjäpankki tarjoaa asiakkaalle.

Uusien maksupalvelujen tarjoaminen edellyttää tilinpitäjäpankeilta rajapinnan rakentamista sekä asiakkaan tilitietoihin pääsyä että maksutoimeksiantoja varten. Koska rajapintoja koskevat komission asetuksessa määritellyt tekniset turvallisuusvaatimukset eivät ole vielä voimassa, ei pankeilla lainmuutosten voimaan tullessa välttämättä vielä ole tarjolla uusia rajapintoja, joiden avulla uusia maksupalveluja voitaisiin tarjota asiakkaille. Jotta uusia maksupalveluita voitaisiin siirtymäajalla tarjota, tulisi pankkien lain voimaantultua tarjota joko asetuksen mukainen rajapinta tai vaihtoehtoinen tilapäinen rajapinta maksutoimeksiantopalveluiden ja tilitietopalveluiden tarjoamiseen.

Tässä sääntelytilanteessa vaihtoehdoksi on ehdotettu asiakasrajapinnan hyödyntämistä nk. screen scraping -menetelmällä. Tällöin uusien maksupalvelujen tarjoaja hyödyntäisi samaa rajapintaa, jota asiakas käyttää tällä hetkellä kirjautuessaan verkkopankkiin. Euroopan pankkiviranomainen EBA on 19.12.2017 julkaisemassaan mielipiteessä1 pitänyt sen käyttöä mahdollisena siirtymäaikana.

Finanssivalvonnan kanta screen scrapingiin

Finanssivalvonta katsoo, että Suomessa ei voi käyttää asiakasrajapintaa screen scraping -menetelmällä2 uusien maksupalvelujen tarjoamisessa, ellei jäljempänä Fivan näkemyksessä mainittuja ehtoja pysty täyttämään.

Finanssivalvonnan kanta perustuu seuraaviin seikkoihin:

Suomessa 13.1.2018 voimaantulevan maksupalvelulain mukaan palveluntarjoajan on tunnistauduttava pankille aina kun maksutapahtuma käynnistetään maksutoimeksiantopalveluntarjoajan välityksellä tai aina kun viestintätapahtuma suoritetaan tilitietopalveluntarjoajan välityksellä.

Asiakasrajapinnan hyödyntämisessä asiakas joutuisi antamaan verkkopankkitunnukset kolmannen palveluntarjoajan käyttöön tavalla, jossa kolmas palveluntarjoaja kirjautuisi asiakkaan nimissä tämän verkkopankkiin. Palveluntarjoaja ei tällä menetelmällä pystyisi täyttämään omaa lainsäädännön edellyttämää tunnistautumisvelvollisuuttaan tilinpitäjäpankille.

Finanssivalvonta katsoo, että kolmannen palveluntarjoajan tunnistautuminen tilinpitäjäpankille on uuden sääntelyn keskeinen velvoite. Sekä turvallisuus- että vastuunjakosyistä tähän vaatimukseen tulee suhtautua vakavasti. Tunnistautuminen tulee siirtymäaikanakin toteuttaa riittävän luotettavalla ja turvallisella tavalla. Esimerkiksi palveluntarjoajan IP-osoitteen lähettämistä tilinpitäjäpankille ei voida pitää riittävän turvallisena tunnistautumistapana mm. siihen sisältyvän väärinkäytösriskin (IP-osoite on mahdollista väärentää) takia.

Finanssivalvonta katsoo myös, että asiakasrajapinnan käyttö screen scraping -menetelmällä ei ole riittävän luotettava asiointitapa mm. sen vuoksi, että se mahdollistaa pääsyn yksilöityjen maksutilitietojen lisäksi myös muihin asiakkaan verkkopankissa oleviin tietoihin, mihin uusi sääntely ei anna oikeutta.

Finanssivalvonta toteaa myös, että asiakasrajapinnan käyttö asiakkaan verkkopankkitunnuksia käyttäen kolmansien palveluntarjoajien maksutoimeksiantopalveluissa tai tilitietopalveluissa ei ole ollut Suomessa voimassa olevan maksupalvelulain mukaista. Tämän vuoksi palveluntarjoajat eivät voi Suomessa tarjota siirtymäaikana näitä palveluja edes direktiivin 115 artiklan 5 kohdan poikkeusäännöksen perusteella. Myös EBA on edellä mainitussa mielipiteessään tuonut esiin sen, että screen scraping -menetelmää ei tarvitse siirtymäaikana hyväksyä, jos se on tähän asti ollut kansallisen lainsäädännön mukaan kiellettyä.

Finanssivalvonnan näkemys siirtymäajalle

Finanssivalvonta tuo esiin sen, että asiakasrajapintaa on mahdollista hyödyntää siirtymäaikana, mikäli kolmannen palveluntarjoajan tunnistautuminen pystytään toteuttamaan riittävän luotettavalla ja turvallisella tavalla ja pääsy asiakkaan tietoihin pystytään rajaamaan vain asiakkaan nimeämiin maksutilitietoihin.

Finanssivalvonta kannustaa kuitenkin kaikkia osapuolia täyttämään komission asetuksen vaatimukset erityisesti rajapintojen toteuttamisessa sekä eri osapuolten tunnistautumisessa mahdollisimman pian jo ennen sen voimaantuloa.

Kannanotollaan Finanssivalvonta pyrkii varmistamaan turvallisen ja luotettavan asioinnin maksupalveluissa siirtymäaikana. 

Lisätietoja antavat

  • lakimies Sanna Atrila, puh (09) 183 5552, sanna.atrila(at)finanssivalvonta.fi
  • riskiasiantuntija Erja Pullinen, puh. (09) 183 5358, erja.pullinen(at)finanssivalvonta.fi
     

1 Opinion of the European Banking Authority on the transition from PSD1 to PSD2 (pdf)

2 Screen scrapingillä tarkoitetaan nk. kuvaruutukaappaus-menetelmää, jolla kolmas palveluntarjoaja kirjautuu asiakkaan omaan verkkopankkiin asiakkaan nimissä asiakkaan syöttäessä verkkopankkitunnukset kolmannen palveluntarjoajan palveluun.