We staan in België aan de vooravond van een grondige verandering in de bankensector. PSD2 moet ervoor zorgen dat rekeningen worden opgesteld, dat er geen extra kosten meer zijn bij bepaalde betaalmethodes en dat veiligheid absolute prioriteit geniet met tweestapsverificatie. Wat verandert er voor jou?
De kans is groot dat je nog nooit van PSD2 hebt gehoord. PSD staat voor Payment Services Directive, waar PSD2 de tweede versie is. PSD1 heeft in 2007 nieuwe regels rond domiciliëring toegevoegd (IBAN- en BIC-codes) binnen Europa en laat ons toe om veilig online te bankieren via mobiel of desktop. Alles wat we vandaag doen op vlak van online bankieren, heeft zijn wortels in PSD1.
Dit voorjaar wordt PSD2 in België uitgerold nadat het op 13 januari in de nationale wetgeving werd doorgevoerd. Alle EU-lidstaten mogen zelf kiezen hoe snel PSD2 wordt geïntegreerd. In tegenstelling tot GDPR is PSD2 geen Europese wet met een vaste deadline waar iedereen zich aan moet houden. PSD2 staat nu in onze nationale wetgeving genoteerd; nu is het aan de verschillende banken om de nodige stappen te zetten om compliant te zijn.
Openstelling van rekeningen
Het belangrijkste onderdeel van PSD2 is zonder twijfel de openstelling van de rekeningen. Dit betekent dat derde partijen beroep kunnen doen op je rekeninginformatie, betalingen kunnen doen en het saldo kunnen nakijken. Mooi voorbeeld hierin is Payconiq. Je kan door een samenwerking met ING, KBC en Belfius direct een koppeling maken met je rekeningen. Een paar selecties is genoeg om met de slimme betaalapp aan de slag te gaan.
Met andere banken moet je echter eerst een transactie doen van 1 cent naar de rekening van Payconiq zodat ze jouw identiteit kunnen verifiëren. Hiermee verlies je enkele dagen, wat niet bepaald gebruiksvriendelijk is. Met PSD2 is dat niet meer nodig en kan Payconiq voortaan direct aan je gegevens wanneer jij goedkeuring geeft en de bank PSD2-compliant is.
Frederik Mennes, Senior Manager Market & Security Strategy bij Vasco Data Security en adviseur binnen de PSD2-groep gaat een stap verder: “Van zodra een bank PSD2-compliant is, kan elke erkende dienst beroep doen op je rekeninginformatie en betalingen voor je uitvoeren. Kijk bijvoorbeeld naar de KBC Mobile-app vandaag. Daar kan je nu al rekeningen toevoegen van Argenta, Belfius, BNP Paribas Fortis en ING. Het enige wat je daarvoor nodig hebt, is eenmalig een verificatie door middel van een kaartlezer van de andere bank.”
Facebook & Amazon
De grote vraag is natuurlijk wat een ‘erkende dienst’ is. Wie verder denkt, komt automatisch bij internationale diensten uit zoals bv. Facebook, Google, Apple of Amazon. Zij kunnen jouw gegevens raadplegen en weten voortaan perfect wanneer je loon wordt gestort zodat ze promo’s kunnen doorsturen. Of gaat dat te ver? “Het is belangrijk wanneer een derde partij je rekeninggegevens wil ontvangen, dat je daarvoor ook expliciet goedkeuring voor geeft. Je kan namelijk niet zomaar de voorwaarden in een lijst van 50 pagina’s verwerken onder de titel ‘Algemene voorwaarden’,” zegt Frederik Mennes.
Het is volgens Mennes ook belangrijk om het totale beeld te vatten. “PSD2 gaat ervoor zorgen dat het gebruiksgemak verhoogt. Je zal in de toekomst veel eenvoudiger kunnen betalen door slimme integraties van derde partijen. Het is enerzijds wel griezelig dat ze heel wat info van ons te weten komen, maar derde partijen kunnen ons leven tegelijk heel sterk vereenvoudigen.”
Bijkomend voordeel van PSD2 is dat online shops geen extra kosten meer mogen aanrekenen. Nu gebeurt dat regelmatig nog door een vast bedrag te vragen voor betalingen met een kredietkaart. Dat zal in de nabije toekomst niet meer van toepassing zijn.
Tweestapsverificatie
PSD2 wordt in één adem altijd besproken met openstelling van de rekeningen, maar de verbeterde veiligheid erachter is net zo belangrijk. Frederik Mennes: “Naast innovaties in betalen staat PSD2 ook voor betere bescherming in geval van fraude en verbeteren we het veiligheidsniveau door middel van tweestapsverificatie.”
Die laatste is een belangrijke evolutie wanneer we het over mobiel betalen hebben. België is voorloper op vlak van mobiel bankieren: meer dan 50 procent bankiert mobiel volgens Vasco Data Security. Een pincode is al een degelijke beveiliging, maar het is nodig om verder te gaan op vlak van veiligheid. Mennes: “PSD2 is cruciaal om die verhoogde veiligheid te garanderen. Tweestapsverificatie wordt verplicht. Je kan kiezen uit drie mogelijkheden: iets dat je weet (pincode, wachtwoord), iets dat je hebt (hardware token) en iets wat je bent (vingerafdruk, irisscan). We merken nu al dat bepaalde bank-apps en Payconiq een vingerafdruk integreren als extra verificatie, maar de bedoeling met PSD2 is dat dit voortaan standaard de norm is.”
Bescherming tegen fraude
Fraudebescherming is een tweede securitypoot die belangrijk is volgens Mennes. “Vasco Data Security werkt samen met 2.000 banken wereldwijd om fraude tegen te gaan. We hebben een gigantische dataset ter beschikking die dankzij machine learning een artificiële intelligentie traint. Stel dat bijvoorbeeld ineens een transactie om middernacht gebeurt vanaf een Chinees ip-adres, dan gaan we dat onderdrukken zodat die wordt geblokkeerd omdat het niet past binnen je gebruikspatroon.”
Naast een slimme AI is het ook de bedoeling van Vasco om samen met de banken ervoor te zorgen dat hun apps zo veilig mogelijk zijn. Zo leveren ze een toolset aan banken die automatisch een overlay detecteren bovenop de app om valse betalingen te voorkomen. Er is bijvoorbeeld ook root/jailbreak-detectie wat kan betekenen dat je toestel gehackt is en misbruikt kan worden.
Nieuwe investeringen
De banken worden nu overigens verplicht om te investeren in hun applicaties om PSD2-compliant te zijn. Dat betekent dat de consument hierbij altijd wint, terwijl derde partijen zoals fintech-bedrijven nieuwe toepassingen kunnen verzinnen om ons leven eenvoudiger te maken. Privacy is wel nog altijd een belangrijk gegeven.
De open standaard van PSD2 geeft bedrijven heel wat financiële informatie, maar die kunnen ze pas raadplegen wanneer de gebruiker daar expliciet goedkeuring over geeft. Mennes geeft nog mee: “De awareness rond GDPR en privacy valt handig samen met PSD2, zodat banken wel een inspanning moeten leveren om compliant te zijn. Derde partijen zoals fintech-bedrijven kunnen niet zomaar gegevens van klanten misbruiken door de strenge privacyregels, iets wat bij GDPR van cruciaal belang is.”