De deadline van 14 september 2019 rond sterke authenticatie kan verschoven worden. De Europese Bankautoriteit (EBA) heeft meer uitleg gegeven rond het uitstel dat van invloed is voor fintech en banken.
Volgens die richtlijnen moeten alle aanbieders van financiële diensten tweestapsverificatie ondersteunen. De beveiliging moet twee van deze drie elementen bevatten: iets dat de gebruiker heeft (bv app op een smartphone wanneer die gebonden is aan het toestel waarop het draait), iets dat de gebruiker weet (bv een pincode) en iets dat de gebruiker is (bv een vingerafdruk).
De deadline van 14 september blijft behouden, maar de aangeduide bevoegde autoriteiten (bijvoorbeeld nationale banken) kunnen een uitzondering toestaan aan specifieke Payment Service Providers (PSPs), waaronder banken en derde partijen, om te voldoen aan de authenticatievereisten. De bedrijven die extra tijd nodig hebben, moeten een gedetailleerd plan voorzien aan hun bevoegde autoriteit, en die moet dat plan goedkeuren.
Extra duiding
Frederik Mennes, Director Product Security bij OneSpan, geeft extra uitleg rond de flexibele deadline. “Het statement van de EBA geeft interessante uitleg over de gebruikelijke authenticatiemethodes voor de Strong Customer Authentication (SCA – sterke authenticatie) van PSD2. Het laat de bevoegde autoriteiten toe om uitzonderlijk extra tijd toe te staan aan bepaalde betaaldiensten, zodat ze toch kunnen voldoen aan de vereisten. Toch rijzen er ook enkele vragen.”
Mennes laat weten dat het statement vooral voor kaartuitgevers , kaartverwerkers en handelaars geldt als het gaat om een mogelijk uitstel. “Vermoedelijk komen de meeste aanvragen voor een uitstel van e-commercespelers. Dit kan erop wijzen dat de bevoegde autoriteiten enkel meer tijd zullen toekennen voor betalingen met kaart in een e-commerce-omgeving, en wellicht niet voor andere applicaties die sterke authenticatie vragen, zoals online en mobiel bankieren.“
De EBA spreekt enkel over de implementatie van de sterke authenticatie, en niet over extra tijd voor het implementeren van de Open Banking APIs, de andere pijler van PSD2. Tot nu toe ging de introductie van de Open Banking APIs hand in hand met de sterke authenticatie en volgden ze dezelfde tijdlijn, met 14 september 2019 als deadline. “Het statement voorziet nu meer tijd voor sterke authenticatie, maar blijkbaar niet voor de Open Banking APIs”, zegt Mennes. “Ten gevolge daarvan kunnen sommige betaaldiensten Open Banking APIs aanbieden zonder sterke authenticatie. De vraag is of de EBA dat daadwerkelijk zal toestaan.”
Gerelateerd: De vloek en zegen van PSD2: wat gebeurt er binnenkort met je geld?