Een half jaar na AVG en PSD2: hoe gaat het met de banken?

Banken staan voor een existentiële keuze: worden ze een nutsbedrijf of een coördinerende hub die alles samenbrengt? Regelgeving voor betaaldiensten zoals PSD2 en AVG zullen een enorme impact hebben op het bankwezen. PSD2 is in verschillende opzichten een grote kans. Hoe moeten banken hierop inspelen en wat is de beste timing om te beginnen met de planning voor de post-PSD2 wereld?

De herziene Payment Services Directive (PSD2), die van kracht is sinds januari 2018, heeft als doel om Europese betaaldiensten te moderniseren en voordelen te bieden aan zowel bedrijven als consumenten. Ook de Algemene Verordening Gegevensbescherming (AVG) trad dit jaar in werking en er werden enorme veranderingen verwacht op het gebied van processen, data management en klantrelaties.

Waar PSD2 zich richt op het vergroten van concurrentie op de betaalmarkt door banken te verplichten hun APIs beschikbaar te stellen voor derde partijen (TPPs), is het doel van AVG om de bescherming van persoonsgegevens te versterken door individuen meer controle te geven. Banken en fintechs hebben moeite om beiden in te voeren. Aan de ene kant moeten ze van PSD2 hun data delen, terwijl de AVG ze aan andere kant verplicht om data te beschermen.

Meer dan zeven maanden na de PSD2 kick-off bevindt Europa zich duidelijk nog steeds in het beginstadium van open banking en is er nog veel werk aan de winkel op het gebied van technische integratie. Bovendien is er nog steeds een gebrek aan API standaardisatie in de EU. Veel verschillende partijen werken aan initiatieven voor een standaard. De bekendste – de Berlin Group – heeft een gezamenlijke API standaard gedefinieerd genaamd NextGenPSD2 waar veertig banken, verenigingen en PSPs uit heel Europa zich aan hebben verbonden. Toch lukt het NextGenPSD2 nog niet om de algemene standaard te worden omdat er tegelijkertijd andere initiatieven worden gelanceerd, zoals de Open Banking UK API standaard, de PolishAPl of de Franse STET.

Een andere uitdaging zijn de constant veranderende regels in combinatie met een gebrek aan standaarden. In maart werden de definitieve Regulatory Technical Standards (RTS) voor klantauthenticatie gepubliceerd. Deze standaarden specificeren alleen de voorwaarden voor het technische framework, maar niet voor de interface. In mei gingen nieuwe EU regels van kracht, met strenge, nieuwe grenzen voor de informatie die bedrijven over hun klanten kunnen verzamelen en hoe ze deze informatie mogen gebruiken.

Onzekerheid en de complexe technische en juridische eisen voor AVG en PSD2 zijn de grootste zorgen voor banken en fintechs in 2018, en misschien de reden voor de trage invoering. Banken als betalingsdienstaanbieder vrezen dat ze misschien niet voldoen aan de AVG, iets dat veroorzaakt kan worden door juist te voldoen aan de PSD2, en dat kan leiden tot een boete van 4 procent van de wereldwijde omzet.

Desondanks, lijkt het momentum indrukwekkend nu de statistieken binnenkomen. De Open Banking Implementation Authority (OBIE) claimt bijvoorbeeld 1.2 miljoen toepassingen van open banking APIs in juni (ten opzichte van 720.000 in mei). En in dezelfde maand werd een andere mijlpaal bereikt met de eerste betaalinitiatiedienstverlener die een end-to-end betaling uitvoerde met een publieke API.

Het lijkt erop dat de meeste banken ‘er nog niet zijn’. PSD2 en AVG blijven banken en andere traditionele financiële entiteiten in 2018 verplichten om voortdurend stoomcursussen te volgen in user-centered denken, cybersecurity en API management. Fintechs spelen hierin als partners een cruciale rol, omdat zij kunnen helpen met gerichte kennis, lagere risico-overgang en flexibiliteit ten aanzien van toekomstige veranderingen. Er is nog steeds veel werk aan de winkel om PSD2 en AVG volledig in te voeren, maar de algemene overtuiging is dat deze twee richtlijnen meer een kans dan een bedreiging zijn.