PSD2: Bankene må unngå digitale bankran

19/09/19

– Vi kommer trolig til å la banken passe på lønna vår, men vi kommer til å betale via Google, Facebook og andre, sier fintech-rådgiver i PwC, Lars Erik Fjørtoft.

– Det er stor sannsynlighet for at kriminelle vil forsøke å gjøre organiserte digitale bankran. De vil bruke de nye dørene som bankene nå pålegges å åpne for å gi enklere tilgang (API-er) til kundenes bankkontoer. Europeiske finanstilsyn har en stor oppgave å vurdere om cybersikkerheten er god nok i reguleringen de pålegger bankene å følge, sier Fjørtoft som hjelper banker i hele Norge med blant annet datasikkerhet.

PSD2: Alle bankkonti i en app

Som kunde betyr PSD2 blant annet at du kan få alle bankkontoene dine opp i samme app. For bankene betyr det at hvem som helst med konsesjon fra europeiske finanstilsyn kan tilby betalingstjenester og hente penger fra kundenes konto. Det er bare en liten hake.

Vanskelig teknisk å få til sterk autentisering av kunder

– Alle som har jobbet med betalingsinfrastruktur vet at djevelen er i detaljene. Det har vist seg krevende å lage en presis nok regulering og få nok trykk på utrullingen – og dermed åpnes det for at den praktiske innføringen av PSD2 blir utsatt, sier Fjørtoft. Det som er spesielt krevende er den tekniske standarden for sterk autentisering av kunder som trer i kraft fra 14. september 2019. 

Hurra for EU, men nå må de bare ro det i land

– Vi kan utvilsomt konstatere at PSD2 har vært og er en enorm suksess. Uten trykket fra EU og vissheten om at dette kom til å skje, så ville vi neppe hatt så mye aktivitet innen Open Banking, fokus på utvikling av kommersielle APIer, nye samarbeidsformer, fintechs og gode kundeløsninger, sier fintech-rådgiveren. Et eksempel på noen som er gode på open banking er Sbanken. De har egne PSD2-nettsider som skal gjøre det enkelt å få ut kontoinformasjon for andre aktører. 

Det gjenstår en del i innspurten av PSD2: 

  • Kostnader og kompleksitet for en betalingsfullmektig å kunne operere på tvers av banker i Europa med kun én-konto-løsning.

  • Passporting av godkjenninger. Det betyr at om du er godkjent av ett finanstilsyn i Europa så skal det også gjelde i andre land. 

  • Håndtering av den første PISPen med kriminelle hensikter.

Slik betaler vi om ti år

– Om ti år er det trolig fortsatt DNB og sparebankene som vil være bankene våre og som passer på innskudd, lønn og gir huslån. Dette forutsetter at de klarer å skape enkle og gode nok kundeopplevelser, og at de reguleres like sterkt som i dag. Vipps viste oss at du ikke har sjans til å konkurrere med de som er først på banen med det enkleste og viser hvor vanskelig det er for alternative leverandører å komme opp med konkurransedyktige løsninger for vennebetaling i Norge, sier Fjørtoft.


Hva sier ekspertene?

Lavrans Løvlie

– Folk opplever gjerne at banken tjener seg selv først. Fremover vil vi se at flere velger banker de deler verdisyn med; om det er kollektivt, grønt eller fokus på pengene, sier tjenestedesigner Lavrans Løvlie som hjelper virksomheter med å lage gode kundeopplevelser.

Slik lager du gode kundeopplevelser for bankkunder:

  • Ta tydelig posisjon på å sette kundens interesse før egne
  • Vær klar på eget «purpose». Fremtidens kunder vil bry seg mer om dette enn produktene.
Eldar Lillevik

– Er banken god på sikkerhet, så gjør du det lettere for kunden å overføre penger til kjæresten. Samtidig som det er lett å gripe inn når sparekontoen plutselig er på vei til en konto kunden aldri har hatt en betaling til før, sier Eldar Lillevik som er rådgiver for cybersikkerhet PwC.

Dette må du gjøre for å unngå digitale bankran: 

  • Bygg opp lag på lag med sikkerhetsmekanismer. 

  • Etabler et dybdeforsvar. Da vil kjeltringene holdes vekk selv om noen sikkerhetsbarrierer brytes. 

  • Dybdeforsvar er en lagsport. Det krever at utviklerne tenker sikkerhet når de koder løsninger. At de som kobler systemer sammen med API-er tenker sikkerhet i sin arkitektur. Det krever også at de som ivaretar systemene i bakkant klarer å lage gode løsninger for å oppdage og stanse unormal aktivitet. 

  • Jo bedre man blir på dybdeforsvaret, jo mer unngår man dårlige sikkerhetsopplevelser for kunden.

Lars Erik Fjørtoft

– Det er to ting bank og finans må gjøre nå: Skape enkle og gode kundeopplevelser. Og gjøre det de kan for å unngå cyberangrep, sier Lars Erik Fjørtoft, fintech-rådgiver i PwC.

4 grunner til utsettelsen av PSD2:

  • Standardisering: Det er vanskelig å standardisere på tvers av banker i Europa.
  • Streng autentisering: For at RTSene (de regulatoriske standardene), spesielt de strenge autentiseringsmetodene, skulle være effektive måtte EBA (European Banking Authority) ha gått dypere teknisk enn de sannsynligvis har kompetanse til og er bekvemme med.
  • Motivasjon: Bankene har ikke motivasjon til å åpne de lovpålagte «gratis API-ene» og uansett har de ikke fått mulighet til å drive selvregulering.
  • Cybersikkerhet: Det er stor sannsynlighet for at kriminelle vil forsøke å bruke API-ene til å gjøre organiserte angrep mot banker og det er skummelt for EBA si at «cybersikkerheten er god nok».

Begrepsforklaring

PSD2 Revised Directive on Payment Services. Gir bankkunder rett til å gi andre banker og godkjente selskaper tilgang til egen kontoinformasjon, slik at de kan utføre tjenester på kundens vegne. Dette gjelder først og fremst å gjennomføre betalinger og samle kontoinformasjon på tvers av banker og kundeforhold.  

API 

 

Application Programming Interface, på norsk programmeringsgrensesnitt. Systemet bankene bruker for å dele dine persondata med andre du har gitt tilgang til.   
RTS Regulatory Technical Standards  

PISP

Payment Initiation Service Provider er en tjenesteleverandør som kan starte en betalingstransaksjon på vegne av kunden. PISP-en vil kunne trekke pengene direkte fra din konto. Dersom du har flere kontoer kan du selv velg hvilken konto pengene skal trekkes fra.

 

 
AISP Account Information Service Provider / opplysningsfullmektig  
EBA European Banking Authority  

Kontakt oss

Lars Erik Fjørtoft

Lars Erik Fjørtoft

Partner | Leder IT Risk, PwC Norway

Tlf: 974 74 469

Lavrans Løvlie

Lavrans Løvlie

Partner | Leder av Designteamet i PwC, PwC Norway

Tlf: 918 06 139

Eldar Lorentzen Lillevik

Eldar Lorentzen Lillevik

Partner | Leder Cybersikkerhet, PwC Norway

Tlf: 951 02 435