PSD2, slipp deg fri
Innen 13. januar i år skal alle medlemslandene i EU ha gjennomført direktivet i nasjonal rett. Så hva skjer etter at PSD2 har blitt innført? Espen Einn, CEO i Payr, deler sine tanker for 2018
De fleste har vel fått med seg hovedtrekkene i betalingstjenestedirektivet PSD2; finanssektoren moderniseres, innovasjon, effektivitet og sikkerhet økes, og tredjepartsaktører (TTPer) kan tilby betalingstjenester og lese av bankkontoinformasjon rett i kundenes bankkonti. Det siste vil føre til økt konkurranse mellom tilbydere av betalingstjenester og banker. Økt konkurranse vil sannsynligvis bidra til større valgmuligheter for brukerne og redusere kostnader knyttet til bank- og betalingstjenester.
Innen 13. januar i år skal alle medlemslandene i EU ha gjennomført direktivet i nasjonal rett. Så hva skjer etter at PSD2 har blitt innført? Jeg prøver meg på noen spådommer for 2018:
Ingen braklansering
13. januar er på en lørdag, så det skjer nok ikke så mye den dagen. I Norge vil direktivet kreve endringer i Finansforetaksloven og Finansavtaleloven. PSD2 vil derfor gjennomføres i norsk lovverk noe senere enn i EU. Ryktene sier april.
Autentisering kommer senere
PSD2 er først og fremst en endring av lovverk. Direktivet mangler vesentlige spesifikasjoner som går på sikkerhet og autentisering av tredjepartsaktørene. Hvordan kan en norsk bank vite om en tredjepartsaktør fra Malta har nødvendig konsesjon for å avlese en kundes bankkonto? Dette kommer i en egen teknisk spesifikasjon (RST) fra det europeiske banktilsynet, som trolig ikke innføres i Europa og Norge før i september. Så de bankene som vil slippe inn tredjepartsaktører og lansere PSD2 APIer og tjenester tidligere, gjør det på egen risiko.
Få PSD2 lanseringer i 2018
Siden autentisering av tredjepartsaktører ikke kommer på plass før i september, så vil kun noen få banker åpne opp for tredjepartsaktører, og med begrenset tilgang. Jeg anslår at en håndfull norske fintech startups vil lansere PSD2 løsninger i løpet av første halvår, men da bare i strategisk samarbeid med noen få banker.
Ingen felles standard for APIer
Når det gjelder selve programmeringsgrensesnittet (APIene) der tredjepartsaktørene kan koble seg til bankkontiene til brukerne, så har man ikke kommet frem til en felles teknisk standard i Europa. Antakeligvis blir det ingen felles standard heller. Banker i Nord- og Sentral-Europa har langt samlet seg rundt Berlin Group sin API standard, Storbritannia og Frankrike har begge valgt sine egne standarder. Norske banker vil lage sine egne hybrid APIer basert på interne systemer og inspirert av Berlin Group. Konsekvensen er at det blir ingen felles norsk API standard, som BITS har ønsket seg.
Et nytt marked for mellomvare
Mangelen på API standard vil gi grobunn for et marked av mellomvare produsenter som tilby en enhetlig tilkoblingtjeneste til alle bankenes APIer, i stedet for at tredjepartsaktørene må lage en tilkobling til hver bank. Nets’ NaaS og Bankbridge er eksempler på aktører som er godt i gang allerede.
Små fintech startups vil benytte andre sin konsesjon
Tredjepartsaktørene vil fortsatt trenge konsesjon, og de må tilfredsstille de samme kravene som betalingsforetak har i dag, med kapitalkrav, sikker autentisering og anti-hvitvaskingsrutiner. Personvernforordningen (GDPR) må de også forholde seg til. Mange av de mindre fintech startupene ser på konsesjon som en stor barriere, og vil alliere seg med aktører som allerede har konsesjon for å levere sine tjenester.
Bankene blir de største tredjepartsaktørene
Når autentiseringen er på plass, så ligger bankene an til å bli de første som lanserer som tredjepartsaktører hos hverandre. De har allerede den tekniske kompetansen og konsesjonen som trengs for å koble seg til andre banker sine APIer. Begrunnelsen er at det vil være en merverdi å tilby sine kunder en totaloversikt over deres økonomi, også hos andre banker.
Nye premium tjenester fra bankene
Raskere oppslag, prioritert tilgang, kontonummer register, OCR register for KID nummer kontrolloppslag og hvitvaskingsregister er noen av tjenestene som mange tredjepartsaktører vil trenge, men som ikke er omfattet av det nye direktivet. Her vil flere banker etterhvert tilby et utvalg av API premium-tjenester som gir nye inntektsmuligheter.
Så nå braker det løs: Digitalisering, innovasjon og konkurranse slippes fri! Bankene disrupteres. Og ikke minst alle IT-konsulenter i Europa gnir seg i hendene og ler hele veien til banken – for ikke siden milleniumsfeilen Y2K kan de se på maken til rekordomsetning.
Av Espen Einn, Co-founder og CEO i Payr, espen@payr.no
Ta kontakt med Stefan Astroza for mer informasjon om markedsinnsikt og analyser på e-post stefan.astroza@cicero.no.