Nieuwe wet- en regelgeving gericht op het betalingsverkeer, zoals PSD2, XS2A en GDPR, volgen elkaar steeds sneller op. Deze veelheid van veranderingen zorgt ervoor dat veel banken worstelen met de vraag hoe hun toekomst eruit ziet, wat de veranderingen teweeg zullen brengen en vervolgens hoe zij hierop moeten inspelen. Edwin van der Molen, Client Service Director bij RGP, geeft samen met drie medeauteurs* inzicht in de belangrijkste compliance ontwikkelingen en gaat in op de vier payments strategieën die banken kunnen volgen om de ontwrichting van de markt succesvol te doorstaan.
Op 23 februari 2017 heeft de European Banking Authority (EBA) de technische standaard (RTS) voor veilige toegang tot de betaalrekening bekend gemaakt. De industrie heeft reikhalzend uitgekeken naar deze RTS. Deze vormt een essentiële pijler onder de revolutionaire zet van de Europese Commissie (EC) om, als de klant het wil, derden zonder enige vorm van overeenkomst toegang tot de betaalrekening van de klant te verlenen. Dit wordt ook wel access to the account genoemd, afgekort tot XS2A. Het moet de concurrentie en innovatie op de betaalmarkt ten goede komen. Hoe dat gaat uitwerken is de grote vraag. Een veilige aanname is wel dat ook de wetgever niet alle gevolgen, die nog gaan ontstaan, heeft overzien.
Privacy
Enkele BigTech’s uit Silicon Valley volgen minutieus het klik- en surfgedrag van elke consument en weten dat om te zetten in miljarden klinkende munten door de verkoop van gerichte advertenties. Maar de meest waardevolle informatie (de hoogte van je salaris, waaraan je dat uitgeeft, aan wie je dat uitgeeft, hoe vaak je op vakantie gaat, hoeveel je aan ziektekosten en verzekeringen betaalt, aan kinderopvang, aan huur, hypotheek, gas, water, licht, benzine, kleding, boodschappen, restaurantbezoeken, sportclub, enz.) is alleen terug te vinden op je bankrekening.
Banken worden in de publieke opinie geacht niets met deze informatie te doen, laat staan er geld aan te verdienen door de informatie aan anderen te verkopen. Maar door PSD2 (Payments Service Directive 2) zullen banken die informatie moeten delen met wie hun klant maar wil. Nu zullen die derden, genaamd betaalinstellingen, onder PSD2 alleen hele specifieke dienstverlening mogen verlenen:
- het initiëren van een overboeking,
- het ophalen en verwerken van rekeninginformatie voor een actueel inzicht in je financiële situatie,
- het opvragen of er voldoende saldo is voor een betaling ter grootte van een bepaald bedrag.
Gezien de gigantische waarde die deze informatie op de betaalrekening vertegenwoordigt, zullen we ons er op moeten instellen dat marktpartijen de randen van het toelaatbare zullen opzoeken, of onder de vlag van innovatie of klantgemak deze overschrijden. Veelzeggend detail is dat “gevoelige betaalgegevens” in PSD2 gedefinieerd wordt als gegevens waarmee fraude gepleegd kan worden, dus niet wordt gerelateerd aan de privacy van de klant. De naam van de rekeninghouder en het rekeningnummer zijn daarbij expliciet geen gevoelige gegevens.
Toezicht
De AFM is vooralsnog de enige die zich publiekelijk zorgen om dit privacyrisico maakt, vooral over de effectiviteit van het toezicht. Terecht, gezien dat het toezicht op de naleving van de PSD2 alleen al in Nederland verdeeld is over vier verschillende toezichthouders, elk met hun eigen doelstellingen. Naast de AFM zijn dat de privacywaakhond Autoriteit Persoonsgegevens, de DNB (voor prudentieel toezicht op de financiële sector en de vergunningverlening aan Betaalinstellingen) en tot slot de ACM, de mededingingswaakhond die zal waken over de (concurrentie op de) toegang tot de betaalrekening van de klant. Overigens zullen buitenlandse Betaalinstellingen onder het ‘Passporting regime’ ook in Nederland hun diensten kunnen aanbieden, waarbij ze primair onder het toezicht van de toezichthouder (de vergunningverlener) uit het land van herkomst blijven vallen.
Succes PSD2 afhankelijk van andere wetgeving…
De PSD2, die op 13 januari 2018 van kracht wordt, wordt vaak als katalysator van Open Banking gezien. Met Open Banking wordt bedoeld dat banken delen van hun infrastructuur openstellen voor andere partijen, doorgaans door middel van API’s (Application Programming Interfaces). Iets wat overigens in andere delen van de digitale wereld al langer ingeburgerd is. Of het volle potentieel van Open Banking benut gaat worden zal afhangen van het samenspel van de toezichthouders en in het bijzonder de (handhaving van) de privacywetgeving. Hiervoor is recent nieuwe Europese wetgeving gekomen, de GDPR, General Data Protection Regulation, die op 25 mei 2018 van kracht wordt.
…en van de markt
Om SEPA tot een succes te maken hebben banken in het verleden in Europees verband de European Payments Council (EPC) opgericht die onder meer met Rulebooks (specificaties) voor overboekingen en incasso’s kwam en daar de ISO 20022 standaard voor definieerde. Voor XS2A speelt ze echter geen noemenswaardige rol, mede omdat de EC XS2A uitdrukkelijk geen exclusieve aangelegenheid van de banken wilde laten zijn. Het gremium dat door de EC is aangewezen een leidende rol te vervullen, de ERPB, Euro Retail Payments Board, die langs koepelorganisaties is georganiseerd, oogt inherent fundamenteel verdeeld.
Dit heeft tot gevolg dat de wijze waarop banken de toegang tot de betaalrekening dienen te verlenen, niet is gestandaardiseerd. Elke bank definieert zijn eigen API’s en de gegevens die verstrekt gaan worden, zijn alleen op hoog conceptueel niveau in de PSD2 vastgesteld. De PSD2 noch de RTS dwingen harmonisatie af. Met meer dan 7.000 banken (waarvan zo’n 4.400 retailbanken) in Europa en over de 1.000 Betaalinstellingen (waartoe naar verwachting nog honderden FinTech’s zullen toetreden) dreigt een enorme fragmentatie.
De UK had met de door de Britse overheid al in september 2015 opgerichte Open Banking Working Group een richtinggevende rol kunnen hebben, maar haar eerste Minimum Viable Products (bestaande uit API’s) die recent zijn gepubliceerd zijn niet in overeenstemming met de drie nieuwe PSD2 diensten; die staan voorlopig voor later dit jaar op hun planning. In Nederland heeft het Maatschappelijk Overleg Betalingsverkeer dit jaar een werkgroep opgericht. Het dilemma is echter dat niemand zit te wachten op een Nederlandse oplossing. Er zijn meerdere initiatieven, maar er is slechts één initiatief, afkomstig uit Duitsland, dat enige tractie lijkt te krijgen in Europa.
Terug naar de wetgever
Hoewel de EBA de ‘final draft’ RTS heeft aangeboden aan de EC, is er daarmee nog geen zekerheid over de definitieve RTS. Ondanks dat de EC informeel betrokken is geweest bij de RTS, heeft ze onlangs aangegeven minstens drie maanden nodig te hebben voor de bestudering. Het Europees Parlement en de Europese Raad mogen bezwaar aantekenen en als één van hen dat doet, treedt de RTS niet in werking. En de kans dat dit voorkomt is aanzienlijk, gezien de eerdere uiterst kritische uitlatingen van vooral het Parlement ten aanzien van enkele kernpunten in de RTS, in het bijzonder het verbod op ‘screen scraping’. De EC kan van de EBA verlangen dat ze wijzigingen in de RTS doorvoert of dat in het extreme geval zelf doen. Na publicatie in de ‘Europese Staatscourant’ hebben marktpartijen achttien maanden de tijd om aan de RTS te voldoen.
Gamechanger
Voor banken is het nu tijd om een keuze te maken, niet alleen wat voor soort speler een bank is en wil zijn (bieden van een infrastructuur, niche speler, innovator of netwerk speler) maar ook hoe verder te gaan, waarbij zelf alles blijven doen of (deels) outsourcing een logische vervolgvraag is. Afwachten is in ieder geval geen optie. Er zullen duidelijke keuzes gemaakt moeten worden, ook door toezichthouders en welke keuzes het ook gaan worden, dit zal een grote verandering zijn en een echte ‘gamechanger’ blijken.
* De medeauteurs zijn Bernard Juffermans (een interim-manager met meer dan 25 jaar ervaring in lijn-, programma- en interim-management), Bert Bouwmeester (Directeur Business Solutions bij SQS Nederland) en Michal Kalina (een expert in (inter)nationaal betalingsverkeer).