Den 14 september ritas spelplanen om för banker och andra leverantörer av finansiella tjänster. Här reder juristerna Sebastian Sundberg och Joel Aneheim från Cederquists grupp för finansiell reglering ut begreppen och lyfter fram vad som är viktigt att tänka på när open banking går live efter sommaren.
Först och främst: precis som med andra buzz words kan begreppet open banking betyda olika saker för olika personer. I den här artikeln behandlar vi open banking i bemärkelsen att bankernas kundinformation tillgängliggörs och blir en handelsvara precis som dina personuppgifter och sökhistorik med mera redan idag handlas och används av företag och organisationer.
I och med genomförandet av EU:s andra betaltjänstdirektiv (PSD2) tvingas bankerna redan den 14 september 2019 att tillgängliggöra delar av den information bankerna har om sina kunder. I korthet innebär kraven enligt PSD2 att bankerna kommer erbjuda öppna API:er för att tillgängliggöra kontoinformation för leverantörer av betalningsinitieringstjänster (PISPs) och/eller kontoinformationstjänster (AISPs), i den här artikeln tillsammans benämnda tredjepartsleverantörer. Vill ni ge sig in i open banking-världen kommer här några tips på vad ni bör tänka på.
Som nämndes ovan ska bankernas lanseringar av open banking-plattformar under senaste tiden ses som ett svar på open banking-kraven som följer av PSD2. Redan idag förekommer det att bankernas kunduppgifter inhämtas genom så kallad skrämskrapning, vilket är den metod som vissa företag använder sig av för att få tillgång till bankernas kunddata. Skärmskrapning som vi känner det idag förbjuds och istället tillkommer krav på att bankerna ska tillhandahålla öppna API:er genom vilka tredjepartsleverantörer ska ges dataåtkomst samt tillgång till kundernas betalkonton. Det är dessa API:er som av branschen och i media har blivit kallade open banking-plattformar.
De banker som väljer att inte tillhandahålla öppna API:er måste istället tillåta PISPs och AISPs att få dataåtkomst samt tillgång till kundernas betalkonton genom samma gränssnitt som kunderna idag får åtkomst och tillgång till desamma, det vill säga genom exempelvis kundernas internetbanker. Det är med andra ord viktigt att förstå vad banken faktiskt är skyldig att tillhandahålla och om banken ni förhandlar med tillhandahåller ett öppet API eller inte.
För att få tillgång till bankernas API:er, alternativt kundernas gränssnitt, krävs att tredjepartsleverantören innehar tillstånd att tillhandahålla betalningsinitieringstjänster som en så kallad PISP (Payment Initiation Service Provider) och/eller och kontoinformationstjänster som en så kallad AISP (Account Information Service Provider). Det innebär att tredjepartsleverantören måste ansöka om tillstånd hos Finansinspektionen. Att ha tillstånd innebär att företaget står under Finansinspektionens tillsyn, vilket ställer höga krav på organisation, system, rutiner och processer. Innan man söker tillstånd är det därför alltid viktigt att utvärdera vilka krav och kostnader det innebär att stå under tillsyn och följa relativt omfattande rörelseregler.
De banker som avser tillhandahålla öppna API:er måste göra det senast den 14 september 2019. Men redan den 14 mars 2019 blev bankerna skyldiga att ge tredjepartsleverantörer tillgång till API-baserade testmiljöer innefattande samma funktionalitet som de öppna API:er som ska lanseras senare i år. De API-baserade testmiljöerna syftar till att ge tredjepartsleverantörer möjlighet att genomföra produktionsprov och få tillgång till stöd för integrering.
Bankernas skyldighet att tillhandahålla öppna API:er innefattar även krav på att erbjuda reservgränssnitt (så kallad beredskapsmekanismer) för det fall API:erna ligger nere, till exempel vid driftsavbrott. Banker kan dock ansöka om tillstånd från undantag att erbjuda sådana reservgränssnitt. För att säkerställa en beredskap för vad som händer när API:t ligger nere, kan det vara klokt att redan på förhand stämma av med banken om den avser ansöka om tillstånd från undantag från kravet på reservgränssnitt.
Genom de öppna API:erna kommer tredjepartsleverantörer kunna genomföra betalningsinitieringstjänster till bankernas kunder vid exempelvis online-betalningar. API:erna kommer även möjliggöra kontoinformationstjänster såsom till exempel ekonomi- eller kreditupplysningstjänster. Enligt open banking-kraven är banken endast skyldig att ge åtkomst till den transaktionsdata som finns rörande kunders betalkonton (betalkontoinformation).
Vissa banker har dock gått ut med att de vid utvecklingen av sina API:er avser gå längre än regelverkskraven genom att även ge åtkomst till annan data än betalkontoinformation, vilket gör det möjligtför tredjepartleverantörer att få ta del av andra funktionaliteter. Här är det dock viktigt att noga undersöka vilka eventuella restriktioner det kan finnas i till exempel GDPR eller andra regelverk när det handlar om att ta del av och hantera annan kundinformation än betalkontoinformation.
Bankerna är endast skyldiga att ge tredjepartsleverantörer tillgång till bankernas öppna API:er under förutsättning att kunden har gett sitt uttryckliga samtycke och att leverantören tillämpar de kundautentiseringsförfaranden som banken kräver. Huvudregeln är att starka kundautentiseringsförfaranden – även kallat SCA (Strong Customer Authentication) – ska tillämpas, det vill säga autentiseringar som grundas på användning av två eller flera element. Dessa kategoriseras som kunskap, innehav och unik egenskap, vilka ska användas tillsammans och vara fristående från varandra.
Det finns emellertid undantag från huvudregeln om SCA, men det är kundens bank som i slutändan väljer om SCA ska tillämpas eller inte. Eftersom kraven som följer SCA är relativt komplexa och kan vara svåra att hantera i praktiken är det viktigt att tidigt utröna om SCA kommer krävas av banken eller om den kommer använda något annat autentiseringsalternativ.