Een jaar PSD2 in Nederland, stilte voor de storm?
Elke twee maanden schrijft Maurice Jongmans, CEO van Online Payment Platform en tevens voorzitter van de Verenigde Betaalinstellingen Nederland (VBIN), een achtergrond artikel voor Emerce. Als Payment Innovator heeft hij deze maand een artikel geschreven over een jaar PSD2 in Nederland. Is er stilte voor de storm?
Tijdens Platform Day 2019 sprak ik op het podium over de impact van de nieuwe Europese Payment Service Directive 2 (PSD2) die was omgezet in Nederlandse wetgeving. Van deze wetgeving werd in Europa en Nederland heel veel verwacht en binnen de financiële wereld (banken en fintechs) werd gespeculeerd over de nieuwe waarheid. Hebben banken nog bestaansrecht? Heeft de consument nog controle over haar eigen gegevens? Wat gaan de big Five (de grote bigtech spelers Apple, Google, Facebook, Amazon en Microsoft) doen? De grondvesten van de financiële wereld trilden en er werden grootse veranderingen verwacht.
We zijn inmiddels bijna een jaar verder en tot op heden is er slechts een rimpeling op het wateroppervlak. Blijft de grote verandering uit? Of is het slechts de stilte voor de storm?
PSD2
De PSD2 wetgeving voorzag in een aantal belangrijke veranderingen.
1. De regels voor betaalinstellingen werden verder aangescherpt met onder meer extra regels en aandacht voor IT beveiligingseisen, IT risicomanagement en het melden van incidenten.
Voor de bestaande betaalinstellingen betekende dit wijzigingen in hun organisatie en procedures, welke voorafgaand aan februari 2019 moesten worden doorgevoerd en waarover De Nederlandsche Bank (DNB) moest worden geïnformeerd, zodat per ingangsdatum van de PSD2, de bestaande vergunning van een betaalinstelling kon worden omgezet in een nieuwe PSD2 vergunning. Dit proces is goed verlopen en voor zover bekend hebben alle betaalinstellingen een nieuwe PSD2 vergunning verkregen.
Een grote impact voor betaalinstellingen, maar de consument of ondernemer merkt er weinig van.
2. De reikwijdte van de wetgeving is uitgebreid naar handelsplatformen.
Waar voorheen een handelsplatform of marktplaats niet onder de financiële wetgeving viel, is met ingang van PSD2 de reikwijdte van de wet aangepast en moeten handelsplatformen die derdengelden verwerken nu wel voldoen aan de vergunningsplicht, dan wel het verwerken van de betalingen uitbesteden aan een platform-betaaldienstverlener (platform-PSP). Hier zien we inmiddels een beweging in de markt waarbij platformen overgegaan zijn tot het aanvragen van een vergunning (zoals Uber en Thuisbezorgd) en andere platformen de betaaldiensten zijn gaan uitbesteden. Echter veel platformen zijn zich nog niet bewust van hun nieuwe rol of verplichting en kunnen handhaving vanuit de DNB verwachten. De eerste meldingen hiervan hebben inmiddels plaatsgevonden.
Een grote impact voor handelsplatformen en marktplaatsen, maar de consument of ondernemer merkt er weinig van.
3. Strong Customer Authenticatie (SCA) werd verplicht.
SCA wil zeggen dat voor toegang tot betaaldiensten een grote zekerheid moet worden verkregen van de identiteit van de gebruiker. Je moet dus met SCA vaststellen of de betaalopdracht wel van de eigenaar of beheerder van de betaalrekening of creditcard is. SCA betekent een controle van minimaal twee van de drie mogelijk eigenschappen. Iets wat je weet (zoals een wachtwoord of pincode), iets wat je bezit (zoals een telefoon of pinpas) en/of iets wat je bent (zoals een vingerafdruk of gezichtsherkenning). Voor veel betaalprocessen was dit reeds beschikbaar, zoals pinnen met je pinpas, inloggen met je reader, of een app met gezichtsherkenning op je (geregistreerde!) telefoon. Maar met name in de wereld van creditcards is dit nog slecht geregeld. Je betaalt vaak enkel met de gegevens die op de kaart vermeld staan en dat is onvoldoende. Echter de invoeringstermijn voor SCA was maar 9 maanden en dat was te kort om alle partijen voor te bereiden. Er is daarom vanuit Europa uitstel gekomen voor SCA op creditcardbetalingen tot eind 2020.
Vanaf dit jaar zal je als consument een creditcardbetaling steeds vaker moeten bevestigen met een SCA eigenschap, bijvoorbeeld door gebruikt te maken van een tijdelijke code vanuit een (geregistreede!) app op je telefoon. De ondernemer zal zijn systemen moeten aanpassen aan SCA. Ondernemers die gebruik maken van een betaaldienstverlener (PSP) mogen er vanuit gaan dat deze zal zorgdragen voor de nodige aanpassingen.
4. Betaalinitiatiediensten zijn nieuw
Onder PSD2 komen twee nieuwe betaaldiensten (met bijbehorende vergunning) beschikbaar. De eerste daarvan is betaalinitiatie (Payment Initiation Service – PIS). Kortweg wil dat zeggen dat de banken moeten gaan toestaan dat derde partijen met een vergunning een betaling (of serie betalingen) kunnen uitvoeren in opdracht van de rekeninghouder. De rekeninghouder geeft dan feitelijk opdracht aan een PIS om een betaling uit te voeren. Alle Europese banken moeten hiervoor kosteloos toegang gaan verlenen tot de betaalrekening en met voorkeur middels een API koppeling (technische koppeling).
Met PIS kunnen nieuwe partijen betaalmethoden ontwikkelen of kan je bijvoorbeeld Google (als ze een vergunning hebben) een betaling laten uitvoeren.
Echter in Nederland gebeurt er tot op heden heel weinig. Dit heeft een aantal oorzaken. Allereerst is het vergunningstraject veel zwaarder dan aanvankelijk voorzien. De DNB heeft tot op heden pas een handvol vergunningen voor PIS afgegeven (waarover later meer). Uiteindelijk heeft Online Payment Platform samen met iDEAL de allereerste PSD2 betaling gedaan op 29 augustus 2019, waarbij een enkele betaling werd ingepland. Dit was nog in besloten gezelschap, maar de eerste pilot voor het brede publiek is voorzien voor februari. Hier liggen kansen voor ondernemers (ingeplande betalingen, terugkerende betalingen, meerdere betalingen in één keer doorzetten) maar de vraag lijkt nog beperkt.
5. Rekeninginformatiediensten zijn nieuw
De tweede nieuwe dienst die mogelijk is onder PSD2 is rekeninginformatie (Account Information Services – AIS). Met deze dienst kan de rekeninghouder een derde partij toegang geven tot al zijn transacties op zijn bankrekening bij de bank. De AIS provider kan dan vervolgens deze transacties verwerken en tonen aan de gebruiker. Deze dienst is er geschikt voor bijvoorbeeld een huishoudboekje of budgetplanning. Echter met deze dienst wordt erg veel zeer persoonlijke informatie gedeeld waardoor er veel discussie is over privacy.
Een mooi voorbeeld van deze dienst is tot op heden Peaks (beleggen met je wisselgeld).
Verder zie je dat de banken onderling gebruik maken van deze nieuwe dienst, door de rekeninginformatie van andere banken te tonen in de eigen bankomgeving. Zo kan je inmiddels bij de Rabobank ook je ABN AMRO en BUNQ rekening toevoegen en heeft ABN AMRO andersom het als ‘Multi-bankieren’ in de markt gezet (met Rabobank, ING en de Volksbanken merken). Informatie over hoeveel gebruikers hun andere bank hebben gekoppeld ontbreekt nog.
Vergunningen
We zien dus als consument en ondernemer nog heel weinig van PSD2. Om toch een beeld te krijgen van wat we kunnen verwachten heb ik op de website van DNB de actuele stand van de vergunningen bekeken.
Allereerst kan je onder PSD2 een vergunning die je verkrijgt in het buitenland eenvoudig aanmelden in de andere landen, waardoor je dezelfde diensten mag aanbieden. In het register van DNB staan inmiddels diverse partijen, maar vooralsnog zitten daar geen partijen bij die diensten specifiek op Nederland richten. Een invasie van fintech bedrijven vanuit de rest van Europa lijkt nog niet ophanden.
Daarnaast hebben de grote bigtech spelers een Europese vergunning voor betalingen. Inmiddels heeft Apple Pay zijn intrede gedaan in Nederland, maar gebruikt daarvoor nog bestaande betaalsystemen. In de fysieke wereld (winkels, etc) is Apple Pay een groot succes maar online (eCommerce) wordt het nog nauwelijks gebruikt. Wel verwacht ik hier een flinke toename. De kracht van Apple Pay zit in het gebruiksgemak. De andere fintechs zijn nog stil.
Dan blijven de specifieke Nederlandse vergunningen over. Dit zijn er nog maar een handvol, dus ik heb ze even op een rij gezet:
Bizcuit – Financiële administratie voor ondernemers. (PIS en AIS)
Cobase – Centrale bankdiensten voor ondernemers. (PIS en AIS)
Dyme – Een duidelijk overzicht van al je vaste lasten voor consumenten. (AIS)
Floryn – Zakelijk krediet zonder gedoe. (AIS)
Online Payment Platform – Betaaldiensten voor platformen en marktplaatsen. (PIS en AIS)
Huishoudboekje.nl – Aggregatie van consumenten transactiedata. (AIS)
MoneyMonk – Online boekhouden voor zzp’ers. (AIS)
Peaks – Beleggen met je wisselgeld. (PIS en AIS)
Twinfield – Online boekhouden. (AIS)
Kortom, om een succes te maken van PSD2 en innovatieve diensten terug te zien in de markt zal nog wel het nodige moeten gebeuren. Het zal in elk geval geen storm zijn die onverwacht opsteekt. Laten we eens zien of het in 2020 een beetje begint te waaien.
Lees hier het gehele artikel op Emerce