Vorige week nodigde Erik Reissenweber Maurice Jongmans uit als gast in de Podcast ‘Compliance Adviseert’ Maurice sprak over Online Payment Platform, fraude, compliance en PSD2. Een interessant kijkje achter de schermen bij Online Payment Platform over de extra's die we regelen om handelen op platforms en marktplaatsen zo veilig mogelijk te maken. Een samenvatting.
Wat doen jullie precies?
Online Payment Platform (OPP) is een betaaldienstverlener voor platformen en marktplaatsen: deze brengen veel verkopers in contact met vele kopers. We zijn nu met een team van 32 werkzaam in een monumentaal pand in Delft. Een mooie plek om te werken. Naast Marktplaats (je kent ons wellicht van gelijk oversteken), faciliteren we nog 100 andere platformen.
We hebben een vergunning voor betaaldienstverlening bij De Nederlandsche Bank en sinds vorig jaar ook voor betaaldienst 7 & 8 als eerste betaaldienstverlener in Nederland.
Hoe is jullie compliance ingericht?:
Er is een zelfstandige compliance officer werkzaam bij OPP (2e lijn) en daarnaast ben ikzelf vanuit het bestuur eindverantwoordelijke. De 1e lijn compliance vraagstukken liggen bij het supportteam.
OPP heeft 3 verschillende klanten: Het platform, hun gebruikers en de betalers. Er moet op elk niveau naar deze klanten gekeken worden. Zo hebben we het ook ingedeeld. Op het niveau van het platform: welke risico’s biedt dit type platform. Welke limieten hanteren we en welke stappen zijn nodig voor veilig onboarden van de gebruikers en betalers?
Vervolgens gaat de verkoper door deze stappen en wordt de transactieverwachting vastgesteld. Hierna kunnen we op transactieverwachting monitoren wat normaal gedrag is. We bezitten inmiddels een database met meer dan 4 miljoen gebruikers waarbij we indien nodig de transactiehistorie kunnen gebruiken voor risicoanalyses en fraude detectie.
We zien geverifieerde en gecontroleerde gebruikers als meerwaarde voor het platform
Wij faciliteren die betaling omdat deze platforms anders een vergunning voor betaaldiensten nodig hebben. De individuele verkoper maakt gebruik van onze dienst om een legale betaling te ontvangen via het platform.
Gelijk oversteken van Marktplaats;
Welke integriteit risico's speler daar?
Het is de veiligste mate van elkaar betalen, met een hoge mate van controle en zekerheid. Echter kan je fraude nooit helemaal uitsluiten. Daarnaast zullen altijd ongewenste situaties voorkomen: een pakketje raakt kwijt, een gebruiker reageert niet meer. Met als effect dat die betalingen soms wel of niet uitgesteld of geannuleerd worden. Dat kan tot onvrede leiden bij gebruikers en dat risico is bij ons van belang en daar hebben we veel aandacht voor.
Online reviews zijn daarbij ook een risico voor ons. Ontevreden mensen laten makkelijk een review achter, tevreden mensen hebben daar minder behoefte aan. Hierbij is het belangrijk dat we altijd reageren en tevreden mensen motiveren om ook een positieve review achter te laten. Op de lange termijn kunnen teveel negatieve reviews het bedrijf schaden.
Gelijk oversteken heeft geen garantieclausule of iets? Als het misgaat dan gaat het mis?
Fraude is nooit helemaal uit te sluiten en soms gaat er nou eenmaal iets mis. Dat kan gebeuren. Soms is niet te bepalen of de fout bij de verkoper of de koper ligt (of bij geen van beiden) Maar dan krijgen beiden een streepje achter de naam. Wat voor de toekomst potentiële nadelen voor deze gebruikers heeft. Deze gebruikers kunnen bij het aanmaken van een nieuw account niet hetzelfde telefoonnummer of bankrekeningnummer gebruiken. Bij een melding achter je naam, kan het zijn dat je afgesloten en geblokkeerd wordt van alle platformen die wij faciliteren. We hebben echt verschil gemaakt aan het aantal fraudemeldingen op Marktplaats, mede door ons systeem. Het systeem detecteert ook potentiële fraude en kan daarmee betalingen bevriezen en fraude voorkomen.
''Het systeem kan meer dan je denkt! We werken er nog steeds elke dag aan om het veiliger te maken.''
Nu over de nieuwe PSD2 wetgeving;
Wat is de hoofdlijn van deze regeling?
PSD2 regelt veel verschillende dingen: vooral het realiseren van een professioneel betaallandschap in Europa. De beveiliging is toegenomen door verplichting van Strong Customer Authentication (SCA). En het betekent dat meer partijen onder de wetgeving zijn gaan vallen. Als een platform zelf betalingen over zijn rekening heeft lopen, zijn ze nu vergunningplichtig. Of ze moeten op zoek naar een betaaldienstverlener (payment service provider - psp) die zich heeft gespecialiseerd in het faciliteren van platformen en marktplaatsen(platform-psp). Omdat er niet veel zijn, komen de meeste bij ons. Onze klanten hebben het goed opgelost, alle betalingen voor platformen gaat via onze vergunning. Dit is ook de reden waarom ze klant van ons worden.
Daarnaast is er ook nog access to the account, dat wil zeggen dat banken en andere partijen die online rekeningen beschikbaar stellen, toegang moeten verlenen aan derden partijen met een vergunning om toegang te krijgen tot de betaalrekening van een gebruiker (consument) voor de volgende twee diensten: betaalinitiatie (betaling in gang zetten) en account information (rekening informatiedienst, waarbij je geschiedenis en transactie informatie kan ophalen).
Wat zijn de belangrijkste uitdagingen bij PSD2 voor OPP?
Voor ons is het momenteel de beschikbaarheid en kwaliteit van de koppelingen (API's) van de banken, deze is vaak ondermaats. Ook mogen die koppelingen allemaal verschillen. In Nederland hebben wij de 6 belangrijkste banken aangesloten, wat al resulteert in een mooi bereik. Als je naar de Duitse markt kijkt, daar zijn 2000 banken. Dan zou je dus 2000 aansluitingen moeten maken om al die banken aan te sluiten. Dit is in Engeland beter geregeld met maar 1 systeem. In de EU mag iedereen zijn eigen systeem hanteren. Daar komt wel een beetje een standaard in. Maar uiteindelijk moet je veel partijen aansluiten op verschillende manieren.
''We hadden graag een standaard API gehad in Europa, maar die is er helaas niet.''
Gaat deze nog komen?
De Berlin groep standard is de grootste standaard in Europa die en aantal banken wel hebben geaccepteerd, in Nederland ook. Het zou voor iedereen natuurlijk prettig zijn als deze leidend gaat worden. Of banken daar belang bij hebben en erin mee gaan, zal erg verschillen per bank.
Jullie hebben al een vergunning voor account information, krijgen jullie die data al binnen?
Ja, we hebben de vergunning. Deze gebruiken we voor het koppelen van je bankrekening. Momenteel gebeurt dit door het overmaken van 1 cent, wat natuurlijk niet het mooiste is, al zeg ik zelf. Je misbruikt de betaling voor een ander doel. Wij vragen alleen de bankrekening op, die hebben we nodig voor onze service. We gebruiken het nog niet om de transactiegeschiedenis op te vragen. Daar hebben wij geen doel voor.
De banken zouden ons de mogelijkheid moeten geven om ook beperkt toegang te vragen. Nu wordt direct toegang tot alle informatie verleend, terwijl ik eigenlijk de IBAN wil hebben. Hier lijkt me een kans voor een mooie interactie met de gebruiker en deze begrijpt dan welke informatie hij wel/niet beschikbaar stelt. Ik kan me voorstellen dat een app die jouw bestedingspatroon gaat bijhouden om jou te helpen met je budget meer informatie zal gaan gebruiken. Echter heb ik enkel de info nodig om die bankrekening koppelen.
Welke andere ontwikkelingen zie jij momenteel als gevolg van PSD2?
Er ontstaan partijen die het probleem van de 2000 Duitse banken willen oplossen door één koppeling te maken en vervolgens die aansluitingen te maken voor alle banken, een soort technische aggregatie. Er bestaan er een aantal, maar er is nog geen een die 100% Duitse dekking biedt. Ook verwacht ik in het buitenland meer diensten te gaan zien. iDEAL achtige oplossingen, maar dat zal nog wel even duren. Een van de dingen die altijd omhoogkomen bij PSD2 discussie zijn de ‘big tech partijen’. Je hebt inmiddels Apple Pay, die zitten nog niet erg in het PSD2 vlak, maar die hebben wel een enorme sprong gemaakt in Nederland. Maar we zien ze nog niet direct heel erg bewegen in het eCommerce betaallandschap.
Wat is het specifieke standpunt van de VBIN op het vlak van PSD2?
Nou ik denk dat waar de Verenigde Betaalinstellingen Nederland (VBIN) zich druk om maakt is met name de kwaliteit van APIs. Dat banken daaraan voldoen en wat we in de Nederlandse markt mogen verwachten van de inhoudelijke specificaties van de APIs.
Advies van Maurice op gebied van compliance
In alles wat je doet op het gebied van compliance moet je blijven nadenken wat je doet en wat de achterliggende geest en gedachte is van de wetgeving. In het verleden zagen we dat als je dit goed blijft doen, dat je ook een betere oplossing bouwt. Ook moet je nadenken over de meerwaarde van het compliance onderdeel van je organisatie. Voor ons is het een commerciële meerwaarde. Maar ik denk dat dit voor nog veel meer organisaties zo kan zijn.
Luister hier de gehele podcast