Op 14 september 2019 ging de PSD2-regelgeving voor strong customer authentication (sca) van kracht. Deze bepaling verandert de manier waarop consumenten in Europa toegang krijgen tot hun internetbanking, hoe ze online betalen en hoe ze financiële diensten van derde partijen kunnen gebruiken dankzij de technologie van open banking.
In dit artikel evalueer ik wat goed ging en wat er nodig is voor een succesvolle implementatie van sca in Europa.
The good
PSD2 zorgt voor een verhoogde veiligheid van de authenticatie bij financiële diensten en voor een harmonisering van de authenticatieprocessen in Europa. Financiële instellingen vervingen geleidelijk aan de zwakke authenticatiemethoden, zoals statische wachtwoorden of matrixkaarten, door geavanceerde concepten zoals bescherming van de apps en risicoanalyse van de transacties.
PSD2 versnelt ook de invoering van adaptieve authenticatie, waarbij de authenticatiemethode wordt bepaald op basis van het risico van de transactie. Een overschrijving vanuit het buitenland naar een nieuw rekeningnummer vraagt een hogere vorm van beveiliging dan een transactie naar een gekend nummer verricht vanuit België. PSD2 maakt het dus mogelijk om een balans te vinden tussen gemak en veiligheid.
The Bad
PSD2 legt de verantwoordelijkheid voor een veilige toegang tot de bankrekeningen bij de banken. Aangezien zij eigenaar zijn van die rekeningen, lijkt dit op het eerste gezicht logisch. Echter, bij nader inzien blijkt dat deze aanpak complex wordt in de context van open banking, en wel als volgt.
Ten eerste moeten gebruikers van apps van derde partijen (bijvoorbeeld fintechs) zich twee keer authenticeren: één keer om toegang te krijgen tot de applicatie, en een tweede keer om een bepaalde bankrekening te gebruiken via de app. Daarnaast is de authenticatiemethode afhankelijk van de bank. Zo kan bank A bijvoorbeeld kiezen voor een kaartlezer, terwijl bank B een mobiele app kan gebruiken. De gebruikerservaring binnen de fintech-app hangt dus af van de bank.
Deze complexe situatie is het gevolg van het ontbreken van een pan-Europees digitaal identiteitssysteem, gebaseerd op geverifieerde, betrouwbare identiteiten. Inspiratie voor soortgelijke systemen is al te vinden in meerdere landen, zoals Zweden (Bank ID) en India (Aadhaar). De uitdaging is om een dergelijk systeem op Europees niveau te bouwen, want het is essentieel voor de toekomst van open banking.
The Ugly
De sca-vereisten van PSD2 zijn bedoeld om toekomstbestendig en technologie-onafhankelijk te zijn. Ze bieden betaaldiensten enige speelruimte, al blijven zij soms in het ongewisse.
Een voorbeeld is het gebruik van sms voor ‘dynamic linking’, waarbij de authenticatiecode gekoppeld wordt aan het te betalen bedrag of de rekeningnummer van de begunstigde. De simkaart in een mobiel toestel dat de sms ontvangt, geldt als een bezitselement. Eenmalige wachtwoorden die via sms worden afgeleverd, kunnen worden gebruikt voor sterke authenticatie, in combinatie met een tweede factor (bijvoorbeeld een wachtwoord of pin). Het is echter niet duidelijk of sms kan worden gebruikt voor dynamische koppeling, want de vertrouwelijkheid en integriteit van betalingsinformatie kan niet worden gegarandeerd via een sms-bericht.
Een tweede voorbeeld is de vereiste voor een veilige omgeving voor mobiele apps. Maar hoe ziet zo’n veilige omgeving eruit? En hoe kan die geïmplementeerd worden? Dat blijft vooralsnog onduidelijk in PSD2. De beste aanpak is de technologie van ‘application shielding’, dat de applicatie beschermt tegen bedreigingen zoals overlay-aanvallen en keylogging.
Tot slot is de tijdlijn voor de sca-vereisten de laatste maanden danig verschoven. Aanvankelijk zou de regelgeving op 14 september 2019 van kracht gaan voor zowel internetbankieren als e-commerce. Vanaf die dag zouden de banken ook verplicht zich om open banking aan te bieden via api’s. Maar de termijnen geraakten versnipperd. De datum van 14 september bleef behouden voor het aanbieden van open banking api’s en voor de authenticatie voor internetbankieren, behalve in het Verenigd Koninkrijk, waar de uiterste termijn nu 14 maart 2020 is.
Betaaldienstaanbieders konden uitstel vragen, en dit heeft gevolgen voor betalingen waarbij meerdere aanbieders betrokken zijn. Als een betaling met kaart wordt uitgevoerd tussen een kaartuitgever die vanaf 14 september 2019 aan de vereisten voldoet, en een acquirer die een verlenging van zes maanden kreeg, dan stuurt de acquirer een verzoek om betaling zonder sterke authenticatie naar de uitgevende instelling. Die uitgevende instelling zal de betaling weigeren omdat zij sterke authenticatie verwacht. Ofschoon zowel de uitgever als de acquirer correct handelen, kunnen betalingen toch geweigerd worden.
Conclusie
De bevoegde autoriteiten moeten dus gecoördineerd verlengingen toestaan. De Europese Bankautoriteit moet hier de rol van coördinator tussen de bevoegde autoriteiten opnemen.
In de epische film van Sergio Leone uit 1966 neemt The Good het goud, The Bad sterft en The Ugly wordt gered door de genade van The Good. Ik hoop dat het script van de film ook van toepassing is op PSD2.
