Open banking > PSD3
Payment Service Directive 3 (PSD3) is een uitbreiding op PSD2 met daarbij voorgestelde verbeteringen en uitbreidingen op het gebied van fraude protectie, consumentenrechten en -informatie en verbeteringen aan Open banking.
Nadere toelichting:
Voorstellen voor PSD3
Op basis van evaluatie PSD2.
(Bron Payment services: revised rules to improve consumer protection and competition in electronic payments, Europese Commissie 28 juni 2023. Onderstaand betreft een deel van de informatie uit het brondocument.)
Fraude
PSD3 zal verder gaan dan de PSD2 en nieuwe vormen van fraude aanpakken, zoals ‘spoofing’ (imitatiefraude), waardoor het onderscheid tussen ongeautoriseerde en geautoriseerde transacties vervaagt, aangezien de toestemming die de klant geeft om een transactie goed te keuren, wordt onderworpen aan manipulatieve technieken van de fraudeur. die bijvoorbeeld het telefoonnummer of e-mailadres van de bank gebruikt. Preventiemechanismen zoals SCA zijn tot nu toe onvoldoende geweest om dergelijke fraude te voorkomen.
Voorgestelde maatregelen zijn:
- De IBAN/naamcontrole (waarbij een betaling pas wordt afgerond nadat de bank heeft geverifieerd dat de naam op de rekening ‘matcht’ met de IBAN die aan die naam is gekoppeld) kan dit soort fraude helpen voorkomen.
De IBAN naam/nummer controle wordt volgens ons al toegepast in Nederland, door in elk geval de grootbanken (ABN, ING en Rabobank).
- Een wettelijke basis voor Payment Servce Providers (PSP's) om fraudegerelateerde informatie onderling te delen, met volledige inachtneming van de AVG (via speciale IT-platforms);
- Het versterken van transactiemonitoring;
- Een verplichting van PSP's om voorlichtingsacties uit te voeren om het bewustzijn van betalingsfraude onder hun klanten en personeel te vergroten;
- Een uitbreiding van het restitutierecht van consumenten in bepaalde situaties.
Consumentenrechten en informatie
Er zijn drie nieuwe eisen voorgesteld:
- Meer transparantie voor overmakingen en geldovermakingen vanuit de EU naar derde landen;
Voor overmakingen en geldovermakingen vanuit de EU naar derde landen stelt de Commissie een verplichting voor om de betalingsdienstgebruiker te informeren over de geschatte kosten voor het omrekenen van valuta. De methode om deze kosten uit te drukken zal worden afgestemd op de huidige informatievereisten voor intra-EU-transacties voor op kaarten gebaseerde transacties, d.w.z. uitgedrukt als een procentuele opslag op de laatst beschikbare referentiewisselkoersen voor de euro, uitgegeven door de ECB. Dankzij deze bepaling kunnen gebruikers de valutawisselkosten beter vergelijken, wat nodig is om een weloverwogen beslissing te kunnen nemen bij het kiezen van hun PSP. Betalingsdienstaanbieders moeten ook een geschatte tijd opgeven waarop het geld door de betalingsdienstaanbieder van de begunstigde in een derde land zal worden ontvangen.
- Meer transparantie voor betaalrekeningafschriften;
PSD2 regelt niet of de wettelijke naam of commerciële naam van een begunstigde (zoals een handelaar) op betaalrekeningafschriften moet worden gebruikt. Dit kan verwarring veroorzaken bij gebruikers die de naam die op hun afschrift staat mogelijk niet herkennen en ten onrechte een frauduleuze transactie vermoeden. Het voorstel bepaalt dat PSP's in betaalrekeningafschriften de informatie moeten opnemen die nodig is om de begunstigde ondubbelzinnig te identificeren, zoals een verwijzing naar de commerciële handelsnaam van de begunstigde.
- Meer transparantie voor de kosten van geldautomaten (ATM charges);
Om de transparantie van de kosten van geldautomaten voor betalingsdienstgebruikers te vergroten, zullen betalingsdienstaanbieders verplicht zijn gebruikers informatie te verstrekken over alle toepasselijke kosten die door andere exploitanten van geldautomaten in dezelfde lidstaat in rekening worden gebracht, zodat de gebruiker op de hoogte is vooraf de totale kosten die in rekening worden gebracht, ongeacht de gebruikte geldautomaat.
Het voorstel introduceert verduidelijkingen en wijzigingen die gericht zijn op het waarborgen van consistentie met de General Data Protection Regulation (GDPR), door:
- Te verduidelijken dat voor betalingsdienstaanbieders de toestemming om de persoonsgegevens van hun klanten in te zien en te verwerken beperkt is tot de gegevens die nodig zijn voor het verlenen van de specifieke betalingsdiensten die met de klanten zijn gecontracteerd.
- Het versterken van de bescherming van de gegevens van betalingsdienstgebruikers in de context van Open Banking-diensten, door de gegevens waartoe externe aanbieders toegang hebben te beperken tot het minimum dat nodig is voor het leveren van de door de gebruiker vereiste betaalinitiatie- of rekeninginformatiediensten (gegevensminimalisatie ) en door banken te verplichten een ‘dashboard’ aan te bieden waarmee gebruikers alle toestemmingen die zij aan externe aanbieders verlenen voor toegang tot de gegevens van hun betaalrekening kunnen visualiseren en beheren.
- Het verduidelijken dat de verwerking van betalingstransacties het noodzakelijk kan maken dat betalingsdienstaanbieders persoonsgegevens kunnen verwerken die betrekking hebben op de partijen bij een betalingstransactie, inclusief persoonsgegevens die onder de GDPR zijn aangemerkt als “speciale gegevenscategorieën”.
Verbeteringen Open banking
"Open banking is het proces waarbij Rekeninginformatiedienstverleners (Account Information Service Providers - AISP's) en Betaalinitiatiedienstverleners (Payment Initiation Service Providers - PISP's) diensten met toegevoegde waarde aan gebruikers aanbieden (of andere partijen in staat stellen deze te leveren) door - op verzoek van de gebruiker - toegang te krijgen tot hun rekeninggegevens die bij banken worden bewaard en andere betaalrekeningaanbieders".
PSD2 gaf open banking een stabiel regelgevingskader. Het legde banken de verplichting op om de toegang tot betalingsgegevens voor AISP’s en PISP’s via een beveiligde interface te vergemakkelijken.
Voorgestelde verbetering voor Open baking zijn onder andere:
- Er worden nieuwe substantiële eisen voor specifieke datatoegangsinterfaces voorgesteld.
- Er wordt een lijst met verboden obstakels voor gegevenstoegang geïntroduceerd.
- Mogelijkheden voor toegang tot onvoorziene gegevens zullen beschikbaar blijven voor aanbieders van open bankdiensten in specifieke en tijdelijke omstandigheden om hun bedrijfscontinuïteit te waarborgen in het geval dat de primaire interface uitvalt.
- Banken en andere aanbieders van betaalrekeningen zullen een ‘dashboard’ moeten opzetten waarmee consumenten van open bankdiensten in één oogopslag kunnen zien welke toegangsrechten tot gegevens zij hebben verleend en aan wie, en de toegang via dit instrument kunnen intrekken.
Bronnen
Einde toelichting begrip
Meer over PSD3 op deze website