PSD2 – breekijzer voor banken

Begin 2019 wordt de Europese Richtlijn betaaldiensten (Payment Services Directive, PSD2) in Nederland ingevoerd. Deze verplicht banken om concurrenten toegang te geven tot betaalrekeningen, mits de klant toestemming geeft. Dat is de opmaat voor open banking, een fundamentele verandering in het bankwezen.

PSD2 is de herziene versie van de Payment Services Directive (2007), het juridische fundament voor het girale betalingsverkeer in Europa. PSD2 is door de Nederlandse wetgever overgezet in het Burgerlijk Wetboek en de Wet op het financieel toezicht. De richtlijn regelt de rechten en plichten van de deelnemers, zoals wie als betaalinstelling mag optreden, het toezicht daarop, de voorwaarden rond betaaltransacties en de informatie daarover. PSD2 is verder uitgewerkt in vijf technische reguleringsnormen (regulatory technical standards, RTS) en zeven richtsnoeren (guide-lines) voor toezichthouders en marktpartijen.¹

Toegang tot de rekening

PSD2 beoogt meer concurrentie, meer innovatie, meer veiligheid en een betere consumentenbescherming in het Europese betalingsverkeer. De belangrijkste vernieuwing ten opzichte van de Richtlijn uit 2007 is dat PSD2 banken verplicht om toegang tot de betaalrekening te geven aan nieuwe typen betaalinitiatie- en informatiedienstverleners (zogenoemde derde partijen) op voorwaarde dat de rekeninghouder daarmee instemt. Dit markeert een trendbreuk. Van oudsher hebben banken hun gelden, gebouwen en systemen zoveel mogelijk beschermd en beveiligd. Nu verplicht PSD2 – als een juridisch breekijzer – hen de retailbetaalsystemen open te stellen. Voortaan moeten de banken het contact met, en betaaldata van, hun klanten delen met de derde partijen, mits deze een vergunning hebben.

Derde partijen

Wat doen de derde partijen? Zij bieden de klanten van banken nieuwe diensten aan. Zo stelt een betaalinitiatiedienstverlener de rekeninghouder in staat om met een app of pc een betaalopdracht te geven aan zijn bank. Daarmee biedt PSD2 een alternatief voor iDEAL- of kaartbetalingen. Een rekeninginformatiedienstverlener levert de rekeninghouder real-time overzichten en analyses van zijn betaaltransacties vanaf een of meer bankrekeningen bij een of meer banken.

Nieuwe commerciële mogelijkheden

Daarmee creëert PSD2 kansen voor nieuwe partijen in het betalingsverkeer, onafhankelijk van de banken. Grote retailbedrijven, zoals winkel- of supermarktketens, of telecomproviders, zouden een betaalinitiatiedienst kunnen opzetten om hun eigen betalingsverkeer te regelen, eventueel in combinatie met het gebruik van betaaldata. In de zakelijke markt kunnen softwarehuizen beide diensten aanbieden, om daarmee het betalingsverkeer en andere financieel-administratieve taken van bedrijven nog beter te integreren. Het is ook mogelijk dat big-techbedrijven – zoals Amazon, Facebook, Google of Tencent – toetreden en rekeninginformatie gebruiken voor (betaal)data-analyse.

Banken anticiperen

Uiteraard zitten de meeste banken niet stil. Zij mogen de nieuwe diensten al op grond van hun bestaande vergunning verrichten. Met toepassingen zoals Grip (rekeninginformatie) of Tikkie (online betaalverzoeken), en spin offs zoals Payconiq (mobiel betalen) en Peaks (beleggen met wisselgeld), die de afgelopen jaren op de markt zijn gekomen, hebben de Nederlandse banken vooruitlopend op PSD2 hun online positie versterkt. In dat licht heeft PSD2 al concrete effecten gehad, in elk geval in Nederland.

Zonder harmonisatie van de interfaces blijven digitale platformen gescheiden en dat belemmert de groei van nieuwe diensten

Open banking

De strategische betekenis van de nieuwe richtlijn reikt echter verder. PSD2 stimuleert het zogenoemde open banking. Meer en meer werken banken en nieuwe dienstverleners, vaak startups, samen in de ontwikkeling van innovatieve toepassingen voor internet en mobiel gebruik. Door uitwisseling van (zakelijke) data kunnen niet-bancaire en bancaire diensten volledig worden geïntegreerd. De mogelijkheden daarvoor zijn bijna eindeloos. Denk aan apps waarin producten (zoals auto’s, huizen of elektronica) of diensten (vliegreizen, concerten, festivals) worden aangeboden, onderling vergeleken, voorzien van financierings- of betalingsopties en eventueel een verzekering, en gekoppeld aan een loyalty scheme. Deze samenwerking betekent dat bancaire diensten in de toekomst meer en meer via digitale platformen of ecosystemen van samenwerkende dienstverleners zullen worden aangeboden.

Onbekend maakt onbemind

In dit perspectief zullen consumenten op langere termijn profiteren van de toenemende concurrentie, de verdergaande digitalisering en de innovaties die PSD2 teweegbrengt. Toch lijkt het gepast de verwachtingen op korte termijn wat te temperen. Bij het publiek zijn de richtlijn en wat zij beoogt nog nauwelijks bekend. Consumenten in ons land bijvoorbeeld zullen niet direct van iDEAL overstappen naar nieuwe, nog onbekende betaalinitiatiediensten. Over rekeninginformatiediensten zijn er zelfs grote zorgen over de bescherming van betaalgegevens en privacy. Daarbij speelt mee dat de grote big-techbedrijven betaalinstelling kunnen worden en rekeninginformatiediensten gaan verlenen. Dergelijke zorgen kunnen het potentieel van PSD2 belemmeren.

Privacy en veiligheid

De Europese wetgever heeft hierop geanticipeerd en maatregelen getroffen om de veiligheid en privacy te waarborgen. De belangrijkste vereiste voor toegang in PSD2 is de toestemming van de rekeninghouder. Wie niet wil dat een derde partij toegang krijgt tot zijn rekening hoeft geen toestemming te geven. Verder dient elke betaalinstelling geregistreerd te zijn bij, of een vergunning te hebben van, DNB of een buitenlandse toezichthouder. Daarmee komen de derde partijen onder toezicht. Dat toezicht wordt zoveel mogelijk geharmoniseerd en verscherpt met de eerder genoemde RTS’en en guidelines. Betaalinstellingen en banken dienen aan verscherpte beveiligingsstandaarden voor toegang te voldoen. Daarenboven geldt vanaf mei 2018 de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG), met strengere eisen aan de gegevensbescherming en hoge boetes voor partijen die zich niet daaraan houden.

Onvoldoende harmonisatie

Een tweede factor die het potentieel van PSD2 belemmert, is de geringe harmonisatie van de interfaces (voor toegang tot de rekening) tussen bank en derde partij. PSD2 en de desbetreffende RST beogen namelijk wel méér concurrentie en méér veiligheid, maar niet de harmonisatie van deze interfaces. Dat veronderstelt een zekere samenwerking tussen banken en derde partijen, maar die is tot nog toe onvoldoende gebleken. Hun belangen lopen immers niet parallel. Weliswaar zijn er inmiddels een aantal particuliere initiatieven in Europa voor standaardisatie van de interfaces, maar die zijn niet verplicht. Het gevolg is dat de nieuwe apps die startups ontwikkelen bankspecifiek zijn en niet zonder meer bij andere banken toepasbaar. Zonder verdergaande harmonisatie van de interfaces blijven de digitale platformen gescheiden en dat belemmert de groei van de nieuwe diensten. Het biedt bovendien kansen aan de big-techbedrijven, omdat die door hun grote omvang en slagkracht juist wel een internationale standaard kunnen neerzetten.

Tot slot

Al met al is PSD2 een belangrijke richtlijn. Zij regelt het girale betalingsverkeer, dat al vergaand is gedigitaliseerd. Zij zet deze ontwikkeling voort en biedt nieuwe kansen. Maar uiteindelijk gaat PSD2 over veel meer dan betalen.

Noot

1. Zie voor meer informatie ook de site van DNB.