Innføring av PSD2stiller skjerpede krav til banker


Krav til risikovurdering, styring og kontroll av operasjonell og sikkerhetsmessig risiko, samt rapportering av svindel og sikkerhetshendelser, er blant områdene der det stilles utvidede og nye krav til banker fra 1. april 2019.

Aktuelt

Kravene kommer blant annet som følge av at såkalte tredjepartsaktører gis tilgang til kontoinformasjon fra bankene. Konsekvensen er økte krav til sikkerheten i bankenes systemer og økte kostnader for bankene.

En sentral del av EUs reviderte betalingstjenestedirektiv, PSD2, er introduksjonen av to nye betalingstjenester: betalingsfullmakttjenester og kontoinformasjonstjenester. Betalingsfullmakttjenester innebærer at kunden gir en betalingsfullmektig fullmakt til å iverksette en betalingsordre fra en av kundens betalingskontoer, for eksempel i forbindelse med netthandel, der kunden i stedet for å benytte kort, kan betale for en vare eller tjeneste direkte fra konto. Kontoinformasjonstjenester er en nettbasert tjeneste der en opplysningsfullmektig gir kunden en samlet oversikt over saldo- og transaksjonsopplysninger fra kontoer hos forskjellige banker, for eksempel i nettbaserte løsninger for personlig økonomi/budsjettprogram og lignende.

Utvidede krav til risikovurdering og rapportering

Kravet til risiko- og sårbarhetsanalyser før lansering av en ny betalingstjeneste og ved hendelser eller endringer av betydning for sikkerhetsnivået utvides. Dette innebærer blant annet følgende:

• Krav til styring og kontroll av operasjonell og sikkerhetsmessig risiko, herunder tiltak for å håndtere hendelser
• Transaksjonsovervåking for å avdekke uautoriserte transaksjoner og svindelforsøk

Risikovurderingen skal fortsatt gjennomføres minst årlig. I tillegg skal banken minst årlig både gi en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til bankens betalingstjenester og rapportere statistikk om svindel knyttet til betalingstjenestene, til Finanstilsynet.

Hendelsesrapportering også til kunden

Fristen for rapportering til Finanstilsynet om alvorlige og kritiske sikkerhetshendelser skjerpes og skal skje uten ugrunnet opphold. Dersom hendelsen påvirker eller kan påvirke kundenes økonomiske interesser, skal banken også uten ugrunnet opphold informere kunden om hendelsen, og om hvilke tiltak kunden kan iverksette.

Krav til sterk kundeautentisering

Krav til såkalt sterk kundeautentisering gjelder når kunden logger seg inn på betalingskonto via nettet, når kunden initierer en elektronisk betalingstransaksjon eller gjennomfører en handling som kan innebære risiko for svindel eller annet misbruk. Sterk kundeautentisering innebærer en løsning basert på bruk av to eller flere elementer som er uavhengig av hverandre, slik at eventuell kompromittering av ett element ikke vil påvirke de andre elementene. BankID er et eksempel på en tofaktor-autentisering, som innebærer bruk av både generert engangskode (noe du har) og passord (noe du vet).

Banken skal også gi tilbydere av betalingsfullmakt- og kontoinformasjonstjenester adgang til å benytte seg av autentiseringsprosedyrene som banken har gjort tilgjengelig for kunden.

Mer detaljerte krav og unntak følger av EU-forordning om krav til sikker kommunikasjon og sterk kundeautentisering som skal gjelde fra 14. september 2019. I perioden frem til dette tidspunktet skal bankene gjøre sine formater for iverksettelse av betalinger og kontoinformasjon tilgjengelig for testing for tilbydere av fullmakttjenester. Disse tjenestetilbyderne har likevel adgang til å tilby fullmakttjenester i denne perioden basert på de eksisterende systemer som bankene benytter for å gi sine kunder tilgang.

Plikter ved kundens bruk av fullmakttjenester

Dersom bankens kunder velger å inngå avtale med andre aktører om betalingsfullmakttjenester eller kontoinformasjonstjenester, stilles blant annet følgende krav til banken:

• Kundens adgang til å benytte slike tjenester kan ikke gjøres betinget av at det foreligger en avtale mellom banken og betalings- eller opplysningsfullmektigen.
• Banken skal gi fullmektigen nødvendig tilgang til kundens egne internettbaserte betalingskontoer. Unntak gjelder bare i visse tilfeller der banken har grunn til å tro at fullmektigen ikke har inngått nødvendig avtale med kunden.
• Banken kan ikke forskjellsbehandle betalingsordre som gis av kunden gjennom betalingsfullmektig og betalingsordre som gis direkte fra kunden, særlig med hensyn til tidspunkt for utførelse, prioritet og gebyrer, med mindre det foreligger saklig grunn.
• Banken kan ikke forskjellsbehandle forespørsler om informasjon som gis gjennom en opplysningsfullmektig, med mindre det foreligger saklig grunn.
• Banken skal umiddelbart etter mottak av betalingsordren fra betalingsfullmektig, gjøre all relevant informasjon om iverksettelsen og gjennomføringen av betalingstransaksjonen tilgjengelig for fullmektigen.
• Banken skal kommunisere på sikker måte med betalings- og opplysningsfullmektigene.

Ansvar overfor kunden

Selv om en betalingsordre er iverksatt via en betalingsfullmektig, er banken overfor kunden ansvarlig for tap kunden lider ved betalingstransaksjoner som er uautoriserte eller ikke korrekt gjennomført, uavhengig av om tapet skyldes forhold på bankens eller betalingsfullmektigens side.

I forholdet mellom banken og betalingsfullmektigen, er det imidlertid betalingsfullmektigen som innenfor sitt kompetanseområde har bevisbyrden for at transaksjoner var autentisert eller at det ikke var andre feil knyttet til uautoriserte eller mangelfullt gjennomførte betalingstransaksjoner. Dersom betalingsfullmektigen er ansvarlig, skal denne erstatte tapet som har oppstått.

Kundens egenandel ved bruk av fullmakttjenester er 400 kroner, og dermed lavere enn i andre tilfeller av misbruk av konto eller betalingsinstrumenter, der egenandelen som hovedregel er 1 200 kroner. Dersom banken ikke har overholdt krav til sterk kundeautentisering, skal kunden ikke bære noen del av tapet, med mindre kunden har opptrådt svikaktig.

Hvilke tiltak bør banken iverksette?

Som følge av de utvidede og nye kravene bør bankene i god tid før 1. april 2019 iverksette følgende tiltak:
• Oppdatering av kontoavtaler og kontovilkår.
• Oppdatering og utarbeidelse av rutiner, blant annet følgende:
    o Rutiner for sikkerhetshendelser og klager fra kunder som er knyttet til sikkerhet, herunder rapportering av sikkerhetshendelser og svindelstatistikk.
    o Rutiner for lagring og overvåkning av sensitiv betalingsinformasjon.
    o Prinsipper og definisjoner som brukes i innsamlingen av statistiske opplysninger om drift, transaksjoner og svindel.
    o Ruiner knyttet til sikkerhet, herunder risikovurdering av betalingstjenestevirksomheten og beskrivelse av kontroll og tiltak.
• Forberede grensesnitt for deling av informasjon med tredjepartsaktører.
• Innkjøp av systemer som er nødvendig for å oppfylle kravene til kundeautentisering og sikker kommunikasjon.

Skrevet av
Skrevet av

Publisert:

12. mars 2019

Hilde Høksnes

Stilling: Senioradvokat

Avdeling:Oslo

Kompetanse:

Kontaktinfo:h.hoksnes@selmer.no
+47 905 92 465

» Les mer om Hilde

Relaterte artikler:
Aktuelt

Lovfesting av
den ulovfestede
gjennomskjæringsnormen

Finansdepartementet fremmet i går, 10. april, forslag om lovfesting av den ulovfestede [...]

Aktuelt

NYE MEGLER-
STANDARDER
FOR LEIEKONTRAKTER

Meglerstandardene benyttes i de fleste leieforhold i eiendomsbransjen. I januar 2019 ble det [...]

Aktuelt

Skatt

personalgoder

Fra 2019 er det innført en rekke endringer i reglene for beskatning av personalgoder. I mars 2019 [...]