Wat is de Payment Services Directive 2 (PSD2)?

PSD2, of de herziene richtlijn betaaldiensten, is een Europees beleid met doelstellingen met betrekking tot de beveiliging van online betalingen en concurrentie binnen de financiële sector. Het is een update van de oorspronkelijke richtlijn uit 2007. 

De regel vereist strengere cliëntauthenticatiemaatregelen voor online aankopen.  Een belangrijke verandering is dat banken verplicht zijn hun betaaldiensten en consumentengegevens te delen met gereguleerde externe leveranciers (TPP's), maar alleen met toestemming van de klant.  

De ‘open banking’ techniek heeft betrekking op inspanningen gericht op innovatie en de creatie van nieuwe financiële producten.  Het is van toepassing op transacties met EU/EER-valuta en heeft gevolgen voor betalingsdienstaanbieders binnen en buiten de EU/EER.

De primaire doelen van PSD2 zijn: 

• De Europese betaalmarkt verbinden en verder ontwikkelen. 
• Streven naar vergelijkbare operationele voorwaarden voor alle betalingsdienstaanbieders. 
• Focussen op betaalbeveiliging en consumentenbescherming. 

Het functioneert door toegang te verlenen tot bankrekeningen voor geautoriseerde derde partijen, wat mogelijk invloed heeft op innovatie en concurrentie.  Het heeft ook betrekking op transactiebeveiliging via Strong Customer Authentication (SCA) en gegevensbeschermingsmaatregelen.  

Hoewel deze maatregelen de beveiliging verbeteren, moeten consumenten altijd waakzaam blijven voor phishingpogingen. 

PSD2 introduceert regelgeving die bedoeld is om consumentenbescherming en marktconcurrentie te beïnvloeden. 

• Toegang door derden: Gereguleerde derde partijen kunnen met toestemming van de klant toegang krijgen tot betaalrekeningen. 
• Sterke klantenauthenticatie (SCA): SCA is vereist voor de meeste online transacties om de beveiliging te verbeteren. 
• Transparantie: Omvat het vaststellen van richtlijnen voor kostenstructuren en terugbetalingsprocessen. 
• Verbod op kosten: Ongerechtvaardigde kosten zijn verboden. 
• Klachtprocedure: Betalingsdienstaanbieders moeten een eenvoudige klachtenprocedure hebben. 
• Vrijstellingen: Transacties met een lage waarde (Low-Value Payment, LVP) zijn soms vrijgesteld van extra authenticatie om een balans te vinden tussen veiligheid en gemak. 

Strong Customer Authentication (SCA) is een beveiligingseis van PSD2 die een extra verificatielaag toevoegt om online betalingen veiliger te maken. 

Het verbetert de beveiliging door minimaal twee van de drie verschillende authenticatie-elementen te vereisen: 

• Kennis: Iets wat alleen de gebruiker weet (bijv. een wachtwoord of pincode). 
• Bezit: Iets dat alleen de gebruiker bezit (bijv. hun smartphone). 
• Inherentie: Iets dat de gebruiker is (bijv. een vingerafdruk of gezichtsscan). 

SCA maakt ook gebruik van dynamische koppelingen, waarbij de authenticatie direct wordt verbonden aan het specifieke transactiebedrag en de begunstigde.  Dit kan ongeoorloofde wijzigingen in de transactiegegevens na goedkeuring voorkomen.  Hoewel SCA het consumentenvertrouwen vergroot, staan verkopers en betalingsproviders voor de uitdaging om dit te implementeren zonder de klantervaring te verstoren. 

PSD2 verbetert de online betaalbeveiliging, voornamelijk door Strong Customer Authentication (SCA) en dynamische linking te vereisen. 

Het stelt ook specifieke beveiligingscriteria vast voor betaaldienstaanbieders, wat van invloed kan zijn op frauderisico's en de privacy van financiële informatie.  PSD2 omvat bepalingen voor kostentransparantie en definieert taken binnen betalingstransacties, wat mogelijk van invloed is op het klantvertrouwen. 

Het gebruik van beveiligingsmaatregelen zoals 3D Secure, zoals beschreven in PSD2, kan de beveiligingsprotocollen van online kaartbetalingen beïnvloeden.

PSD2 biedt zowel aanzienlijke kansen als opmerkelijke uitdagingen voor bedrijven. 

Kansen  

• Innovatie: Nieuwe spelers die de markt betreden, kunnen concurrentie vormen voor traditionele banken die financiële diensten aanbieden. 
• Betere transacties: Toegenomen concurrentie en nieuwe technologie kunnen leiden tot snellere, goedkopere en veiligere transacties. 
• Meer betaalmethoden: Een toename in beschikbare Betaalmethoden verbetert het klantgemak en kan het marktbereik van een bedrijf vergroten. 

Uitdagingen  

• Nalevingskosten: Bedrijven moeten kosten maken om hun systemen en processen te upgraden om aan de PSD2-normen te voldoen. 
• Beveiligingsrisico's: Er zijn verhoogde beveiligingsrisico's, met name met betrekking tot data in transit, wat zeer robuuste beveiligingsmaatregelen vereist. 
• Licenties: Bedrijven die namens zowel de koper als de verkoper optreden, moeten mogelijk een betaallicentie verkrijgen, wat de operationele complexiteit vergroot.

PSD2 heeft gevolgen voor klanten met betrekking tot de beveiliging van financiële transacties en verschuivingen in hun marktalternatieven. 

Het vereist Sterke klantenauthenticatie (SCA) voor de meeste elektronische betalingen en biedt klanten onmiddellijk toegang tot hun betalingstransactiegegevens.  De regel is er ook op gericht om terugbetalingen aan consumenten te faciliteren voor transacties die als onwettig zijn aangemerkt.  

PSD2's verlening van toegang tot accountinformatie (met toestemming) voor goedgekeurde externe providers heeft een verband met bedrijfsinnovatie en consumentenopties.  Hoewel de beveiligingsmaatregelen zijn verbeterd, blijft het belangrijk voor consumenten om hun inlogwachtwoorden te beschermen.