Toinen maksupalveludirektiivi (PSD2) tulee voimaan 14. syyskuuta. Se muun muassa lisää turvallisuutta sekä avaa maksuliike- ja tilitietopalveluja kilpailulle ja mahdollistaa sen, että myös muut toimijat kuin tilinpitäjäpankki voivat tarjota tilinomistajalle tämän maksutileihin liittyviä palveluita. Toinen tärkeä uudistus on vahvan sähköisen tunnistamisen vaatimus, joka ulottuu koskemaan kaikkea maksamista, myös perinteistä kortilla maksamista.
Finanssiala ry:n johtava asiantuntija Teija Kaarlela toteaa ykskantaan, että PSD2:ssa on vielä valtava määrä epäselviä asioita. Yksi tärkeimmistä on korttimaksamisen tunnistamiseen mahdollisesti liittyvä siirtymäaika: Kuinka nopeasti pankkien ja kaupan järjestelmien tulee olla vahvan tunnistamisen suhteen PSD2-kunnossa?
”Euroopan pankkiviranomainen EBA on antanut kansallisille viranomaisille valtuudet sopia siirtymäajasta, jos riittäviä teknisiä valmiuksia ei vielä ole. Esimerkiksi Britannian viranomainen on antanut toimijoille aikaa 18 kuukautta. Suomen viranomainen ei ole kertonut kantaansa. Suomessa ei siis ole selvää, onko aikaa vajaa kuukausi, joitakin kuukausia vai mahdollisesti puolitoista vuotta?” Kaarlela ihmettelee.
Seuraavassa käsittelemme PSD2:sta nousevia keskeisiä kysymyksiä nimenomaan kuluttajanäkökulmasta.
Mitä hyötyä uudistuksesta on?
PSD2:n tärkein tarkoitus on parantaa kuluttajansuojaa ja maksupalvelujen turvallisuutta. Niin kutsuttua vahvaa tunnistamista vaaditaan käytännössä aina käytettäessä tilitieto- ja maksupalveluita myös pankin omissa palveluissa. Näin varmistetaan, että niin uudet palveluntarjoajat kuin pankitkin noudattavat tiukkoja turvatoimia ja tietoturvakäytäntöjä.
PSD2 myös edistää kilpailua pankkitoimialalla ja mahdollistaa uudenlaisten palveluiden luomisen. Asiakas voi halutessaan tarkistaa saldon ja tilitapahtumat myös muiden kuin oman pankkinsa palveluissa.
”PSD2:n myötä syntyvä uusi palvelu voisi olla vaikkapa taloudenhallinnan työkalu, joka kokoaa yhteen sovellukseen kaikki tilit ja eri lähteistä tulevat laskut, kuten jäännösverot, bussilipun kuukausimaksut ja jäsenmaksut”, Kaarlela visioi.
Mitä tarkoittaa vahva tunnistautuminen?
Vahva tunnistaminen perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta:
1. Tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi PIN-koodi tai salasana)
2. Hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi älypuhelin tai tunnuslukulaite)
3. Maksupalvelun käyttäjän yksilöivä ominaisuus (esimerkiksi sormenjälki)
”Fiva muistuttaa, että muutokset on toteutettava niin, että kaikkien asiakasryhmien mahdollisuus käyttää tunnistusvälineitä jatkuu ilman katkoksia. Tätäkin toteuttamista helpottaisi, jos lopullinen deadline kerrottaisiin”, Kaarlela sanoo.
Mitä tapahtuu painetuille tunnuslukulistoille?
PSD2:n myötä joidenkin pankkien käyttämät painetut tunnuslukulistat jäävät historiaan. Painetuissa listoissa piilee väärinkäytön vaara, koska niiden kopiointi on teknisesti helppoa esimerkiksi valokuvaamalla.
”Tunnuslukulistat eivät ole katoamassa yhdessä yössä. Finanssivalvonta on linjannut, että listoista voidaan luopua vasta, kun on turvattu, että siirtyminen paineituista listoista esimerkiksi kännykkäsovellukseen tapahtuu ilman, että tunnistamisvälineen käyttöön tulee katkoksia. Listoista luopumisen aikataulu siis vaihtelee pankeittain.”
Tarvitseeko jatkossa vaikkapa HSL:n kertalipun ostaessa verkkopankkitunnuksia?
”Tämä riippuu Finanssivalvonnan, pankkien ja lainsäätäjien linjauksista. Tällainen pienten maksusuoritusten hoitaminen on yksi tärkeistä vielä avoimista kysymyksistä”, Kaarlela sanoo.
Mistä tiedän, että muun kuin pankin tarjoama palvelu on turvallinen?
Kaikki maksupalvelujen tarjoajat tarvitsevat toimiluvan tai rekisteröinnin, jonka Finanssivalvonta myöntää ja joita se valvoo. Lupa voi olla myös toisesta ETA-maasta. Lupatiedot löytyvät valvontaviranomaisten rekistereistä.
Perinteiset turvallisuusohjeet ja maalaisjärki auttavat tässäkin.
”Luotettava palveluntarjoaja ei kysy sähköpostilla tai puhelimitse esimerkiksi luottokorttitietoja tai tunnuslukuja. Luotettavasta palveluntarjoajasta on myös helppo löytää tiedot toiminnasta, yhteystiedoista ja valvovasta viranomaisesta.”
Kuka ulkopuolinen tililleni pääsee ja mitä tietoja hän näkee?
Niistä tileistä, jotka käyttäjä on liittänyt tai hyväksynyt palvelussa käytettäväksi, palveluntarjoaja näkee samat tiedot kuin käyttäjä verkkopankissaan. Oikeus päästä tilille perustuu aina käyttäjältä saatuun nimenomaiseen suostumukseen.
”PSD2 ei avaa tilitietoja kenelle tahansa. Palveluntarjoajalla on oltava toimilupa, ja käyttäjältä on aina pyydettävä suostumus tilille pääsyyn”, Kaarlela korostaa.