FinansWatch

Trods nyt betalingsregime tillader banker og datacentraler stadig nye spillere adgang til kundedata via kritiseret bagvej

Tidligere på måneden trådte nye standarder i kraft for, hvordan bankerne skal give nye spillere adgang til betalingsdata. Bankernes datacentraler har dog endnu ikke fået godkendt deres ansøgninger på området af Finanstilsynet, og dermed må nye spillere fortsat bruge omdiskuteret metode til at hente betalingsdata.

Foto: Anne Bæk/Ritzau Scanpix

14. september i år markerede en vigtig dato på betalingsområdet. Det var den dato, at nye afgørende reguleringsmæssige standarder for betalingsdata trådte i kraft.

Standarderne udstikker blandt andet spilleregler for, hvordan bankerne skal åbne deres infrastruktur op og afgive kundedata til nye finansielle spillere som eksempelvis fintechvirksomheder.

De tekniske standarder er knyttet til betalingstjenestedirektivet PSD2, som blandt andet har til formål at skabe fundamentet for nye innovative løsninger på betalingsområdet, herunder konto til konto-løsninger, der skaber billigere betalinger, og forbrugsoverblikstjenester.

Få uger efter ikrafttrædelsen kan man dog konstatere, at det på ingen måde kører på skinner med at give de nye spillere adgang til kundedata på den måde, som er grundtanken i direktivet, og som er den metode, som bankerne selv lægger op til at bruge.

Således oplyser både Danske Bank og de øvrige bankers datacentraler, at man fortsat tillader de nye finansielle spillere, der vil udvikle services på baggrund af betalingsdata, at de kan bruge en omdiskuteret metode til at hente dataene.

Mangler kontrol og præcision

Metoden er kendt under navnet "screen scraping." Screen scraping indebærer, som navnet antyder, at de nye finansielle spillere, også kendt som tredjeparter, fortsat rent teknisk må "skrabe" brugerens skærm for betalingsoplysninger med brugerens samtykke.

Den metode er i udgangspunktet ikke så kontrolleret og effektiv, som hvis adgangen sker gennem en teknisk grænseflade kaldet API (Application Programming Interface).

Ved en API er der i praksis tale om et stykke softwarekode, som tredjeparterne relativt enkelt kan koble sig på, og som skaber en højere datasikkerhed. De fleste banker ønsker da også, at adgangen skal ske via en API, og derfor har man sat datacentralerne på en opgave i forhold til at udvikle disse API’er op til 14. september.

Nu godt to uger efter deadlinen har Finanstilsynet, som selv er kritisk overfor skrabemetoden grundet den manglende kontrol og dårligere datasikkerhed, dog endnu ikke kunne godkende datacentralernes ansøgninger om overgang til API'er.

Fintech-direktør: Plads til forbedring

Spørger man Rune Mai, stifter og direktør hos Spiir, der har udviklet en app, der gør brug af bankdata, er datacentralernes API’er da heller ikke uden uregelmæssigheder.

"API'erne er ikke perfekte endnu. Det er lidt, som vi forventede, for der er tale om ret store projekter i datacentralerne, og en ny måde at gøre tingene på, så derfor har vi heller ikke forventet, at alt ville spille fra dag et, men jo – der er plads til forbedring,” siger Rune Mai til FinansWatch.

Historisk har Spiir selv gjort brug af screen scraping. I 2014 valgte Jyske Bank at politianmelde virksomheden for kopiering af kundedata – en anklage, som man ikke fik medhold i, og siden er Jyske Bank gået over til at bruge Spiirs løsninger til at hente betalingsdata.

Det gør, at Jyske Bank-kunder, der også er kunder i andre banker, har mulighed for at få et samlet overblik over deres privatøkonomi i Jyske Banks app.

Mulighed for at lukke ned for omdiskuteret metode

Hvis bankerne får godkendt deres ansøgninger af Finanstilsynet, får de lov til at lukke ned for tredjeparters brug af screen scraping. På den måde kan bankerne bedre kontrollere den måde, som man giver adgang til betalingsdata på. Indtil der opnås en godkendelse af API'erne vil screen scraping fortsat være en mulighed.

Selvom screen scraping på ingen måde er optimalt, så har det fra EU-Kommissionen været holdningen, at i tilfælde af dårlige API'er hos bankerne skal man også tage hensyn til de nye tredjeparter, og den innovation og konkurrence man håber, at de kan skabe på betalingsområdet.

Bankdata, der blandt andet har Jyske Bank og Sydbank i folden, oplyser, at man ikke har planer om at forhindre tredjeparter i at screen scrape. Det har til gengæld både SDC – der blandt andet har Sparekassen Kronjylland og Lån & Spar i ejerkredsen – BEC, der blandt andet er ejet af Nykredit, Arbejdernes Landsbank og Spar Nord, samt Danske Bank dog planer om.

SDC udtaler til FinansWatch, at ansøgningen stadigvæk er under behandling af Finanstilsynet, og man "har derfor hverken fået fritagelse eller pålæg" i forhold til screen scraping.

"Af denne årsag er der uændret adgang til data for TPP'ere (tredjeparter, red.) af eksisterende kanaler. Når vi modtager fritagelse fra Finanstilsynet, vil der blive lukket ned i en kontrolleret proces, som giver TPP'ere rimelig tid til at konvertere."

Danske Bank oplyser, at man lægger vægt på, at tredjeparterne og disses løsninger fungerer.

"Hvor længe screen scraping skal være muligt, har vi ikke taget stilling til. Vi ønsker først og fremmest, at tredjeparter kan migrere deres løsninger over til vores API’er i ro og mag, så både de og vores kunder får en god oplevelse."

BEC oplyser som de øvrige datacentraler, at Finanstilsynet fortsat behandler datacentralens ansøgning om at blive fritaget for at give adgang via screen scraping.

Finanstilsynet oplyser, at man endnu ikke har truffet afgørelser om datacentralernes ansøgninger, men at man oplyser det, når det sker.

Banker lægger regelbyrde over på kunderne

Fintech-direktør frygter bebudet liberalisering af betalingsmarkedet bliver amputeret før det kan gå

Relaterede

FinansWatch trial banner 14 dage.jpg

Seneste nyt

Finansjob

Se flere

Se flere