De WNT: de topfunctionaris en zijn ontslagvergoeding | Kennedy Van der Laan

Europese Commissie stelt RTS vast: eindelijk duidelijkheid over ‘screen scraping’

Eerder schreven wij al over de nieuwe Payment Service Directive: PSD 2 (zie 1, 2 en 3). Eén van de belangrijkste aspecten van de nieuwe PSD is dat derde dienstenaanbieders, third party providers (“TPP”), recht op “toegang” tot de betaalrekeningen bij de banken krijgen om met toestemming van de rekeninghouder diensten te kunnen aanbieden. Dit wordt ‘Acces to Account’ (“XS2A”) genoemd.  XS2A is van toepassing op de aanbieders van twee in PSD 2 gedefinieerde betaaldiensten: betaalinitiatiediensten en rekeninginformatiediensten.

Toegang: API of ‘screen scraping’

Lange tijd bestond onduidelijkheid over hoe TPPs straks toegang (moeten) krijgen tot de betaalrekening: door middel van een Application Programming Interface (“API”) een digitale toegangspoort, of mogen zij ook gebruikmaken van ‘screen scraping’ – het gebruikmaken van de inloggegevens van de klant op de bestaande online klantenportals?

Bij TPPs bestaat de voorkeur voor de laatste mogelijkheid: zij vrezen dat als een bank de API zelf ontwikkelt, de bank zelf kan bepalen welke informatie beschikbaar wordt gesteld aan TPPs. Zou de bank zelf een beperking in de informatieverstrekking aanbrengen doen, dan leidt dat mogelijk tot een beperking voor TPPs bij hun toegang tot de betaalrekening – iets wat PSD 2 nadrukkelijk verbiedt.

Screen scraping is voor TPPs aantrekkelijker, want de medewerking van een bank is bij screen scraping niet vereist. Het risico bij screen scraping, zo menen tegenstanders, bestaat er echter uit dat TPPs potentieel buiten de reikwijdte van de toestemming van de klant informatie kunnen inzien of handelingen kunnen uitvoeren waartoe zij niet gemachtigd zijn. Daarnaast kleven er frauderisico’s aan het delen van inloggegevens met derde partijen.

De Europese Bankautoriteit (“EBA”) heeft zich als eerste over deze vraag uitgesproken, nu zij verantwoordelijk was voor het opstellen van de RTS die onder meer betrekking hebben op de wijze van toegang tot de betaalrekeningen.. De EBA bepaalde in februari 2017 dat toegang tot de betaalrekening door banken verleend moet worden door middel van ten minste één op open standaarden gebaseerde API, en dat screen scraping niet langer toegestaan zou zijn. Dit standpunt leidde tot controverse. De Europese Commissie nam in haar reactie in mei 2017 het standpunt in dat screen scraping wel (als fall-back) moest worden toegestaan.

Kogel (bijna) door de kerk

Op 27 november 2017 heeft de Europese Commissie de definitieve tekst van de RTS naar het Europees Parlement en de Raad gestuurd. Hieruit wordt duidelijk dat screen scraping na het inwerking treden van de richtlijn en de bijbehorende RTS in principe niet meer is toegestaan. Slechts in het geval XS2A (tijdelijk) niet mogelijk is, bijvoorbeeld omdat een API een technische storing ondervindt, mag een TPP onder voorwaarden gebruik maken van screen scraping. De RTS schrijven voor dat banken een zogenaamde rampenplan moeten hebben, waarmee TPPs worden geïnformeerd over het hoe en wat bij technische storingen.

Als de bank een eigen API heeft ontwikkeld die, kort gezegd, een hoge mate van betrouwbaarheid en beschikbaarheid heeft, dan moet de TPP die toegangswijze voor XS2A gebruiken. Bovendien mag de TPP bij een technische storing bij “goedgekeurde” APIs minder snel gebruikmaken van de terugvaloptie met screen scraping. Nationale autoriteiten zullen een rol gaan spelen bij het keuren van API’s. Met deze oplossing hoopt de Commissie een evenwichtige balans te creëren tussen een specifieke wijze van toegang, namelijk via een API vs. het voorkomen van totale afhankelijkheid van nieuwe dienstverleners van zo’n API onder omstandigheden waarin deze niet goed werkt.

De komende periode

Of de hierboven beschreven wijze van toegang tot de betaalrekening definitief is, moet de komende periode blijken. Het Europees Parlement en de Raad hebben nu drie maanden de tijd om de RTS goed- of af te keuren, en deze periode kan nog verlengd worden naar zes maanden. De discussie over en de lobby voor of tegen screen scraping is daarmee nog niet helemaal verleden tijd. Wordt vervolgd.

Annemieke van der Beek en Ate Bremmer adviseren diverse marktpartijen over de toepasselijkheid van de regels van de PSD 2. Meer weten over de aanstaande veranderingen? Neem contact op met één van hen.