Alt om PSD2, AISP-licens, PISP-licens og open banking

PSD2 gør 2020 til året for open banking. Bankerne deler deres data med virksomheder, der kan skabe innovative og fede produkter oven på de data.

Hvis du har hørt alle de lange, mærkelige forkortelser som AISP-licenser, ASPSP og PISP-licenser på det sidste og er lidt i tvivl om, hvad det overhovedet betyder, så er artiklen her for dig.

Når du har læst den ved du alt, der er værd at vide om PSD2, kontooplysningstjenester og betalingsinitieringstjenester.

Hvad er en AISP-licens?

AISP-licensen tillader at behandle og se kontoinformationer på vegne af kunder, uden særaftale i banken. En AISP kan altså ikke betale på vegne af kunden, kun indhente, behandle og se bankdata. Licensen uddeles af Finanstilsynet.

Hvad er PSD2?

PSD2 står for Revised Payment Services Directive eller revideret betalingstjenestesdirektiv. 

Det er et EU-direktiv, der skaber fælles standarder for betalinger og bankdata i EU.

Tjenesten trådte fuldgyldigt i kraft fra september 2019 i Danmark efter en overgangsperiode der startede i 2018. 

Der er mange elementer i det lange, snørklede dokument. Men nogle af de vigtigste at forstå for den fintech-interesserede handler om tredjepartsudbydere og de tilhørende licenser. Derudover skabes der regler for en bedre sikkerhedsgodkendelse.

Som de fleste EU-regler er der to store formål med direktivet

  • At ensrette måderne betalinger håndteres gennem hele EU
  • At åbne op for konkurrence på markedet ved at skabe to nye services: betalingsinitieringstjeneste (PISP-licens) og kontooplysningstjenester (AISP-licens).

Er du den helt store juranørd kan du læse følgende konsoliderede udgave af direktivet. Alternativt skal du bare læse denne artikel, og så har du alt det information du skal bruge. 

Du kan også hos Finanstilsynet få en tidslinje over implementeringen af PSD2

Hvad er open banking?

En af de store formål med PSD2 er at bryde op med bankernes monopol på kundernes data. Her ser vi også en udvikling fra GDPR over mod PSD2, hvor formålet er at give kontrollen over data tilbage til kunden.

PSD2 introducerer dermed tredjepartsudbydere. Det betyder, at tredjeparter – det vil sige virksomheder der ikke er dig eller din bank – kan få adgang til bankernes data og bygge løsninger oven på den data, banken har. Disse tjenester kan tage to former, som vi forklarer senere.

Netop åbningen af data fra bankerne kaldes – sjovt nok – “open banking” i daglig tale. MobilePay er nok en af de mest berømte produkter der er bygget på den filosofi.

Appen muliggør betalinger på tværs af banker, og er dermed et eksempel på ensretning af standarder. 

Hvad er en AISP/Kontooplysningstjeneste?

AISP står for Account Information Service Provider. På godt dansk siger vi kontooplysningstjeneste. At blive AISP kræver en licens, der udbydes af de finansielle tilsynsmyndigheder i et pågældende europæisk land. 

Som AISP/Kontooplysningstjeneste har man retten til at hente, behandle og præsentere kontoinformationer som tredjepartsudbyder.

Et eksempel er Kontolink. Transaktionerne hentes direkte fra bankens data, de behandles ved at informationerne trækkes ud og bruges til at spore bilag, hvorefter de præsenteres i appen til godkendelse.

Kontolink fik som en af de første i Danmark en AISP-licens

En AISP kan ikke lave betalinger på vegne af brugeren. 

Hvilken forskel gør en AISP-licens?

Det nyskabende ved licenserne er, at en AISP skal kunne få lov at tilgå data på vegne af deres kunder uden en særlig aftale med banken. På EU-jurasprog kaldes banker her for en ASPSP, eller Account Servicing Payment Service Provider.

Hvad er PISP/Betalingsinitieringstjeneste?

En PISP eller Betalingsinitieringstjeneste er en tredjepartsudbyder, der kan foretage betalinger på vegne af kunden.

Forestil dig at skulle købe noget på en hjemmeside. Men i stedet for at bruge betalingskort, der kan have store gebyrer og for øvrigt tage ekstra tid, så betales der med en direkte overførsel fra kontoen. 

Det lyder måske ikke vildt og voldsomt, men en mere strømlinet og nem proces for at betale er globalt efterspurgt af virksomheder, der kan spare tid og penge på det.

Ligesom med AISP, så vil en PISP/Betalingsinitieringstjeneste-licens betyder, at betalingsudbyderen ikke behøver have et kontraktligt forhold til den bank (ASPSP) kunden bruger.

Hvem uddeler licenser i Danmark?

Det står Finanstilsynet for i Danmark. Herfra kan du søge tilladelse. Det er en langvarig proces, der kræver mange timers arbejde og mange hundrede siders dokumenter, der skal udfyldes.

En virksomhed får ikke tildelt licens hvis ikke de har personalet, sikkerheden, procedurerne og policyerne i orden. Formålet med PSD2 er ikke at skabe et det Vilde Vesten for bankdata, men tværtimod at kunderne kan vide sig sikker på at deres data bliver opbevaret og brugt fortroligt og sikkert uanset, hvem der gør det.

Hvilke virksomheder har AISP og PISP?

Finanstilsynet fører et register over virksomheder, der har AISP og PISP-licenser. Hos dem får du et overblik over alle betalingsinitieringstjenester og kontooplysningstjenester i hele Danmark. 

Er det sikkert at dele bankdata?

Det er lige så sikkert, som det altid har været at dele data. Det er stadig dig, der bestemmer, hvem der har adgang til din bankdata. 

Samtidig har PSD2 indført en række nye sikkerhedskrav. De kaldes SCA eller Strong Customer Authentication. 

SCA indebærer, at en tredjepartsudbyder (AISP/PISP) skal bruge mindst to ud af tre følgende elementer i godkendelsesproceduren:

  • Noget kunden har: en telefon, en computer, en nøglebrik
  • Noget kunden ved: en pinkode, kodeord
  • Noget kunden er: fingeraftryk eller ansigtsgenkendelse.

Så faktisk betyder PSD2 ikke, at dine data er mindre sikre end før men det modsatte: at du altid kan være sikker på hvordan din data behandles. Og du kan altid tilbagekalde din samtykke til at dele denne data. 

Hvad betyder det for mig?

For dig skulle det gerne betyde to ting:

  1. Kontrol over dine bankdata
  2. En storm af innovation i finanssektoren

Kontrol over dine data

I gamle dage var det kun din bank der vidste, hvad du bruger dine penge på. Det betyder at kun de havde adgang til alle dine data. Du kunne ofte lave kontoudtræk der kunne deles med f.eks. En bogholder eller revisor. Et er at det er en manuel og langsom proces, noget andet er, at det stadigvæk ikke indeholder alt det data om transaktioner, som din bank har.

En stom af innovation og et kig ind i fremtiden

Bankerne har helt vildt meget data, og det er struktureret rigtig godt. Det er alle dine transaktioner, hvem der modtog penge, hvem du modtager fra, i hvilken valuta og så videre.

Nu med PSD2 bestemmer du selv om andre virksomheder skal have indsigt i dine transaktioner. Det betyder eksempelvis at vi kan sætte regnskabet på autopilot, at du kan få altid opdaterede interaktive budgetter eller noget helt tredje.

Når dataen åbnes gøres der plads til fri konkurrence, hvor virksomheder kan forsøge at udvikle de løsninger, du efterspørger.

Samtidig er sikkerheden som sagt øget markant, så du kan sove tryggere om natten med viden om, at data om din økonomi er opbevaret trygt og sikkert.

Med PSD2 kan vi forvente nyskabende løsninger, der gør de data du skaber hver gang du bruger din bank, kan gøre gavn for din virksomhed.

Det kan være i form af nemmere betalinger, et overblik over din økonomi eller et langt mere automatiseret regnskab som det vi arbejder for i Kontolink.