Marc Lainez
Marc LainezVP Connectivity & Co-founder Ibanity
I lead the ibanity team within Isabel Group, overseeing operations, product development, sales and customer service.
blockchain development

PSD2 en de FinTech-sector: zegen of vloek?

Op het Europese vasteland zien steeds meer FinTech-bedrijven het levenslicht. Allemaal moeten ze rekening houden met de herziene richtlijn betalingsdiensten (PSD2). Wat zijn de belangrijkste uitdagingen van die richtlijn en hoe kunnen FinTech-bedrijven daarmee omgaan?

Kenmerkend voor FinTech-bedrijven is dat ze precies weten vast te stellen wat klanten nodig hebben en snel nieuwe diensten kunnen ontwerpen, en dat in een anderszins traditionele financiële markt.

Volgens mij zijn er drie redenen waarom FinTech-bedrijven zo snel op de behoeften van klanten kunnen inspelen:

  • ze reageren snel door hun ‘lean & agile’ managementfilosofie;
  • ze leveren eenvoudige, maar efficiënte digitale processen;
  • ze leggen zich volledig toe op de oplossing van een zeer beperkt aantal problemen van klanten.

Maar volstaat dat om het hoofd te bieden aan de uitdagingen die PSD2 met zich meebrengt?

Investeren in vertrouwen

Vóór PSD2 waren samenwerkingen met banken alleen mogelijk via een partnership op lange termijn of door gebruik te maken van alternatieve methoden zoals screen scraping*. PSD2 creëert voor alle spelers gelijke voorwaarden door op een eenvoudigere manier toegang te bieden tot de bankrekening van een klant. Dat betekent dat FinTech-bedrijven inmiddels over een degelijk juridisch kader beschikken om bepaalde informatie te raadplegen die zij nodig hebben om innovatieve diensten te ontwikkelen.

Een aantal banken is nog steeds niet helemaal overtuigd van een samenwerking met FinTech-bedrijven die optreden als externe aanbieders van betalingsdiensten (TPP’s)**. Dat komt door de verschillen in risicoappetijt. Veiligheid wordt tegenwoordig alsmaar belangrijker en FinTech-bedrijven moeten dan ook aantonen dat ze de juiste organisatorische en technische maatregelen hebben genomen om de gegevens van hun klanten te beschermen.

Verder vreest een aantal banken ook dat ze hun concurrentievoordeel verliezen wanneer ze onderdelen van hun back-endsysteem openstellen. En dat is niet helemaal onterecht: open banking betekent voor banken een enorme verandering. Niet alleen systemen, processen en regels veranderen, maar ook de hele achterliggende filosofie. Een van de grote uitdagingen bestaat erin om op precies het juiste moment nieuwe kansen aan te grijpen door optimaal in te spelen op regelgeving zoals PSD2.

FinTech-bedrijven zullen ook veel tijd moeten besteden om het vertrouwen van de klanten van de bank te winnen. De klant moet begrijpen wat er met zijn financiële gegevens gebeurt en waarom. Sommige klanten vinden het wellicht eng om een nieuwe marktspeler toegang tot hun bankrekening te verlenen. Het zal dan ook tijd vergen om met die klant een vertrouwensrelatie op te bouwen. Voor het FinTech-bedrijf is die vertrouwensband echter cruciaal en zeker de inspanning waard.

Toepassing van de regelgeving, vandaag en morgen

Een FinTech-bedrijf dat optreedt als TPP en dat rechtstreeks toegang wil krijgen tot de gegevens van een klant dient verschillende Europese wetten en voorschriften na te leven.

De drie belangrijkste regels die gelden voor betaaldiensten zijn de PSD2-richtlijn, de richtlijn tegen het witwassen van geld (een aantal regels om fraude en witwaspraktijken in de EU te bestrijden) en de Algemene Verordening Gegevensbescherming (AVG of GDPR, de Europese verordening uit 2018 om de wetgeving inzake gegevensbescherming op elkaar af te stemmen).

Elk van die richtlijnen en verordeningen brengt specifieke uitdagingen met zich mee en de invoering ervan is uiterst complex gebleken, vooral omdat er soms onderlinge tegenstrijdigheden zijn.

Over het algemeen raad ik FinTech-bedrijven aan om de volgende punten in overweging te nemen:

  • Wees transparant in de manier waarop de toestemming van de klant wordt verkregen en beheerd.
  • Zorg ervoor dat de doorgegeven betaalinformatie en persoonsgegevens veilig worden beheerd. Kies een van de beproefde methoden die voor de sector bestaan. Het wiel telkens weer uitvinden, is nergens voor nodig.
  • Definieer verantwoordingsplicht, aangezien PSD2 geen contractuele relatie tussen banken en TPP’s vereist. Een FinTech-bedrijf dat optreedt als TPP dient een passend niveau van gegevensbeveiliging te waarborgen.
  • Stel op basis van evaluaties relevante processen en controlemaatregelen voor witwasbestrijding op, op de juiste plaats in de PSD2-keten.
  • Voorzie een gepaste documentatie van alle rollen en verantwoordelijkheden van alle partijen die bij de keten betrokken zijn.
  • Vergeet niet dat de lokale toezichthouder op elk moment een audit kan uitvoeren …

Geen API-normen voor banken

FinTech-bedrijven zijn net als andere start-ups en kiezen bij voorkeur de weg van de minste weerstand. Als bankintegratie tot stand kan worden gebracht op een manier die even goed is, maar sneller dan een optie die ze zelf moeten implementeren, dan zullen de meeste deze optie kiezen. Precies dat is de toegevoegde waarde van API***-aggregatoren zoals Ibanity. Er zijn TPP’s die tijd en geld zullen besteden aan een afzonderlijke integratie met alle banken. Maar op dit moment bestaat er geen Belgische of Europese norm die algemeen voor bank-API’s wordt gebruikt. Dat betekent dat er voor elke integratie weer een nieuw soort wiel wordt uitgevonden. FinTech-bedrijven hebben allicht wat beters te doen. Bankintegratie is immers niet hun kernactiviteit. FinTech-bedrijven moeten zich toeleggen op de ontwikkeling van klantvriendelijke financiële diensten en de oplossing van specifieke problemen van klanten.

Wat compliance betreft, zouden FinTech-bedrijven ook kunnen samenwerken met aggregatoren of grote TPP’s om complianceprocessen uit te besteden. Dat betekent niet dat FinTech-bedrijven niet aan minimumvereisten hoeven te voldoen – ze hebben immers nog steeds verantwoordingsplicht. Het is dan ook belangrijk om bij de uitbesteding van processen het juiste evenwicht te vinden.

De PSD2-deskundigen van Isabel Group bij Ibanity hebben een gratis witboek opgesteld over autorisatie voor API-aggregatoren (EN).


*Screen scraping is het proces waarbij gegevens uit één applicatie vanaf een scherm worden uitgelezen en worden omgezet zodat ze in een andere applicatie kunnen worden weergegeven. Normaal wordt de techniek gebruikt om gegevens uit een oudere applicatie weer te geven met behulp van een modernere gebruikersinterface (vrij vertaald naar Techopedia).

** Externe aanbieders van betalingsdiensten (Third Party Payment Service Provider of kortweg TPP’s) zijn de aanbieders van minder traditionele betaaldiensten zoals iDEAL, PayPal en Amazon Payments.

*** Een API, voluit ‘Application Programming Interface’, is een onderdeel van een server dat signalen ontvangt en verzendt. In principe is het een manier waarmee servers met elkaar kunnen communiceren. (Op deze webpagina wordt het duidelijk uitgelegd.)