Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

01 juli 2020 Toezicht Toezichtlabel Q&A

Vraag:

Wanneer is volgens DNB sprake van opgeworpen obstakels door rekeninghoudende betaaldienstverleners die in het kader van het verlenen van betaalinitiatiediensten en rekeninginformatiediensten een speciale interface op basis van redirection hebben opgezet, obstakels zoals bedoeld in artikel 32 (3) van de RTS 2018/389?

Antwoord:


De Nederlandse tekst is leidend.

Er is volgens DNB sprake van opgeworpen obstakels als bedoeld in RTS 2018/389 indien de rekeninghoudende betaaldienstverlener met een speciale interface op basis van redirection in de klantreis binnen het bankdomein:

  1. De gebruiker twee keer of meer sterke cliëntauthenticatie (SCA, strong customer authentication) of log in, of een combinatie van log in en sterke cliëntauthenticatie laat uitvoeren;
  2. Management van de scope (bijvoorbeeld de tijdsduur) van consent in de het bankdomein laat plaatsvinden;
  3. Meer dan één bevestigingsscherm hanteert die een actie verlangt van de gebruiker;
  4. De gebruiker vraagt een betaalrekening te selecteren, terwijl de betaalrekening waarvoor toegang wordt gevraagd al door de betaalinitiatie- of rekeninginformatiedienstverlener is vastgesteld;
  5. De gebruiker vraagt (een) specifieke betaalrekening(en) aan te merken of te bevestigen, en de betaalinitiatie- of rekeninginformatiedienstverlener van de gebruiker niet informeert over de keuze van de gebruiker (en de bij de rekening behorende IBAN en tenaamstelling);
  6. Omleidingsschermen hanteert die een actie verlangen van de gebruiker (bijvoorbeeld “klikken”);
  7. De gebuiker vraagt een specifieke authenticatieprocedure te doorlopen, terwijl de rekeninghoudende betaaldienstverlener in de eigen gebruikersinterfaces ook andere, efficiëntere authenticatieprocudures ondersteunt (bijvoorbeeld wanneer op mobiele apparaten omleiding via de (online) webinterface plaatsvindt, terwijl betalingen die geinitieerd worden door gebruikers in de eigen kanalen van de rekeninghoudende betaaldienstverlener kunnen worden geauthentiseerd via de mobiele app);
  8. De gebruiker informatie verstrekt die vanuit het oogpunt van het doel van redirection, te weten authenticatie, overbodig is;
  9. Gebruik van ontmoedigende taal of presentatie.

Bovenstaande lijst is niet limitatief.

DNB acht uitzonderingen op punt 1 mogelijk indien de rekeninghoudende betaaldienstverlener gemotiveerde en gerechtvaardigde redenen kan aandragen die verband houden met veiligheid of (het terugdringen van) fraude, mits de rekeninghoudende betaaldienstverlener de gebruiker ook meerdere malen SCA laat uitvoeren in de vergelijkbare authenticatieprocedures in de eigen gebruikersinterfaces. Specifieke voorbeelden zijn hoogwaardige betalingen of betalingen waarvoor authorisaties van meerdere personen zijn vereist.

Toelichting

Recital 24 van RTS 2018/389 (over sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden) stelt dat speciale interfaces waarvoor vrijstelling voor de uitwijkvoorziening is verleend, moeten voldoen aan specifieke voorwaarden die onbelemmerde concurrentie garanderen.

Artikel 32 van RTS 2018/389 schrijft voor dat de door rekeninghoudende betaaldienstverleners (hierna: banken) aangeboden speciale interface geen obstakels opwerpt voor het verlenen van betaalinitiatie- en rekeninginformatiediensten door derde partijen.

In de bij artikel 33 van RTS 2018/389 horende guideline EBA/GL/2018/07 (betreffende de voorwaarden om in aanmerking te komen voor een vrijstelling van de uitwijkvoorziening) wordt als voorbeeld van obstakels onder andere beschreven: onnodige frictie of vertraging, het introduceren van overbodige stappen en/of het gebruik van ontmoedigend taalgebruik. Aangezien deze omschrijving ruimte voor interpretatie overlaat, wordt in deze Q&A nader geduid wat DNB als potentiële obstakels in de klantreis beschouwd.

Daarbij is uitgegaan van een analyse van het technisch minimaal aantal vereiste stappen voor authenticatie waarbij voldaan wordt aan de wettelijke beveiligingsmaatregelen. De Q&A heeft specifiek betrekking op het door de EBA toegestane redirection-model en beschouwt de gehele klantreis in zowel het domein van de derde partij als het domein van de bank. Hierbij is aandacht besteed aan een wenselijke klantervaring zoals onnodige frictie of vertraging en ontmoedigend taalgebruik.

Een klantreis zonder obstakels voor betaalinitiatiedienstverlening bestaat in het ideale geval uit één actie voor de klant in het bankdomein, waarbij de actie bestaat uit sterke cliëntauthenticatie (hierna: SCA) waarbinnen tevens een bevestiging wordt gegeven van de type betaling en begunstigde. Het kan echter ook het geval zijn dat een bevestiging als tweede actie geïntroduceerd wordt na de SCA-stap, wanneer de bank kan aantonen dat dit vanuit klantperspectief wenselijk is of wanneer er supplementaire informatie weergeven moet worden, zoals een accountselectie of kosten. Aangezien de klant heeft geauthenticeerd in de eerste stap van de klantreis binnen het bankdomein, kan de bevestiging worden uitgevoerd zonder extra SCA.

Een klantreis zonder obstakels voor rekeninginformatiedienstverlening bestaat in het ideale geval uit twee acties voor de klant in het bankdomein, waarbij de eerste actie bestaat uit SCA en de tweede actie een bevestiging is van de klant dat de klant akkoord gaat met de dienst (rekeninginformatiedienstverlening). Indien nodig, kan daarbij een selectiemenu worden gepresenteerd, om de relevante betaalrekening(en) te selecteren. Aangezien de klant heeft geauthenticeerd in de eerste stap van de klantreis binnen het bankdomein, kan een bevestiging worden uitgevoerd zonder extra SCA.

De bijlage aan deze Q&A bevat een nadere toelichting en visualisatie van bovenstaande stappen ten aanzien van betaalinitiatiedienstverlening en rekeninginformatiedienstverlening en voorbeelden van obstakels.

Relevant voor:

  • Banken
  • Betaalinstellingen