Opvolging aanbevelingen European Banking Authority aan toezichthouders ten aanzien van overgang van PSD1 naar PSD2

Ja, DNB volgt de aanbevelingen aan de nationale toezichthouders uit de Opinion of the European Banking Authority on the transition from PSD1 to PSD2 op. De opinion heeft betrekking op de overgangsbepalingen en op de vraag hoe om te gaan met het gegeven dat bepaalde Regulatory Technical Standards (RTS’en) en Guidelines nog niet van toepassing zijn op het moment dat PSD2 in Nederlandse wet- en regelgeving is omgezet of, daarop vooruitlopend, het vergunningverleningstraject al gestart is. De belangrijkste punten zijn de volgende:

• DNB spoort alle betaaldienstverleners aan zo spoedig mogelijk te voldoen aan de RTS on strong customer authentication and common and secure communication, vooruitlopend op de uiterste datum waarop daaraan voldaan moet zijn (18 maanden na formele vaststelling van de RTS door de Europese Commissie, wat nog moet plaatsvinden).
• Meer in het bijzonder beveelt DNB de rekeninghoudende betaaldienstverleners (vooral banken) aan spoedig een zogeheten dedicated interface te ontwikkelen en aan te bieden conform eisen uit de RTS SCA en CSC. Dat bevordert veilige communicatie tussen betaalinitiatie- en rekeninginformatiedienstverleners met de rekeninghoudende betaaldienstverleners. Minder wenselijke communicatiemethoden zoals screenscraping zijn dan niet meer nodig. Bovendien kan door het gebruik van een dedicated interface beter geborgd worden dat betaalinitiatie- en rekeninginformatiedienstverleners niet tot meer informatie toegang krijgen dan waar de klant om gevraagd heeft.
• DNB zal bij de vergunningverlening nieuwe betaalinitiatie- en rekeninginformatiedienstverleners aansporen om gebruik te maken van dedicated interfaces voor zover rekeninghoudende betaalinstellingen een dedicated interface al aanbieden.
• DNB zal de EBA Guidelines on security of internet under PSD1 niet meer toepassen in fasen conform de EBA Opinion. De onder PSD1 tot stand gekomen Guidelines on security of internet worden met het geleidelijk van toepassing worden van de nieuwe RTS SCA en SCO en de Guideline on incident reporting, overbodig. EBA zal de Guidelines on security of internet echter pas intrekken als PSD2 in zijn geheel is in gefaseerd.