Ondanks de aanlooptijd en de ruime media-aandacht zijn de nieuwe EU-betaaldienstenrichtlijn PSD2 en de implicaties ervan bij veel Duitse consumenten niet aangeslagen. Toch moeten banken nu interfaces aanbieden voor fintech-bedrijven.
Aan het begin van de maand is de Payment Services Directive2 (PSD2) van kracht geworden na een aanlooptijd van anderhalf jaar. Het doel van deze wet is:
- betalingstransacties veiliger maken,
- consumentenbescherming versterken,
- innovatie bevorderen en
- de concurrentie op de markt vergroten.
Dit gebeurt onder andere wanneer u zich aanmeldt bij online bankieren via 2-factorauthenticatie. Papieren iTAN-lijsten kunnen nu niet meer worden gebruikt. Wat de concurrentie betreft, moeten banken nu toestaan dat andere bij de financiële toezichthoudende autoriteit geregistreerde ondernemingen rekeninggegevens inzien indien de rekeninghouder daarmee instemt.
Volgens een online-enquête onder 1.000 consumenten in opdracht van de informatiedienstverlener Crifbürgel had 59 procent van de ondervraagde deelnemers in augustus 2019 nog nooit van PSD2 gehoord. De overige 41 procent kende de term, maar slechts 7 procent van de ondervraagden wist ook wat erachter zat. Als belangrijkste bron over het onderwerp PSD2 noemde 15 procent van de respondenten hun bank, gevolgd door de klassieke media met 11 procent en sociale media met 10 procent.
Paypal en Co.
Nauwelijks een op de zes respondenten (17 %) had ooit gebruikgemaakt van diensten waarvoor hij toegang tot zijn bankrekening gaf. Dit zijn bijvoorbeeld online vergelijkingssites of bankapps. Drieëntachtig procent zegt tot dusver nog geen gebruik te hebben gemaakt van dergelijke diensten. Toch maakt 70 procent van de respondenten gebruik van verschillende financiële apps van externe aanbieders: 59 procent gebruikt ze om geld over te maken, bijvoorbeeld met Paypal. 35 procent van de respondenten controleert zijn rekeningsaldo met een app voor mobiel bankieren zoals Numbrs en nog eens 24 procent gebruikt apps om met zijn smartphone te betalen. “Dat dergelijke functies ook met rekeninggegevens werken, dat de EU-richtlijn dus ook voor Paypal en co. geldt, en hoe toegangswegen en betalingsprocessen precies werken, wordt door de gebruikers blijkbaar nog niet helemaal begrepen”, zegt Christian Bock, bedrijfsleider bij Crifbürgel. “Dus voordeel verslaat kennis hier.”
Tot nu toe gaven gebruikers dergelijke diensten vaak gewoon de inloggegevens voor hun accounts, waarna deze toegang kregen tot de gegevens. Dit zal veranderen met PSD2: de aanbieders hebben nu de uitdrukkelijke toestemming van de gebruikers nodig, beveiligd door PIN en andere authenticaties – afhankelijk van de specificaties van de bank moet de toestemming om de drie maanden worden vernieuwd. Bovendien staan de aanbieders nu onder toezicht van de BaFin, wat vroeger niet het geval was. De PSD2-richtlijn versterkt dus de consumentenbescherming en maakt nieuwe diensten mogelijk: vergelijkingsportalen kunnen in de toekomst niet alleen de goedkoopste verzekeraars of elektriciteitsaanbieders vermelden, maar ook op basis van de rekeninggegevens van de klant nagaan of hij of zij niet te veel betaalt voor een verzekering of elektriciteit.
45 procent van de deelnemers aan de enquête gaf aan dat zij het zeer prettig zouden vinden om meldingen te ontvangen, bijvoorbeeld als zij geld kunnen besparen bij het overstappen naar een andere elektriciteitsaanbieder of verzekeraar. 34 procent zou het ook op prijs stellen om niet-bindende individuele aanbiedingen voor leningen of een nieuw elektriciteitstarief te ontvangen.
Bescherming tegen cybercriminaliteit
Er zijn ook op PSD2 gebaseerde aanbiedingen die de identiteit en gegevens van de klant helpen beschermen tegen misbruik. Hiertoe controleren specialisten de door de klant geregistreerde gegevens, zoals naam en adres, rekeningnummer of kredietkaartgegevens, zowel op internet als op het dark web, en brengen zij de klant op de hoogte wanneer verdachte of zelfs gestolen gegevens opduiken. Een dergelijke melding is voor 64 procent van de respondenten duidelijk interessanter dan een verzekering of persoonlijke bijstand (39 %) in geval van identiteitsdiefstal.
Bij de keuze van een dergelijke beveiligingsprovider is het voor 65 procent van de respondenten vooral belangrijk dat zij de toegang tot hun bankgegevens op elk gewenst moment kunnen intrekken. 55 procent geeft toegang als de aanbieder voldoet aan de Europese normen voor gegevensbescherming en nog eens 55 procent deelt zijn bankgegevens als hij al goede ervaringen heeft met de betreffende aanbieder.
Voor 67 procent is de eigen huisbank de meest betrouwbare aanbieder. In vergelijking met de waarde van 64% van het voorgaande jaar kon zij nog eens 3 procentpunten winnen en degradeert zij andere banken en kredietinstellingen tot de achterhoede met slechts 30%. Amazon wordt al vertrouwd door 26 procent van de ondervraagden. Andere bedrijven, zoals Google (15%) en Facebook (8%), staan daarentegen onderaan de lijst als het gaat om de vraag “Wie zou u vertrouwen om toegang te krijgen tot uw bankgegevens?”. Aanbieders als Numbrs (10 %) en N26 (12 %) doen het ook niet veel beter.
De concurrenten van de al langer gevestigde financiële instellingen zijn echter aan een inhaalslag bezig: In vergelijking met vorig jaar won Amazon 6 procentpunten, N26 en Numbrs elk 4, en zelfs Google en Facebook, die de achterhoede vormden, konden 2 procentpunten winnen. Tegelijkertijd won de eigen bank nog 3 procentpunten, terwijl de andere banken slechts 1 procentpunt wonnen.
“De race is begonnen. Ondanks mogelijke bezorgdheid over gegevensbescherming zullen internationale webbedrijven zoals Amazon binnenkort op gelijke voet staan met bedrijven in de Duitse banksector,” benadrukt Bock. “De angst van veel banken om het contact met de klant te verliezen is dan ook gegrond. Hun primaire doel moet dan ook zijn om met PSD2 hun dienstenaanbod uit te breiden, hun eigen partnernetwerken op te bouwen en zo klanten een toegevoegde waarde te bieden die zij zinvol en aantrekkelijk vinden.”
Omzetting lokt fraudeurs
Op dit moment profiteren cybercriminelen van de start van PSD2 en de daarmee gepaard gaande verwarring om bankgegevens buit te maken. In phishing-e-mails doen fraudeurs zich voor als een bank of betalingsdienstaanbieder zoals Paypal. Zij vragen de ontvanger om hun gegevens op valse bankwebsites in te voeren vanwege de PSD2. Anders dreigen zij een rekening te bevriezen als de klant niet op het verzoek ingaat.
Wie zo’n dubieuze mail ontvangt, moet in geen geval op links klikken of bestandsbijlagen openen. Banken en betalingsdienstaanbieders vragen nooit per post of telefoon om klantgegevens of toegangsgegevens tot rekeningen.