[EN]Changes in Strong Customer Authentication (SCA) for Account Information Service Providers (AISP)
Updated: Jun 28, 2022
Mai jos regărești și varianta în limba română
The beginning of April this year came with some interesting changes proposed by the European Banking Authority (EBA), when publishing the Final Report on the amendment of its technical standards on the exemption to strong customer authentication for account access, under the PSD2 Directive.
What are the main changes?
The EBA Report introduces a mandatory exemption to SCA (Strong Customer Authentication) for customers accessing their payment account information when they use an Account information service provider (AISP) under certain conditions. ‘The amendment aims to reduce frictions for customers using such services and to mitigate the impact that the frequent application of SCA and the inconsistent application of the current exemption have on AISPs’ services.’
As per EBA competency, the Regulatory Technical Standards (RTS) were modified as follows:
‘Introduction of a new mandatory exemption to SCA, for the specific case when access is through an AISP and only if certain conditions are met’. These conditions are as follows: the information accessed is limited to the balance of the account and/or the recent transaction history; no sensitive payment data are disclosed; and SCA is applied when the account information is accessed for the first time, and renewed periodically.
‘Limitation of the scope of the voluntary exemption in Article 10 RTS to instances where the customer accesses the account information directly’. In other words, ASPSPs (namely banks) can decide whether to apply the exemption based on its risk assessment in this case, and will have the ability, but not the obligation, to apply a timeline for the renewal of SCA of up to 180 days.
‘Extension of the timeline for the renewal of SCA from every 90 days to every 180 days, both when the information is accessed through an AISP or directly by the customer’. This is maybe the most important aspect of the Report from our point of view, as this extension aims directly to encourage adoption.
As next steps, ‘the draft amending RTS will be submitted to the Commission for endorsement following which it will be subject to scrutiny by the European Parliament and the Council before being published in the Official Journal of the European Union. The amending RTS will apply 7 months after entry into force.’
What does this mean exactly for Account Information Providers and their customers?
With the relaxed timeline and these exemptions proposals, the European Bank Authority (EBA) aims to boost the adoption of account information services (AIS) throughout the public, by making the procedure more friendly to the end users and simplifying the access, without affecting the security of customers’ data and funds. However, the EBA underlines the importance of consent given by the customer, that can still be revoke at any time should a customer not want for a AISP to access their account information anymore.
Moreover, the EBA has decided to ‘extend the period for making available to TPPs the changes to the technical specifications of ASPSPs’ (Account servicing payment service provider, such as banks or other financial institutions) interfaces to 2 months before implementation (instead of the 1 month period proposed in the Consultation Paper, so as to allow sufficient time for TPPs (Third Party Providers) to test and make any necessary changes to their systems before these changes are implemented by ASPSPs). In addition, the EBA has decided to extend accordingly the application date of the draft amending RTS from 6 to 7 months after the publication of the amending RTS as a Delegated Regulation in the Official Journal of the EU’.
This means that, after the publication date of the final amending RTS in the Official Journal of the EU, ASPSPs will have:
· 5 months to make available to TPPs the documentation with the changes to the technical specifications of its interfaces and allow TPPs to test them in the testing facility; and
· 7 months to implement those changes in the production environment.
What are the expected results?
In consequence, providing these new regulations, a good cooperation between banks (ASPSPs) and Fintechs (TPPs) is expected to level the processes and align the technical challenges in making the account information services (AIS) grow in the options of their joint customers, with an improved customer experience for both simple and secure innovating financial solutions.
Us, as TPP, welcome EBA’s proposal to harmonise the requirements between the interested parties, as well as the extension of the consent period that will enhance our users’ experience and will facilitate de usage of Account information services by the end-users.
Find out more by reading the full EBA Report following this LINK.
[RO] Modificări în Strong Customer Authentication (SCA – Autentificarea strictă a clienților) pentru Furnizorii de servicii de interogare de conturi (AISP)
Începutul lunii aprilie a acestui an a venit cu câteva modificări interesante propuse de Autoritatea Bancară Europeană (EBA) la publicarea Raportului final referitor la modificarea standardelor sale tehnice privind scutirea de la SCA pentru accesul la conturi, conform Directivei PSD2.
Care sunt principalele schimbări?
Raportul EBA introduce o scutire obligatorie de la SCA (Autentificarea Strictă a Clienților) pentru clienții care își accesează informațiile contului de plată atunci când folosesc un Furnizor de servicii de introgare de conturi (AISP), în anumite condiții. „Amendamentul urmărește să reducă fricțiunile pentru clienții care folosesc astfel de servicii și să atenueze impactul pe care aplicarea frecventă a SCA și aplicarea inconsecventă a scutirii actuale îl au asupra serviciilor oferite de acești AISP."
În conformitate cu competența EBA, Standardele tehnice de reglementare (RTS) au fost modificate după cum urmează:
„Introducerea unei noi scutiri obligatorii la SCA, pentru cazul specific în care accesul se face printr-un AISP și numai dacă sunt îndeplinite anumite condiții”. Iar aceste condiții sunt următoarele: informațiile accesate sunt limitate la soldul contului și/sau istoricul tranzacțiilor recente; nu sunt dezvăluite date sensibile de plată; și SCA se aplică atunci când informațiile contului sunt accesate pentru prima dată și sunt reînnoite periodic.
„Limitarea domeniului de aplicare a scutirii voluntare de la articolul 10 RTS la cazurile în care clientul accesează direct informațiile contului”. Cu alte cuvinte, ASPSP-urile (adică băncile) pot decide dacă aplică scutirea, pe baza propriei evaluări a riscului în acest caz, și vor avea totodată capacitatea, dar nu și obligația, de a aplica un termen pentru reînnoirea SCA de până la 180 de zile.
„Extinderea termenului de reînnoire a SCA de la 90 de zile la 180 de zile, atât atunci când informațiile sunt accesate prin intermediul unui AISP, cât și direct de către client”. Acesta este poate cel mai important aspect al Raportului din punctul nostru de vedere, deoarece această extindere urmărește direct să încurajeze adopția.
Ca următori pași, „proiectul de modificare a RTS va fi înaintat Comisiei spre aprobare, după care va fi supus controlului Parlamentului European și al Consiliului, înainte de a fi publicat în Jurnalul Oficial al Uniunii Europene. Modificarea RTS se va aplica la 7 luni de la intrarea sa în vigoare."
Ce înseamnă acest lucru mai exact pentru Furnizorii de informații despre cont și clienții acestora?
O dată cu relaxarea termenului și cu aceste propuneri de scutiri, Autoritatea Bancară Europeană (EBA) își propune să stimuleze adoptarea serviciilor de interogare a conturilor (AIS) în rândul publicului, făcând procedura mai prietenoasă pentru utilizatorii finali și simplificând accesul, fără a afecta securitatea datelor și a fondurilor clienților. Cu toate acestea, EBA subliniază importanța consimțământului dat de client, care poate fi revocat în orice moment dacă un client nu dorește ca un AISP să-i mai acceseze informațiile contului.
În plus, EBA a decis să „prelungească perioada de punere la dispoziția Furnizorilor Terți de Servicii (TPP-urilor) a modificărilor aduse specificațiilor tehnice ale interfețelor ASPSP” (adică ale Furnizorilor de servicii de plată pentru deservirea contului, cum ar fi băncile sau alte instituții financiare) cu 2 luni înainte de implementare (în loc de perioada de o lună propusă în Documentul Consultativ, astfel încât să acorde timp suficient furnizorilor terți pentru a testa și a face modificările necesare sistemelor lor, înainte ca aceste modificări să fie implementate de către ASPSP). În plus, EBA a decis să prelungească în mod corespunzător data de aplicare a proiectului de modificare a RTS de la 6 la 7 luni de la publicarea lui ca Regulament în Jurnalul Oficial al UE”.
Aceasta înseamnă că după data publicării finale a modificării RTS în Jurnalul Oficial al UE, ASPSP vor avea:
5 luni pentru a pune la dispoziția TPP-urilor documentația cu modificările la specificațiile tehnice ale interfețelor lor și a permite TPP-urilor să le testeze în mediul de testare; și
7 luni pentru implementarea acestor schimbări în mediul de producție.
Care ar fi rezultatele așteptate?
În consecință, oferind aceste noi reglementări, este de așteptat ca o bună cooperare între bănci (ASPSP) și Fintechs (TPP) să niveleze procesele și să alinieze provocările tehnice, pentru a face ca serviciile de interogare de conturi (AIS) să crească în opțiunile clienților lor comuni, cu îmbunătățirea user experience pentru soluții financiare inovatoare simple, dar și sigure.
Noi, în calitate de TPP, salutăm propunerea EBA de a armoniza cerințele între părțile interesate, precum și extinderea perioadei de consimțământ, care va îmbunătăți experiența de utilizare a clienților noștri și va facilita utilizarea serviciilor de interogare de conturi.
Aflați mai multe citind Raportul detaliat al EBA la acest LINK.
References: