Vanaf 14 september kunnen fintechdiensten en webshops u toegang vragen tot de data op uw bankrekening. Dat laat een vlotter (digitaal) betaalverkeer toe. Maar is dat het verlies van uw bankgeheimen waard?
Open bankieren. Dat is de rode draad in de Europese Richtlijn PSD2, of voluit Payment Services Directives 2, die volgend weekeinde in werking treedt in alle EU-lidstaten. Laat u niet afschrikken door het vakjargon, en denk vooral niet dat u er niets mee te maken heeft. PSD2 zal volgens financiële experts een ‘kleine revolutie’ veroorzaken in het betaalverkeer.
Het is de bedoeling dat alternatieve betaaldiensten – zoals fintechbedrijven – een rol krijgen in het betaalverkeer, naast de klassieke banken. Aan kandidaten ontbreekt het niet. Dit jaar heeft de Nationale Bank van België al acht nieuwe betalingsdiensten erkend. In totaal hebben er nu 34 een vergunning van de Nationale Bank op zak. Vijf jaar geleden waren het er nog maar 21.
Naast lokale, onafhankelijke start-ups gaat het om projecten met steun van bestaande (internationale) financiële organisaties, zoals Wordline, Cofidis en Moneytrans.
Welkom aan Facebook?
Maar PSD2 gaat nog een stap verder en laat ook toe dat (online) retailers of big tech-bedrijven als Google en Facebook om toegang vragen tot de bankrekening(en) van hun klanten.
Die internetreuzen weten al alles van uw surfgedrag en veel over uw aankoopgedrag. Als ze die informatie ook nog kunnen aanvullen met uw financiële data, heeft u voor hen als consument geen enkel geheim meer. Facebook heeft grote ambities in de financiële sector. Eerder dit jaar lanceerde het bedrijf van Mark Zuckerberg al de digitale munt libra en van de Ierse centrale bank verkreeg het al een vergunning voor elektronische betalingen.
Die nieuwe betalingsdiensten en de ‘derden’ (zeg maar de webshops) zullen niet alleen het saldo op uw zichtrekening kunnen nagaan, en zo uw kredietwaardigheid afwegen wanneer u bij hen een online aankoop plaatst, maar (als ze een vergunning bezitten van de Nationale Bank) ook de betaling van die aankoop regelen. Dat zal de snelheid en het gebruikerscomfort van online shoppen verhogen, luidt de redenering in de Europese Richtlijn.
Voorts willen de fintechbedrijven een plaatsje op de bankmarkt veroveren door met bijkomende ‘voordelen’ uit te pakken, zoals gepersonaliseerde budgetmonitoring (zeg maar een digitaal huishoudboekje) of online vergelijkingstools die u kunnen helpen bij het afsluiten van kredieten of verzekeringen.
Het is aan u om te beoordelen of deze extra service een meerwaarde biedt boven op de diensten van uw klassieke bank en of dat opweegt tegen het prijsgeven van het geheim van uw bankgegevens.
U beslist zelf
Vergeet in elk geval nooit dat de sleutel voor heel dit proces van ‘open bankieren’ in uw handen ligt. Een bank mag een externe partij nooit toegang geven tot uw bankgegevens zonder uw uitdrukkelijke toestemming. U beslist dus zelf wie een toegangsmachtiging krijgt. Daarvoor moet u bij uw bank een beveiligde valideringsprocedure volgen. Uw toestemming geldt voor een periode van maximaal 90 dagen, maar kan verlengd worden. Omgekeerd kunt u de verleende toegang op elk moment weer intrekken.
Op korte termijn zullen de meeste Belgen met één specifiek onderdeel van de nieuwe PSD2-regels geconfronteerd worden: de mogelijkheid om via één bankapp toegang te krijgen tot alle rekeningen, ook als die over meerdere banken verspreid zijn. Bijvoorbeeld: klanten van KBC kunnen via de app van KBC Mobile ook het saldo zien op hun zichtrekening bij (onder meer) ING en Argenta.
Dergelijke links tussen de klassieke banken lijken minder verregaand dan het openstellen van data voor fintech of webshops. Toch zijn de Belgische banken het grondig oneens over de manier waarop zo’n harmonisering van rekeningen op één app kan verlopen.
Ruzie over beveiliging
Dat heeft alles te maken met een verschil in visie op de veiligheidssleutels en -procedures die bij PSD2 komen kijken. Grosso modo zijn er twee blokken, met aan de ene kant Belfius en aan de andere kant BNP Paribas Fortis.
Volgens Belfius staat of valt de beveiliging bij ‘open betaalverkeer’ met het gebruik van de API-techniek, wat staat voor Application Programming Interface. Hierbij moet u op geen enkel moment uw paswoorden of pincodes doorgeven aan andere banken of aan derden. Belfius weigert andere banken (of derden) toe te laten tot zijn IT-systeem als ze geen API toepassen. Hierdoor kunnen klanten van Belfius (voorlopig) alleen rekeningen van KBC, dat ook API toepast, toevoegen aan hun Belfius Mobile app.
Geen link dus tussen Belfius en BNP Paribas Fortis, want bij BNPP Fortis doen ze via het Zweedse fintechbedrijf Tink een beroep op een andere techniek, screenscraping of reverse engineering genaamd. Daarbij moet een klant van Belfius wel degelijk zijn paswoord of code aan BNPP Fortis doorgeven, waarna een medewerker van Fortis (of van een derde partij waarmee Fortis samenwerkt) zich binnen Belfius kan aanmelden.
Volgens Hans Marien, directeur communicatie bij BNPP Fortis, heeft reverse engineering ‘geen effect op het niveau van beveiliging’. Zegt Marien: ‘Wij werken alleen met partners die het hoogste niveau van beveiliging en bescherming van gegevens garanderen.’
Wees alert
In ieder geval waarschuwen alle experts en de websites van de banken voor pogingen tot fraude. Zo luidt het bij KBC: ‘Criminelen kunnen mogelijk misbruik maken van PSD2 voor frauduleuze doeleinden. Wees alert voor phishingmails, waarbij men uw pincode probeert te ontfutselen.’
