認証と通信に関するPSD2RTS –EU委員会が修正案を提案

EBAは現在、EU委員会が提案した強力な顧客認証(SCA)に関するRTSの修正案と、改訂された決済サービス指令(PSD2)に基づく一般的で安全な通信、および導入された主な変更を記載した委員会の添付文書を公開しています。両方の文書は5月24日水曜日にEBAに提出されましたが、6月1日金曜日まで公開されませんでした。

委員会の書簡によると、主な修正は次のとおりです。
  1. トランザクションリスク分析の免税が適用される場合のセキュリティ対策の独立した監査。 (EBAドラフトおよび委員会の修正RTSの第1章第3条(2)を参照)。
    SCAの「取引リスク分析」の免除(第18条による)を利用する決済サービスプロバイダー(PSP)は、方法論、モデル、および報告された不正率について、少なくとも年に1回、法定監査を実施する必要があります。基礎。委員会は、採用されたリスク分析方法が客観的で一貫していることを保証するためにこれを導入しました。
  2. 特定の企業支払いプロセスに対するSCAへの新しい免除の導入 。 (第III章、新第17条を参照)
    PSPは、関連する管轄当局がex-を確認した場合に限り、専用の企業支払いプロセスまたはプロトコルを使用して電子支払い取引を開始する法人に関してSCAを適用しないことを許可されるものとします。これらのプロセスまたはプロトコルが、PSD2で目指すものと少なくとも同等のセキュリティレベルを保証することに満足していることを確認してください。
  3. PSPによるEBAへの直接の不正報告。 (EBAドラフトの第III章第16条(2)および第17条(2)-委員会の修正RTSの第18条および第19条を参照)
    委員会は、PSPがリスクを計算する必要がある方法に詳細を追加しました各支払いトランザクションのスコア。さらに、不正率を計算するためにPSPが使用する方法論とモデル、および不正率自体を文書化し、管轄当局とEBAが完全に利用できるようにする必要があります。これは、EBAが、管轄当局によって報告された高レベルの集約データに依存するのではなく、PSPからの個々の不正データにアクセスできることを意味します。
  4. 専用通信インターフェースが利用できない場合やパフォーマンスが不十分な場合の緊急対策。 (EBAドラフトの第5章第28条–委員会の修正RTSの第33条を参照)

予想通り、委員会はRTSに修正を導入し、PSP間の通信セッション中に専用インターフェースが30秒以上使用できない場合、または第30条と第32条の要件に準拠して動作しない場合(一般専用インターフェースの義務)、支払い開始サービスプロバイダー(PISP)およびアカウント情報サービスプロバイダー(AISP)は、専用インターフェースが再開されるまで、オンラインで支払いアカウントに直接アクセスするために支払いサービスユーザーが利用できるインターフェースへのアクセスを許可する必要があります機能しています。識別および認証手順を含むいくつかの条件が適用されます(詳細については第33条(3)を参照)が、この規定は事実上、緊急対策としてスクリーンスクレイピングの要素を再導入します。

スクリーンスクレイピングを禁止するというEBAの提案は銀行によって歓迎されていましたが、FinTechセクターによって激しく争われ、サードパーティプロバイダー(TPP)が不利になると考えていました。懸念を和らげるために、委員会は、専用インターフェイスの可用性または不十分なパフォーマンスがPISPおよびAISPがユーザーにサービスを提供することを妨げないことを保証するためにこの変更を行いました。そうでなければ、銀行はユーザー向けのインターフェースを介して独自の支払いサービスを提供できますが、PISPやAISPはそれを行うことができません。

妥協は理論的には理にかなっていますが、実際にどれほど実行可能かはまだわかりません。一方では、銀行はTPPを識別できるようにユーザー向けインターフェースをアップグレードし、専用インターフェースが利用できない場合にのみアクセスが許可されるようにし、TPPがアクセスする権限を持たない機密性の高い顧客の情報を保護する必要があります。一方、通信インターフェースは銀行ごとに異なる可能性があるため、TPPは、接続する銀行ごとに、および銀行の専用インターフェースとユーザー向けインターフェースの両方に対して、異なる接続ソリューションを構築および維持する必要があります。これには、コストと時間がかかる可能性があります。消費します。

最後に、企業支払いに対する追加のSCA免除、およびトランザクションリスク分析と不正モデルに関する追加の保証は歓迎されますが、提案された修正案は、PSD2の実装日(2018年1月)と規定が含まれる日との間の移行期間をさらに延長しますこのRTSで適用可能になります。現在、2019年春に推定されます。これにより、たとえば、今後2年間はAPIに依存できなくなる新規参入者と、サポートを継続する必要がある既存の銀行の両方に追加の課題が生じます。既存のソリューション(画面のスクレイピングなど)と同時に、RTS準拠の通信インターフェイスを開発します。

次のステップ

  • EBAは、7月5日までに修正されたRTSについて意見を述べる必要があります
  • この期間の後、委員会はEBAの意見を考慮に入れるか、それを無視してRTSを採用することができます
  • 委員会がRTSを正式に採用すると、議会と評議会の3か月間の精査期間が開始されます

このトピックの詳細については、次のWebサイトをご覧ください。

  • PSD2は新規市場参入者への扉を開きます
  • 支払いが中断されました
  • 認証と通信に関するPSD2RTS |悪魔は(不足している)詳細にあります
  • PSD2 – EBAは柔軟性を高めて、よりバランスの取れたアプローチを実現します

この投稿は、デロイトのリスクアドバイザリーチームのStephenLeyとStevenBailey、およびEMEA規制戦略センターのValeria Galloによって書かれ、Deloitte Financial ServicesUKブログで最初に公開されました。


銀行
  1. 外国為替市場
  2.   
  3. 銀行
  4.   
  5. 外国為替取引