Mener norske banker bryter loven

Nye EU-regler var ment å skulle fremme innovasjon og økt konkurranse innen betalings- og kontoinformasjonstjenester. Men halvannet år senere opplever fortsatt de nye utfordrerne å ikke få det de har krav på.

Misfornøyd: Alf Gunnar Andersen er daglig leder i Horde, et av selskapene som sliter med at mange av kravene under PSD2 fortsatt ikke overholdes. Foto: Elizabeth Gjuvsland
Tech

Det ble snakket om at en revolusjon var på trappene da EUs betalingstjenestedirektiv (PSD2) kom til Norge. Direktivet innebar at områder som tidligere var forbeholdt bankene, ville bli åpnet opp for smartere, mer moderne og lettbente konkurrenter. 

For at nykommerne skulle kunne koble seg på med sine løsninger, ble bankene pålagt å åpne opp sine grensesnitt, på fagspråket omtalt som APIer. Ved å benytte seg av disse skulle finansteknologiselskaper – eller bare fintech-selskaper – kunne tilby bankenes kunder nye og innovative betalingsløsninger og kontoinformasjonstjenester.

Åpningen har imidlertid vist seg å bli en langvarig og og konfliktfylt prosess. Direktivet trådte i kraft i september 2019, men tilfredsstillende løsninger er fortsatt ikke på plass, forteller Liv Freihow, direktør for politikk i interesseorganisasjonen IKT-Norge.

– PSD2-direktivet har vært implementert i Norge i nesten halvannet år, men det er fortsatt veldig ulikt hvor langt bankene har kommet i arbeidet med å utvikle APIer, hvor stabile de er og hvor modne de er. Ikke minst er kundereisen for å autentisere seg som PSD2-bruker tungvint. Pr. i dag er det ingen norske banker som oppfyller samtlige krav i henhold til PSD2, sier Freihow til Kapital.

Pr. i dag er det ingen norske banker som oppfyller samtlige krav i henhold til PSD2.
Liv Freihow i IKT-Norge

Taper terreng

Til bankenes forsvar kan det nevnes at de har blitt omfattet av en rekke EU-tiltak de siste årene. Det gjelder ikke minst unionens personvernforordning (GDPR), det oppdaterte finansmarkedsdirektivet (Mifid 2) og nå det grønne taksonomiregelverket. Freihow er innforstått med at også PSD2 er ressurskrevende for bankene, og at disse dermed må prioritere.

Slår alarm: Liv Freihow, direktør for politikk i IKT-Norge, advarer om at Norge kan sakke akterut i konkurransen om de beste fintech-løsningene. Foto: IKT-Norge

– Men bedriftene som utvikler PSD2-løsninger, som har søkt konsesjon og har krav på disse APIene, kan forvente mer enn det de får i dag. De har investorer som er villige til å investere og kunder som vil bruke produktene, men får ikke levert fordi de mangler god nok tilgang til APIene, sier hun.

Ifølge Freihow er resultatet at Norge, som egentlig er blant de beste i Europa på digitalisering og banktjenester, er i ferd med å tape terreng innen PSD2-tjenester. Dette kan være alt fra nye måter å betale på over nett eller i butikk, til tjenester som gir brukeren verdifull oversikt over egen økonomi. Land som er langt mindre digitalisert rykker fra oss, uten at det finnes noen god grunn til dette.

– Dette er en svært vanskelig situasjon som hindrer innovasjon, investeringsvilje og mangfold av tjenester. Det ødelegger også den norske fintech-bransjens konkurranseevne. Om det står dårligere til med APIene i Norge enn i andre land, får vi ikke utviklet konkurransedyktige løsninger her hjemme, sier hun.

Etterlyser frist

Mye av fintech-bransjens frustrasjon er rettet mot Finanstilsynet, som har ansvaret for å følge opp at de lovpålagte forpliktelsene i PSD2 overholdes. Liv Freihow mener at tilsynet har vært altfor utydelig, og etterlyser konsekvenser for bankene som ikke innretter seg.

– Jeg tror det skal en mye tydeligere beskjed til. Finanstilsynet må sette en frist for når APIene skal være klare og alle krav oppfylt. Dette gjelder alle banker – noen banker er bedre enn andre, men ifølge fintech-aktørene er det ingen som er best i klassen her, sier hun.

I tillegg mener hun at lang behandlingstid er et problem, og viser til at Finanstilsynet har gitt få PSD2-konsesjoner – i både Sverige, Danmark og Finland er det flere slike enn i Norge. Pr. tredje kvartal 2020 hadde Sverige 26 konsesjoner, mens Norge hadde seks. Det er urovekkende, mener Freihow, som tror mye handler om kultur og vilje til prioritering.

– Den lange behandlingstiden medfører store utfordringer selv for store banker, og da kan man tenke seg hvordan det er for mindre oppstartsbedrifter. De får ikke levert produkter i markedet, utløst investeringer og markedsført seg før dette er i havn, og kan derfor ikke vente i 18 måneder. Dette er virkelig en hemsko for innovasjon og verdiskapning, sier hun.

Får kritikk: Finanstilsynet, her ved direktør Morten Baltzersen, anklages for å være for lite tydelige i oppfølgingen av PSD2-kravene, og dessuten for trege i saksbehandlingen. Foto: Gorm Kallestad

Freihow mener at også de byråkratiske utfordringene gir en konkurranseulempe.

– Du kan være utenlandsk aktør med konsesjon i et annet land, flytte til Norge og tilby produkter og tjenester til norske kunder. Dermed risikerer vi, fordi ting tar for lang tid i Norge, at løsninger som er eid og tilsynsført i utlandet, kommer først til det norske markedet og får et konkurransefortrinn foran norske aktører.

– Svært problematisk

Etter at de nevnte problemene hadde vedvart i noe tid, blusset det i høst opp debatt rundt temaet på nettsteder som Shifter og Finanswatch, samt i Finansavisen. Blant dem som tok del i ordskiftet var Horde, som tilbyr forbrukerne oversikt over kredittkort og forbrukslån. Daglig leder Alf Gunnar Andersen er ikke noe mildere stemt når Kapital slår på tråden.

– Det er ikke noen hemmelighet at vi synes det er svært problematisk at APIene til bankene er langt under pari. Vi opplever fortsatt at de går ned og er borte i timevis, uten noen forklaring eller forvarsel, og at bankene plutselig gjør endringer som medfører at våre tjenester ikke fungerer. De fleste bankene har svært dårlige brukergrensesnitt. Alt dette er brudd på direktivet og regelverket, og skaper unødvendig friksjon for brukerne. Det virker svært konkurransehemmende, og er i direkte motstrid til direktivet, som har som mål å fremme innovasjon og fri konkurranse, sier han.

Andersen forteller at bankene er veldig hyggelige når de tar kontakt, blir med på møter og “jatter med”, men at det så skjer svært lite.

– Dette kan være en bevisst strategi der de trenerer tiden for å bevare sitt konkurransefortrinn, ved å blø ut konkurrentene på tid og ressurser. Det er i så fall direkte lovbrudd, sier han.

Dette kan være en bevisst strategi der de trenerer tiden for å bevare sitt konkurransefortrinn, ved å blø ut konkurrentene på tid og ressurser. Det er i så fall direkte lovbrudd.
Daglig leder Alf Gunnar Andersen i Horde

– Mener dere at bankene trenerer med vilje?

– Jeg tror at noen gjør det, for å bevare sin egen konkurranseposisjon i markedet. Dette er i hvert fall ikke prioritert for dem, til tross for at de er i brudd med det europeiske regelverket.

Horde-sjefen slutter seg til kritikken av Finanstilsynet. Han etterlyser også klare retningslinjer, konsekvenser og tidsfrister.

– Vi mener at tilsynet burde sette strengere kriterier, og de bør selv teste APIene. Det er et krav fra Den europeiske banktilsynsmyndigheten om at de skal gjennomføre stresstester, men slik det er nå, føler vi at vi er testlabben. Da er det vår merkevare som rammes hvis ting ikke fungerer som de skal, og vi som må bruke ressurser på dette.

– Bryter loven

Hordes opplevelse er ikke enestående. Erfaringen til grunnlegger og daglig leder Christoffer Andvig i Neonomics er også at ting tar fryktelig lang tid.

– Det har vært vesentlig bedring de siste seks månedene, men vi opplever fortsatt at veldig mange av kravene under PSD2 ikke overholdes. Det er mye av funksjonen vi gjerne skulle sett, og som vi vet er lovpålagt, som ikke er der. Også opplever vi dessverre at Finanstilsynet ikke tar tak i det. Pr. i dag er det slik at bankene bryter loven, men det får ikke noen konsekvenser, sier han.

Taper penger: Christoffer Andvig, daglig leder og gründer i Neonomics, er misfornøyd med at bankene har brukt lang tid på å få på plass de nødvendige tilgangene som er pålagt under PSD2. Det medfører tap for selskapet han leder. Foto: Henrik Charlesen

For Neonomics har konsekvensen vært store tap – Andvig anslår dem til å være i millionklassen, sammenlignet med slik det hadde vært dersom alle APIene hadde fungert som de skulle. I tillegg påvirker det selskapets produkt.

– Pr. dags dato kan vi levere noen grunnleggende tjenester på plattformen vår, men vi har flere produkter klare som ikke kan leveres fordi bankene ikke støtter funksjonaliteten. Ganske store kunder har ventet med prosjekter, eller satt dem på hold, fordi funksjonaliteten ikke er der. I stor grad opplever vi at kundene stiller spørsmål ved om de kan basere seg på PSD2-produkter. Dette skulle vært oppe i september 2019. Først i september 2020 kunne man si at det var ok, men fortsatt ikke bra. Snart to år med inntekt har gått tapt der, sier Andvig.

Føler seg forfordelt

Både Horde og Neonomics mener at bankene favoriserer fintech-selskaper de selv er inne i på eiersiden. De hevder at enkelte konkurrenter får full tilgang til de nødvendige systemene, mens alle andre enten ikke får tilgang i det hele tatt, eller dårligere tilgang.

– Det er ikke sånn at bankene ikke kan gjøre dette, for en aktør som Vipps får kjøre på en helt egen plattform, som ikke har disse problemene. Dermed har dette å gjøre med vilje, ikke evne, sier Andersen.

Andvig mener i tillegg at bankene legger hindringer i veien for brukerne av PSD2-tjenester. Dette kan for eksempel bestå av at man flere ganger må bekrefte med Bank-ID for å gjennomføre én betaling.

– Det handler om konkurranse, men på urimelige vilkår når myndighetene samtidig aksepterer lovbrudd fra bankene. Om man ser tilbake til 2018, da bankene begynte å lansere muligheten for at kundene skulle kunne se andre bankers konti i mobilbanken, var det veldig tydelig at bankene ikke ønsket at andre aktører skulle kunne vise deres konti. De ville helst eie flatene som brukerne gikk inn i selv, sier han.

Det handler om konkurranse, men på urimelige vilkår når myndighetene samtidig aksepterer lovbrudd fra bankene.
Daglig leder Christoffer Andvig i Neonomics

Lager ny forening

Problemene knyttet til PSD2-implementeringen er en medvirkende årsak til at flere fintech-selskaper, deriblant Horde og Neonomics, har gått sammen og startet en ny interesseorganisasjon.

– Vi har etablert en forening som heter Fintech Norway, der det foreløpig er ti medlemmer. Men da dette ble offisielt i forrige uke, rant det inn en rekke søknader. Det er syv–åtte selskaper som har søkt om medlemskap, sier Andersen i Horde.

Han er styreleder i den nye organisasjonen, som foreløpig ikke har noen ansatte.

– Planen er å kunne arbeide med mer spissede temaer som PSD2, autentiseringsløsninger og infrastruktur. Dette skal være drevet av medlemmene, men finansiert sammen, istedenfor at vi sitter på hver vår tue, sier han.

– Følger regelverket

Kapital har spurt to av de store bankene om hvordan de har opplevd implementeringen av PSD2 i Norge, samt forelagt kritikken som rettes mot næringen. Begge velger å svare på e-post, via sine presseavdelinger.

“DNB har åpnet for PSD2-tjenester i PSD2-API-ene som nye aktører kan benytte seg av. Vi følger naturligvis regelverket, og jobber kontinuerlig med å videreutvikle disse løsningene til det beste for kunden. Vi vil alltid sette hensynet til kunder og sikkerhet først. Dette stiller omfattende krav både til oss som bank og de tredjepartene som får tilgang,” skriver Erik Olav Landsværk, leder for Open Banking i DNB.

Han tror at mange kan ha hatt urealistiske forventninger til PSD2 på kort sikt. Nå opplever han imidlertid at både bruken av nye tjenester og antall aktører er økende, hvilket han mener er positivt.

“DNB er åpen for henvendelser fra andre aktører. Vi er ikke ute etter å forskjellsbehandle noen. Vi ønsker likevel å presisere – på generelt grunnlag – at vi ikke går på kompromiss med sikkerhet, og at det er en forutsetning for de gode kundeopplevelser.”

Krevende: DNB avviser å forskjellsbehandle aktører i fintech-bransjen, men sier at hensynet til kunder og sikkerhet settes først. Storbanken er blant annet største eier i Vipps. Foto: Terje Pedersen

Ifølge senior kommunikasjonsrådgiver Anja Lohne Holm i Nordea åpnet de for tredjepartsaktører allerede i 2017. Siden har de arbeidet med APIene, med fokus på å levere grensesnitt til aktører i personkundemarkedet og hoveddelene av bedriftsmarkedet. I november informerte så storbanken det finske finanstilsynet om at de oppfylte alle kravene i PSD2.

“Det stemmer at vi har hatt mangler med hensyn til funksjonalitet knyttet til grensesnitt for mindre bedrifter, men også dette er ferdigstilt nå og klart for bruk,” skriver Holm, og legger til at målet er at kundene skal få tilgang til de beste tjenestene, hvilket fordrer samarbeid med tredjepartsaktører.

– Strenge vilkår

– Jeg kan si at også vi ønsker at bankenes PSD2-API-er skal bli klare raskest mulig – det er bra for bransjen, bra for farten og bra for brukerne. Vi skal også over på disse så fort de er klare, og dette er noe vi jobber masse med. Systemene vi har tilgang til nå er knyttet til betalingsformidlingsløsninger som ble etablert før PSD2 ble innført, sier kommunikasjonssjef Hanne Kjærnes i Vipps.

Strenge vilkår: Også Vipps ønsker at PSD2-API-ene skal bli klare så raskt som mulig. Selskapet eies av DNB og en rekke andre banker. Foto: Gorm Kallestad/NTB

Hun påpeker store deler av trafikken til Vipps er basert på kort, og at selskapet har jobbet mye med å oppfylle lovkrav knyttet til såkalt delegert sterk kundeautentisering (SKA). Ifølge Kjærnes er deres SKA-avtaler ikke en del av PSD2, og åpne for alle som følger tilsvarende vilkår som Vipps har forpliktet seg til.

– Det handler om at andre ikke ønsker å følge disse vilkårene?

–  Det er en utfordring at det er strenge vilkår for å få tilgang, som ikke er like lette å følge i praksis. Vilkårene er strenge av en grunn, da det er betalingsformidling vi snakker om her, sier Kjærnes.

– Mener du kritikken er uberettiget?

– Jeg vil i hvert fall si at dette ikke er arbeid vi tar lett på og venter på at andre skal løse for oss. Det brukes store ressurser også hos oss på at vi skal komme over på disse APIene fortest mulig. 

“Ikke tilfredsstillende”

“Finanstilsynet legger til grunn at bankene retter seg etter regelverket, slik at betalingsforetak som yter betalingsfullmakttjeneste og/eller kontoinformasjonstjeneste får tilgang på informasjon i henhold til regelverket,” skriver seksjonssjef Olav Johannessen i Finanstilsynet i en e-post.

Ifølge Johannessen er det “ikke tilfredsstillende” at grensesnittene bankene tilbyr fortsatt ikke har samme funksjonalitet og tilgjengelighet som bankenes ordinære kundegrensesnitt. Dette er noe tilsynet følger opp løpende overfor bankene, med sikte på at de “snarest mulig” skal være i samsvar med regelverket.

“Finanstilsynet observerer positiv progresjon både når det gjelder kvalitet, tilgjengelighet og fjerning av hindringer. Finanstilsynet har utover dette ikke anledning til å kommentere den tilsynsmessige oppfølgingen av foretakene,” skriver Johannessen.

Han legger til at Finanstilsynet oppfatter at det også i mange andre land fortsatt er mangler i bankenes og kontotilbyderes etterlevelse av regelverket, herunder i andre nordiske land.