Qvikin toimitusjohtaja Tuominen: “PSD2-lainsäädäntö kautta linjan myöhässä”

Screen scrapingissa eli niin sanotussa ruudunkaappauksessa nettipalvelu ottaa käyttäjän syöttämän verkkopankkitunnuksen talteen ja esittäytyy sen jälkeen verkkopankissa käyttäjänä. Vaikka valtuuttaisit ruudunkaappauksen avulla esimerkiksi verkkokaupan vain veloittamaan tiliäsi, se pääsisi tilitietojesi lisäksi tutkimaan vaikkapa laina- ja vakuutustietojasi. Suomessa ruudunkaappausta rajoittaa maksupalvelulaki: pankin ehtoja tulee lain mukaan noudattaa ja ne kieltävät tunnusten käytön muualla kuin pankin omissa palveluissa.

Yksi PSD2:n päätavoitteista on kuluttajansuojan kasvattaminen digitaalisessa ostamisessa, ja Fivan päätös on linjassa tämän kanssa. Päätös sopii yhteen myös toukokuussa voimaan tulevan tietosuojadirektiivini GDPR:n periaatteiden kanssa.

“Ruudunkaappauksessa tietojen väärinkäyttöriski on isompi”, sanoo Qvikin toimitusjohtaja Lari Tuominen. “PSD2 vaatii pankkeja avaamaan rajapinnan, joka sallii pääsyn vain tiettyihin tietoihin, kuten tilitietoihin ja maksuihin.”

Osa EU-maista kuitenkin sallii ruudunkaappauksen. Esimerkiksi Ruotsissa menetelmä on laillinen, joten maidemme finanssiteknologia-alan (fintech) voidaan sanoa olevan eriarvoisessa asemassa. Näissä maissa fintech-yritykset pääsevät laajemmin käsiksi asiakkaidensa tietoihin ja voivat täten tarjota personoidumpia ja pidemmälle vietyjä palveluita. Päätös asettaa myös perinteisten pankkien kilpailijat alakynteen. Suomessa esimerkiksi Ferratum on ilmaissut pettymyksensä Fivan linjaukseen.

“Yksi PSD2:n lähtökohdista on, että sillä pyritään lisäämään EU-alueen innovaatioita maksamisen ja finanssitoimialan eri osa-alueilla”, Tuominen sanoo. “Kun direktiiviä sovelletaan maakohtaisesti eri tavoin, tämä sotii alkuperäistä yhtenäistävää ajatusta vastaan.”

Eriarvoisuus koskee vain siirtymäaikaa, joka kestää ensi vuoden syyskuuhun. Tämän jälkeen pankeilla tulee olla PSD2:n mukaiset rajapinnat valmiina ja screen scraping kielletään kaikkialla EU:ssa.

Fivan kannanotto tulee äärimmäisen myöhään – vaikeuttaa tuotekehittäjien työtä

Fiva otti kantaa PSD:n siirtymäajan käytäntöihin vain muutama päivä ennen siirtymäajan alkamista – eikä tämä ole ainoa asia, missä päätöksiä on jouduttu odottelemaan. Selkeämpiä kannanottoja kaivattaisiin niin EU-komissiolta kuin Suomen lainsäädäntöpuoleltakin.

“Kaikki mitä tähän lainsäädäntöön liittyy on ollut kautta linjan myöhässä implementaatiopuolella, ja tämä hankaloittaa merkittävästi tuotekehittäjien työtä”, Tuominen sanoo. “Lain käytännön toteutusta ei ole valmisteltu riittävän pitkälle, joten tuotekehittäjille tulee palveluiden suunnitteluvaiheissa vastaan äärimmäinen määrä kysymysmerkkejä sekä turhauttava tilanne, kun kukaan ei osaa ottaa selkeästi kantaa.”

Tiedonkulun ongelmat menevät myös EU:n piikkiin. Kun laki on jätetty EU:n puolelta tulkinnanvaraiseksi, joutuvat maat tilkitsemään porsaanreikiä omalla lainsäädännöllään.

Mikäli pankit ovat aikaisin liikkeellä, fintechille ei vaikutuksia

Siirtymäajan pituuden sijaan olennaisempaa on, miten halukkaita ja innovatiivisia pankit ovat PSD2:n käyttöönoton kanssa. Suomen pankkikenttä on teknisesti edistynyt ja jo osin valmistautunut lakiuudistukseen, joten odotettavissa ei välttämättä ole fintechille hankalia aikoja. Mikäli pankit avaavat rajapintansa reippaalla aikataululla, ei ruudunkaappauksen kieltäminen jarruta suomalaisen fintechin kehitystä.

“Esimerkiksi Nordea ja OP ovat avanneet rajapintojaan jo ennen kuin näin olisi tarvinnut tehdä”, Tuominen sanoo. “Pankeille on kannattavampaa lähestyä lakiuudistusta innovaationäkökulmalla, ja kun asenne on tämä, ei siirtymäaika ole olennainen vaan rajapintoja avataan jo aiemmin.”

Vaikka puolentoista vuoden siirtymäaika voi tuntua pitkältä, ratkaistavana on vielä perustavanlaatuisia kysymyksiä esimerkiksi yhdenmukaisiin turvallisuusmäärityksiin ja tunnistautumiseen liittyen. Siirtymäaika antaa pankeille hihnaa myös testata ja rakentaa omia uusia palvelujaan valmistautuessaan kehittyvään kilpailutilanteeseen.