PSD2 - en möjlighet att öka datasäkerheten

2022-12-11

I en värld där digitaliseringen ständigt ökar har vi sett alltfler dataintrång och digitala bedrägerier. Det har lett till en växande oro på EU-nivå rörande individens integritet och dataskydd, särskilt beträffande känslig finansiell information i digitala kanaler. PSD2 är ett betaltjänstdirektiv med mål att medföra enklare och säkrare betalningsflöden för konsumenter och företag i Europa när persondata delas mellan banker och företag.

PSD2-direktivet börjades tillämpas 2018 och till följd gavs bankerna också uppdraget av EU-kommissionen att skapa dedikerade gränssnitt (API:er) åt företag som ett säkrare sätt för dem att komma åt persondata via bankerna - och börja komma ifrån mer osäkra dataåtkomstmetoder som t.ex. "screen-scraping". Men varför är det så viktigt att företag kan komma åt bankdata? Och vad innebär egentligen dataåtkomst via bank-API:er och screen-scraping?

Anledningen till att företag vill ha tillgång till bankdata

Nya tjänsteleverantörer som vill bygga bättre finansiella tjänster och produkter ser på den sortens kunddata som bankerna sitter på som ytterst värdefull och ibland helt väsentlig för deras affärsprocess. Dessa aktörer behöver alltså tillgång till specifika bankdata för att exempelvis kunna erbjuda:

  • Enkla betalningar — snabba shoppingupplevelser digitalt
  • Automatisk personlig rådgivning — överblick av utgifter
  • Lånerådgivning — inkomstverifiering, kvar-att-leva-på-kalkyl i realtid, kreditbedömning

Endast du själv kan ge tillåtelse för att ett företag ska kunna komma åt din bankdata, till exempel när du ska handla eller utföra diverse transaktioner online. Men när transaktionen sedan genomförs så kommer företaget att komma åt din bankdata med en av två metoder – Screen-scraping eller genom bank-API:er.

Screen-scraping eller bank-API:er?

Screen-scraping är ett sätt för tredjepartsleverantörer att få tillgång till din bankdata för att nyttja den på olika sätt. När exempelvis en konsument vill handla någonting online så behöver de först ange sina betalningsuppgifter vid köptillfället. Sedan, genom en mjukvara (en s.k. robot), imiteras personen i fråga och roboten kan komma åt bankdatan genom att logga in på personens konto för att utföra transaktionen.

Hur fungerar istället API-kopplingar i det här sammanhanget då? Om vi använder föregående exempel med onlineshoppen så ser det inte speciellt annorlunda ut för slutanvändaren som shoppar runt på nätet... Men i bakgrunden så hanteras betalningsuppgifterna väldigt annorlunda. Istället för att tredjepartsleverantören får tillgång till inloggningsuppgifter via en robot och sedan loggar in i banken åt konsumenten, så sker istället kopplingen och datatransaktionen direkt mellan konsument och bank via API-kopplingen.

Man slipper med andra ord alltså att dela och överlåta bankuppgifterna till en tredje part överhuvudtaget.

Varför spelar det roll vilken metod som används?

Screen-scraping ger en tredjepartsleverantör obegränsad tillgång till ditt bankkonto, vilket är riskabelt utifrån ett dataminimeringsperspektiv. Med hjälp av dina inloggningsuppgifter kan de i teorin, så ofta de vill, komma åt alla dina uppgifter utan din vetskap. Screen-scraping är inte heller en reglerad lösning, så om tredjepartsleverantören inte skyddar sin data ordentligt eller saknar lämplig datahantering så uppstår såklart en stor potentiell säkerhetsrisk.

Att istället använda ett bank-API är enligt mig ett säkrare och mer transparent sätt för tredje parter att få tillgång till den data de behöver för sin affärsverksamhet. Genom en direkt API-koppling till en bank så säkerställs att tredjepartsleverantören endast kan komma åt den information du vill dela med dig av och endast under den tidsperiod som anges.

Dessutom är åtkomst till bankkontoinformation eller initiering av betalningar via ett bank-API reglerade aktiviteter, vilket innebär att tredjepartsleverantören behöver en giltig licens för att kunna ta del av processen. Det blir därmed enklare för myndigheter att följa upp så att dataminimering tillämpas, att det finns en lämplig datahantering och att känsliga uppgifter skyddas på ett korrekt sätt.

PSD2 i Sverige och vägen framåt

I Sverige har integrationsskyddsmyndigheten inte kommit med riktlinjer kring hur aktörer specifikt måste hantera dataåtkomstmetoder ännu, men på EU-nivå har EBA (European Banking Association) tydliggjort att medvetna hinder för att använda API:er i enlighet med PSD2 inte kommer att tolereras.

I till exempel Finland har myndigheterna redan satt ned foten för att minimera möjligheten att använda screen-scraping-metoden och det är inte omöjligt att vi inom en snar framtid börjar se liknande hårda riktlinjer i Sverige.

Sammanfattningsvis

PSD2-direktivet handlar alltså inte bara om innovation och att förse konsumenter med enklare och billigare finansiella tjänster utan en viktig aspekt av det hela är att även göra det på ett så säkert sätt som möjligt - utan att riskera den personliga integriteten.

Då datasäkerhet är en grundpelare i vår affär på UC så ser jag verkligen fram emot att få se fler positiva steg mot en säkrare digital värld och jag kommer att hålla noga koll på utvecklingen av PSD2-direktivet här i Sverige.

/Petter

UC och PSD2

Är du som företagare intresserad av att läsa mer om hur PSD2 och UC kan hjälpa dig att ta bättre beslut? Då kan du läsa mer och kontakta oss på https://www.uc.se/psd2-och-open-banking/

Petter Alvsten

Chef produkter och tjänster Consumer Insight

Petter arbetar med affärsutveckling och brinner för digitala trender, regulatoriska förändringar och kunddriven utveckling. Han har tidigare arbetat med digital produktutveckling inom bank och finans. På sin fritid så tycker han om att upptäcka nya platser och kopplar av bäst i köket eller under sommaren nere i Skåne. Här skriver han om digitalisering och innovation.