Richtlijn betalingsdiensten 2 (PSD2)
De Richtlijn betalingsdiensten 2 (PSD2) is het Europese regelgevingskader dat betalingsdiensten en de toegang tot bankrekeningen regelt. Sinds januari 2018 van kracht, introduceerde het Sterke Cliëntauthenticatie (SCA), open banking en nieuwe verplichtingen voor externe betalingsdienstaanbieders.
PSD2 heeft het Europese betalingslandschap fundamenteel veranderd door nieuwe spelers (rekeninginformatiediensten, betalingsinitiatiediensten) toegang te geven tot bankgegevens en tegelijkertijd de transactiebeveiliging te versterken. Sterke Cliëntauthenticatie (SCA) schrijft tweefactorauthenticatie voor bij elektronische betalingen, met een combinatie van ten minste twee elementen uit kennis (wachtwoord), bezit (telefoon) en inherentie (biometrie).
Open banking, een centrale pijler van PSD2, verplicht banken om via beveiligde API's toegang te verlenen tot rekeninggegevens aan gelicentieerde derde partijen (AISP voor rekeninginformatie en PISP voor betalingsinitiatie). Dit kader heeft innovatie in identiteitsverificatie gestimuleerd: bevestiging van de identiteit van een rekeninghouder dient nu als aanvullend instrument bij traditioneel KYC.
Voor compliance-professionals is PSD2 nauw verbonden met Wwft-verplichtingen. Betalingsdienstaanbieders moeten niet alleen voldoen aan de technische vereisten van de richtlijn (SCA, beveiligde communicatie, incidentbeheer), maar ook de zorgvuldigheidsmaatregelen uit de antiwitwasregelgeving toepassen. PSD3, momenteel in ontwikkeling, zal deze vereisten naar verwachting verder aanscherpen.
Regelgeving
Praktijkvoorbeelden
- 1.Een fintech rekeningaggregator (AISP) verkrijgt zijn vergunning van de toezichthouder en moet de identiteit van zijn gebruikers verifiëren voordat hij via PSD2-API's toegang verleent tot hun bankgegevens.
- 2.Een webwinkel ziet een stijging van het verlaten winkelmandje na de invoering van SCA: het implementeert wettelijke uitzonderingen voor terugkerende betalingen en transacties met een laag bedrag.
- 3.Een betalingsinitiatiedienstverlener (PISP) verwerkt een overboeking van 15.000 euro en activeert automatisch een verscherpte identiteitsverificatie van de betaler, in overeenstemming met de Wwft-drempels en de SCA-vereisten van PSD2.