Näin suomalaisten pankkipalvelut muuttuvat syksyllä – iso uudistus tulossa ja paljon on hämärän peitossa - Taloussanomat - Ilta-Sanomat

Näin suomalaisten pankkipalvelut muuttuvat syksyllä – iso uudistus tulossa ja paljon on hämärän peitossa

Julkaistu: 7.6.2019 7:40, Päivitetty 7.6.2019 17:52

Onnistuuko pizzan tilaus puhelimella syyskuussa enää ilman pankkitunnuksia? Pankeilla ja mobiilisovellusten tekijöillä ei ole täyttä yksimielisyyttä siitä, mitä syksyllä voimaan tulevat EU-säännöt vaativat.

Esimerkiksi MobilePay-maksusovelluksen ja Wolt-ruokatilauspalvelun käyttöön on luvassa muutoksia kesän aikana. Syynä on maksupalveluja EU-alueella koskeva psd2-direktiivi, joka vaatii verkkokaupat ja mobiilisovellukset tarkistamaan entistä tarkemmin maksajan henkilöllisyyden.

Poikkeuksiakin on, esimerkiksi alle 30 euron maksuissa ei vahvaa tunnistautumista joka kerta vaadita.

Lisäksi direktiivi vaatii pankkeja ensi syksystä alkaen avaamaan ulkopuolisille yrityksille pääsyn asiakkaidensa tileille, jos asiakkaat niin haluavat. EU:n tavoitteena on ollut lisätä kilpailua ja saada kuluttajille monipuolisempia ja helppokäyttöisempiä pankkipalveluja kuin pankkien nykyiset palvelut ovat.

Tämän niin sanotun open banking -uudistuksen kääntöpuolena on kuluttajien huoli tiliensä tietoturvasta, joka aiemmin on ollut yksinoikeudella pankkien hallinnassa. Nyt mukaan on tulossa uusia palveluiden tarjoajia.

Varsinaisesti psd2-direktiivi tuli voimaan jo viime vuoden alussa. Direktiiviin säädettiin kuitenkin siirtymäaika, joka päättyy 14. syyskuuta, kun siihen kuuluvat tekniset säädökset astuvat voimaan. Alan yrityksissä on siirtymäajasta huolimatta silti vielä epävarmuutta ja erimielisyyttä direktiivin vaatimuksista.

Mobiilimaksaminen jakautuu vähintään kolmeen

Direktiivin mukaan ostajan tunnistamisesta verkko- ja mobiilimaksuissa vastaa pääsääntöisesti pankki- tai luottokortin liikkeellelaskija eli käytännössä usein pankki. Tunnistautumisessa voidaan käyttää esimerkiksi asiakkaan puhelinta sekä pin-koodia tai vaihtoehtoisesti esimerkiksi biometristä tunnistetta, kuten sormenjälkeä.

Sääntöjen soveltamisesta käytäntöön on alalla kuitenkin yhä eri mielipiteitä.

– Olen juuri viime viikkoina yrittänyt selvittää eri toimijoilta, miten tämä menee käytännössä, kertoo suunnittelujohtaja Matias Pietilä mobiilimaksuratkaisujen konsultointia tarjoavasta Qvikistä.

Myös kuluttajille muutokset saattavat vaikuttaa hämmentäviltä, sillä näennäisesti samalla lailla toimivat maksusovellukset ja kaupat saattavat erota tavassa, joilla käyttäjä ostoksen maksaa.

Pietilä jakaa erilaiset maksu- ja ostotilanteet kolmeen luokkaan.

– Ensinnäkin on sovelluksia, joihin on tallennettu luottokorttitiedot ja joilla ostaminen onnistuu yhdellä klikkauksella. Näissä kortin liikkeellelaskijan eli pankin on jatkossa tehtävä käyttäjän tunnistaminen ostettaessa, Pietilä kertaa.

– Tämä voi onnistua suhteellisen kätevästi esimerkiksi pankin koodisovelluksen avulla, jos sellainen on. Muuten tunnusluku on etsittävä vaikka paperilistalta.

Toiseen ryhmään kuuluvat Pietilän luokittelussa niin sanotut kolmannen osapuolen mobiililompakot kuten esimerkiksi PayPal ja MobilePay.

– Tarvitaanko niissä joka maksun yhteydessä vastaava pankkitunnistautuminen vai ei? Vastaus riippuu vähän keneltä kysyy. Vaikka kauppias tunnistaisi käyttäjän sormenjäljestä ja kertoisi tunnistuksesta pankille, niin se ei direktiivin mukaan riitä, Pietilä pohtii.

– Tähän vaikuttaa liittyvän vielä vähän selvittelyä.

Kolmas luokka ovat Apple Pay- tai Google Pay -palvelut, joilla maksettaessa ei Pietilän mukaan ilmeisesti vaadita käyttäjän tunnistautumista joka oston yhteydessä.

– Näyttää siltä, että Apple ja Google saavat tässä hyvän etulyöntiaseman, sillä etusormen tai naaman näyttö riittää, kun taas muissa maksutavoissa joutuu käyttämään pankkien koodisovelluksia, Pietilä sanoo.

Nordean henkilöasiakasliiketoiminnan varajohtajan Jani Elorannan mukaan edes Apple Payn ja Google Payn asema ei ole vielä selvä. Nordea ja Aktia ovat toistaiseksi ainoat pankit Suomessa, jotka ovat ottaneet Apple Payn käyttöön.

– Apple- ja Google Payn kohdalla keskustelut ovat toimialalla vielä kesken ja niistä on pari eri tulkintaa olemassa, Eloranta toteaa.

Hänen mukaansa pankit voivat valtuuttaa mobiililompakon tekijän hoitamaan vahvan tunnistuksen ostotapahtumien yhteydessä, tai tunnistaa käyttäjän, kun antaa korttitietonsa palvelulle rekisteröitymisen yhteydessä.

Elorannan mukaan kaikki mobiilisovellukset eivät vielä ole direktiivin tasalla.

– Tällä hetkellä markkinassa on vielä useampia mobiilisovelluksia, jotka eivät täytä psd2:n vaatimuksia, Eloranta sanoo.

– En ole varma, ovatko kaikki sovellusten tarjoajat ottaneet huomioon, mitä psd2 tuo mukanaan. Sillä kentällä on odotettavissa muutoksia.

Eloranta on kuitenkin luottavaisempi verkkokauppojen sujuvuuden suhteen.

– Suomessa on kuitenkin jo pitkät perinteet turvallisesta verkkomaksamisesta ja tarjolla erilaisia menetelmiä, etten usko että niiden ottamisessa käyttöön on varsinaisia teknisiä esteitä. Useat suomalaiset verkkokaupat ja sovellukset on jo valmiiksi tehty psd2:n vaatimusten mukaisiksi, hän sanoo.

Eloranta mainitsee esimerkkinä vaikkapa Visan, Mastercardin sekä Siirto-palvelut, jossa verkkokaupan asiakas tunnistetaan pankkien tunnistusmenetelmien avulla.

Käyttäjän tilille voi päästä entistä useampi

Toinen syksyllä muuttuva asia on pankkien velvollisuus antaa asiakkaan luvalla myös niin sanotuille kolmansille osapuolille eli ulkopuolisille yrityksille pääsy asiakkaan tilitietoihin.

Tämän uudistuksen tavoitteena on ollut lisätä kilpailua ja tuoda vaihtoehtoja erilaisiin pankkiasiointiin liittyviin palveluihin.

– Pankit eivät ole pitäneet kiirettä rajapintojen avaamisessa, sillä ne eivät ole juuri kokeneet, että heillä on tässä hirveästi hyötyä taas olla mallioppilaana, sanoo Matias Pietilä Qvikistä.

– Suomessa ollaan tyypillisesti vähän kuuliaisempia ja tehdään hommat tosissaan. Herää kysymys, miten tämä muissa maissa toteutetaan.

Nordean Elorannan mukaan pankilla on käynnissä useita pilottitestauksia yritysten kanssa, joilla on direktiivin edellyttämä lisenssi. Palvelut ovat olleet pääasiassa kuluttaja-asiakkaille suunnattuja henkilökohtaiseen taloudenhallintaan liittyviä sovelluksia.

Pankki avaa yhteydet yrityksille varsinaisesti vasta 14. syyskuuta, kun psd2:een liittyvät sääntelyn tekniset standardit astuvat voimaan.

– Uskon, että yrityksiä alkaa tulla hieman myöhemmin lisää, Eloranta arvioi.

Elorannan mukaan Nordea kehittää uuden teknologian pohjalta myös uusia palveluja, kuten yritysasiakkaille suunnattua reaaliaikaista tiliraportointia.

Esimerkiksi konsulttiyhtiö Accenturen tekemän kyselytutkimuksen mukaan kuluttajia huolestuttaa muun muassa pankkitilien tietoturva, kun ulkopuolisilla yrityksillä on pääsy tileille.

Eloranta korostaa, että tilille pääsyyn vaaditaan käyttäjän lupa, johon taas tarvitaan vahva tunnistautuminen, eli mikään ulkopuolinen yritys ei pääse asiakastietoihin käsiksi ilman asiakkaan nimenomaista hyväksyntää.

– Varmasti huijareita tulee tähänkin ympäristöön, mutta pankeilla on toki muitakin suojamenetelmiä kuin käyttäjän tunnistaminen, hän toteaa.

Huijauksien mahdollisuutta vähentää sekin, että ulkopuoliset palvelut tulevat olemaan Finanssivalvonnan alaisuudessa ja ne toimivat toimiluvalla.

Korjaus klo 17.51: Nordean lisäksi myös Aktia on ottanut käyttöön Apple Payn.

Vahvassa tunnistamisessa on vähintään kahden seuraavista kriteereistä täytyttävä

  1. Jotain, mitä maksaja tietää (yleensä pin-koodi)

  2. Jotain, mitä maksajalla on hallussaan (esimerkiksi maksukortti tai pankkitunnus)

  3. Jotain maksajan yksilöivää (sormenjälki tai muu biometrinen tunniste)

Osion tuoreimmat

Luitko jo nämä?