«Finanstilsynets oppfølging har avdekket enkelte mangler i SpareBank 1-bankenes særskilte grensesnitt for tredjeparts betalingstjenestetilbydere og tilgangen til autentiseringsprosedyrer», skriver Finanstilsynet på sine nettsider.
Tilsynet har gitt bankene frist til 16. august med å gjennomføre rettingene de ber om og en bekreftelse på at rettingene er utført innen 20. august.
Det er tre konkrete rettinger tilsynet ber om:
- Særskilt grensesnitt for bedriftsmarkedet skal omfatte funksjonalitet for å tilgjengeliggjøre alle data knyttet til både innenlands- og utlandsbetalinger (SEPA og Swift), i tråd med kravet i forskrift om systemer for betalingstjenester § 8 andre ledd.
- Særskilt grensesnitt skal omfatte funksjonalitet for regningsbetaling med kredittkort i tråd med kravet i forskrift om systemer for betalingstjenester § 8 andre ledd.
- Tredjepartstilbydere skal gis adgang til å benytte seg av autentiseringsprosedyren i engangskode-appen via mobile applikasjoner med automatisk «app-switching» i tråd med kravet i forskrift om systemer for betalingstjenester § 5 femte ledd.
Forenklet kan påleggene forklares med at en bank må gi brukerne av en tredjeparts app eller nettjeneste for betaling, saldo og transaksjoner de samme måtene å identifisere seg på som de gir egne kunder i egen nettbank. En av de fire identifiseringsmetodene Sparebank 1 tilbyr mangler i dagens versjon av det såkalte API-et, som er det grensesnittet som kobler eksterne it-tjenester til bankens.
Dette pålegget kommer som et resultat av en pågående dialog mellom Sparebank 1 Utvikling og Finanstilsynet. Sparebank 1 Utvikling har allerede meldt tilsynet om at de vil ha rettet punkt 1. innen fristen, men at de to andre punktene vil kreve mer tid å få innført, nærmere bestemt i løpet av tredje kvartal.
Bankene «overraskende positive» til Fintech Norways PSD2-gulrot
Fintech-selskapene i Norge har mistet tålmodigheten med Finanstilsynet
Fintech Norway: Organisering er en nødvendig tidstyv