Finansinspektionen vill förtydliga vilka skyldigheter tredjepartsleverantörer har när de hämtar information om bankkunders betalkonton via digitala gränssnitt. FI har även kontaktat bankerna och påmint dem om vilka skyldigheter de har som kontoförvaltande institut.
Tredjepartsleverantörer av betaltjänster, är företag som tillhandahåller betalningsinitieringstjänster, kontoinformationstjänster eller båda slagen av betaltjänster.
När en tredjepartsleverantör anropar ett kontoförvaltande institut – oftast en bank − ska det ske via det gränssnitt som banken anvisar. Ett annat krav är att företaget ska identifiera sig när det begär och får tillgång till information om en eller flera specifika betalkonton och tillhörande betalningstransaktioner. Det är inte tillåtet att skaffa sig tillträde till betalkontoinformation via bankens kundgränssnitt utan att identifiera sig.
Det är heller inte tillåtet att behandla mer information än nödvändigt för att tillhandahålla den specifika betaltjänst som är skälet till anropet.
De regler som gäller på området kommer från EU:s andra betaltjänstdirektiv. Direktivet är genomfört i Sverige genom ändringar i lagen (2010:751) om betaltjänster och genom Finansinspektionens föreskrifter FFFS 2018:4, FFFS 2018:5, FFFS 2018:6 och FFFS 2018:7, som trädde i kraft den 1 maj 2018.
Kompletterande regler om gränssnitt trädde i kraft den 14 september 2019 genom Kommissionens delegerade förordning (EU) 2018/389.
FI har fått indikationer på att vissa tredjepartsleverantörer och vissa kontoförvaltande institut eventuellt inte uppfyller sina skyldigheter när det gäller reglerna om inloggningsgränssnitt i den delegerade förordningen.
För tredjepartsleverantörer finns indikationer på att en del inte använder de inloggningsgränssnitt som anvisats av kontoförvaltande institut liksom indikationer på att vissa tredjepartsleverantörer eventuellt på andra sätt frångår regelverket när det gäller gemensamma och säkra kommunikationsstandarder.
För kontoförvaltande institut handlar det om inloggningsgränssnitt som eventuellt inte lever upp till kraven på tillgänglighet och funktionalitet.
FI kontaktar i dagarna bankerna direkt och betonar vikten av att de efterlever sina skyldigheter att tillhandahålla inloggningsgränssnitt som uppfyller de krav på standarder för gemensam och säker kommunikation mellan kontoförvaltande institut och tredjepartsleverantörer som föreskrivs i den delegerade förordningen. Detta innebär bland annat att tillhandahålla inloggningsgränssnitt som uppfyller regelverkets krav på tillgänglighet och funktionalitet samt att kontoförvaltande institut som inte har beviljats undantag måste tillhandahålla den beredskapsmekanism som regelverket föreskriver.