PSD2 stimuleert slimme authenticatiemethoden banken

Het verlenen van toegang tot klant- en accountgegevens komt er voor banken op neer dat zij hun online front-end, dus wat zichtbaar is voor de online bezoeker, loskoppelen van de niet-zichtbare achterkant van een systeem, de back-end. Een voorbeeld hiervan op nationaal niveau is iDEAL waarin Nederlands banken hun betaaldiensten aanbieden aan iDEAL Payment Service Providers conform een uniforme (technische) interface.

Als gevolg hebben banken oplossingen nodig om toch veilige koppelingen te kunnen maken tussen back-end functionaliteiten van een bank en externe applicaties van bijvoorbeeld een fintech-bedrijf.

Websites en webapplicaties communiceren met elkaar via een application programming interface (API). We spreken in dit kader dan ook over API-security. Met geavanceerde authenticatiemethoden kunnen bijvoorbeeld klanten van een financiële dienstverlener of computerprogramma’s die een connectie willen maken, worden geïdentificeerd en geautoriseerd.

Betaalmogelijkheden, zoals iDEAL en mobiel betalen, worden mogelijk gemaakt door betaalproviders (Third PartyProviders of TPP’s). Dit zijn niet alleen traditionele banken, maar ook nieuwe online banken en fintech-startups. De nieuwe PSD2-wetgeving eist van de TPP’s dat zij strong customer authentication (SCA) toepassen. Hiermee kan men op een veilige manier gebruikmaken van (nieuwe) betaalmethoden.

Om de klanttevredenheid te optimaliseren, is het bij SCA van belang dat er een balans is tussen het voldoen aan veiligheidseisen en het gebruiksgemak voor klanten. Denk aan twee-factor-authenticatie, dus naast gebruikersnaam en wachtwoord nog een extra beveiligingslaag. Klanten kunnen zich bijvoorbeeld biometrisch, via vingerafdruk of spraakherkenning, authentiseren via een app op hun telefoon.

Binnen deze oplossingen kan de bank zelf verschillende zogenoemde ‘business rules’ instellen. Zo kan de klant het overschrijven van kleine bedragen bijvoorbeeld goedkeuren middels het simpelweg klikken op de akkoord-button binnen de app. Voor hogere bedragen is dan authenticatie met een vingerafdruk vereist of een extra verificatie, zoals een selfie die de bank kan matchen met je paspoortfoto.

Ook los van PSD2 is er ruimte voor innovatie in de financiële sector. Denk bijvoorbeeld aan geld pinnen met een bank-app middels biometrische authenticatie in plaats van een bankpas met pincode. Hiervoor hebben we binnen PwC Everett een demo ontwikkeld.

Een ander mooi voorbeeld is de koppeling van je mobiele telefoon aan een fysieke bankkantoor, waardoor je herkend wordt als je de bank binnenloopt. Hierdoor heeft een baliemedewerker of adviseur direct jouw financiële gegevens paraat. Op het moment dat de bank via de app vraagt om jouw gegevens te mogen inzien, weet je dat je met de bank communiceert en niet op een nep-website zit die een echte bank nabootst.

Deze manier van toegang verlenen is in lijn met de nieuwe Europese richtlijn General Data Protection Regulation (GDPR) die van banken vereist dat ze toestemming moeten vragen om jouw persoonlijke (financiële) informatie te mogen inzien. Ook dan kun je bijvoorbeeld akkoord geven met je vingerafdruk.

Natuurlijk, nieuwe digitale spelers in de financiële sector zijn in het voordeel; zij kunnen innovatieve digitale oplossingen direct in hun infrastructuur meenemen. Voor traditionele banken is dit moeilijker, omdat zij hun bestaande IT-systemen moeten integreren met technologieën op het gebied van bijvoorbeeld data-analyse en mobile. Echter, PSD2 ontziet niemand. Zowel nieuwkomers als traditionele banken moeten vanaf 2018 aan de regels moeten.

Toch hoeven traditionele spelers niet bij de pakken neer te zitten. PSD2 kon nog wel eens als vooruitgangsmotor werken. Het kan concurrentie, transparantie, lagere kosten én gebruiksgemak bevorderen. En daar is iedereen bij gebaat.