EBA Final Guidelines on the security of internet payments

Transcriptie

1 EBA Final Guidelines on the security of internet payments Implementatie per 1 augustus 2015, maar met ongelijk Europees speelveld mr. JA Voerman* TrefNoorden: online transacties, betaaldienstverleners, strong customer authentication 1. Inleiding De Europese Centrale Bank ('ECB') rapporteerde begin 2014 over een forse toename van fraude bij online betaaltransacties. De totale schadelast steeg in 2012 naar 1,33 miljard. De toename van het aantal frauduleuze internetbetalingen moet volgens de ECB wel in het perspectiefworden geplaatst van de snelle stijging van het aantalonline transacties. In haar persbericht riep de ECB de industrie op verder te gaan met het nemen van veiligheidsmaatregelen, vooral bij online betalingen.' Inmiddels heeft de European Banking Authority ('EBN), na een consultatieronde, op 19 december 2014 de Final guidelines on the security of internet payments gepubliceerd ('Guidelines').2 De EBA verwacht dat de Guidelines per 1 augustus 2015 worden toegepast. Implementatie dient evenwel via de nationale toezichthouders te geschieden. Nu meerdere toezichthouders, waaronder de Financial Conduct Authority ('FCN) in het Verenigd Koninkrijk, hebben laten weten de Guidelines niet (volledig) te zullen implementeren, ontstaat een ongelijk speelveld voor betaaldienstverleners. In deze bijdrage ga ik eerst in op de bevoegdheid van de EBA en de status van richtsnoeren die de EBA kan uitvaardigen. Daarna bespreek ik de achtergrond en hoofdlijnen van de Guidelines en ga in het bijzonder in op het vereiste van de strong customer authentication. Ook de verhouding met de Payment Services Directive ('PSD')3 en de op stapel staande Herziene Payment Services Directive ('PSD2')4 komt tot slot aan bod. Arno Voerman is advocaat financieel recht bij Van Doorne NV 1 Persbericht ECB van 25 juni Zie: pr en.html. 2 Te vinden, ook de Nederlandse tekst, via: 3 Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betaaldiensten in de interne markt tot wijziging van de Richtlijnen 97/7/ EG, 2002/65/EG, 2005/60/EG, en tot intrekking van Richtlijn 97/5/EG, PbEU 2007 L 319/1. 4 Voorstel van de Europese Commissie voor een Richtlijn van het Europees Parlement en de Raad betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2013/36/EU en 2009/nO/EG en houdende intrekking van Richtlijn 2007/64/EG, Brussel, , COM(2013) 547 final. 5 Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie). 2. De EBA 2.1 Hoofdtaken De EBA is per 1 januari 2011 opgericht en is de opvolger van het oude Committee of European Banking Supervisors (CEBS). De taken, verantwoordelijkheden en bevoegdheden van de EBA zijn geregeld in de EBA-Verordening.5 De EBA maakt deel uit van het Europees Systeem voor financieel toezicht ('ESFS'). De EBA heeft onder meer de volgende hoofdtaken: - bijdragen aan de invoering van kwalitatiefhoogstaande gemeenschappelijke regulerings- en toezichtnormen en -praktijken, met name door het verstrekken van adviezen aan de instellingen van de Europese Unie ('EU') en door het ontwikkelen van richtsnoeren, aanbevelingen en ontwerpen van technische reguleringsnormen en technische uitvoeringsnormen op basis van de in art. 1 lid 2 EBA-verordening genoemde verordeningen en richtlijnen; 124 Tijdsrhrft voor Compliance - jul. 2015

2 bijdragen aan een consistente toepassing van EU-regelgeving, met name door het waarborgen van een consistente toezichtpraktijk door nationale EU-toezichthouders en het voorkomen van toezichtarbitrage; het onderzoeken van ontoereikende toepassing van de EU-wetgeving door nationale autoriteiten. In art. 1 lid 2 EBA-verordening wordt ook verwezen naar de PSD. Volgens art. 1 lid 3 EBA-verordening handelt de EBA op het werkterrein van kredietinstellingen, financiële conglomeraten, beleggingsondernemingen, betaalinstellingen en instellingen voor elektronisch geld, eveneens met betrekking tot zaken die niet rechtstreeks onder de in lid 2 bedoelde verordeningen en handelingen vallen. Aldus heeft de EBA een ruim werkterrein. 2,2 Richtsnoeren en aanbevelingen Met het oog op het invoeren van consistente, efficiënte en effectieve toezichtpraktijken binnen het ESFS en het verzekeren van de gemeenschappelijke, uniforme en consistente toepassing van het Unierecht heeft de EBA de bevoegdheid richtsnoeren en aanbevelingen tot bevoegde autoriteiten offinanciële instellingen uit te vaardigen." Bevoegde autoriteiten zijn (kort gezegd) de nationale toezichthouders. Financiële instellingen zijn kredietinstellingen, beleggingsondernemingen en financiële conglomeraten. Richtsnoeren en aanbevelingen van de EBA moeten worden nageleefd. Bevoegde autoriteiten en financiële instellingen moeten zich tot het uiterste inspannen om aan de richtsnoeren en aanbevelingen te voldoen." Voor een bevoegde autoriteit geldt dat zij binnen twee maanden aan de EBA moet laten weten of zij aan de richtsnoer of de aanbeveling voldoet of voornemens is die op te volgen. Indien dat niet zo is, moet de bevoegde autoriteit dat onder opgaafvan redenen aan de EBA melden. De EBA maakt dit dan bekend. De EBA kan eveneens per geval besluiten de redenen van de bevoegde autoriteit, na voorafgaande kennisgeving, bekend te maken." Voor financiële instellingen kan de EBA in de richtsnoer of aanbeveling ook voorschrijven dat de financiële instelling op duidelijke en gedetailleerde wijze moet melden of zij zich aan dat richtsnoer of die aanbeveling zal houden. Voor de Guidelines heeft de EBA van deze bevoegdheid geen gebruik gemaakt." De EBA-verordening geeft de EBA geen sanctiemogelijkheden voor niet naleving van de richtsnoeren of aanbevelingen. Zo bevat de EBA-Verordening geen sanctieregels voor de situatie dat een bevoegde autoriteit bekend heeft gemaakt een richtsnoer of aanbeveling niet te volgen. Art. 16 lid 4 van de EBA-verordening bepaalt alleen dat de EBA in haar jaarlijks verslag aan het Europees Parlement, de Europese Raad en de Europese Commissie melding maakt van de uitgevaardigde richtsnoeren en aanbevelingen en vermeldt welke bevoegde nationale autoriteiten deze niet hebben opgevolgd, en hoe zij ervoor denkt te zorgen dat ieder van deze bevoegde autoriteiten in de toekomst haar aanbevelingen en richtsnoeren zal opvolgen. Ook voor de situatie dat een bevoegde autoriteit, ondanks dat zij heeft laten weten na te leven, in de praktijk een richtsnoer of aanbeveling niet toepast, geeft de EBA-verordening de EBA geen sanctiemogelijkheden. Met betrekking tot financiële instellingen geldt hetzelfde. Handhaving ten opzichte van financiële instellingen zal alleen kunnen plaatsvinden door een nationale toezichthouder die de betreffende richtsnoer of aanbeveling in zijn toezichtpraktijk toepast. 2.3 Status richtsnoeren Met richtsnoeren laat de EBA weten welke toezichtpraktijken binnen het Europees Systeem voor financieel toezicht naar haar mening passend zijn, of hoe het EU-recht op een specifiek gebied moet worden toegepast. De EBA verwacht dan ook van alle bevoegde autoriteiten en financiële instellingen tot wie de richtsnoeren zijn gericht, dat zij hieraan voldoen door ze op passende wijze in hun toezichtpraktijk te integreren (bijvoorbeeld door hun wettelijk kader oftoezichtprocessen aan te passen), ook wanneer de richtsnoeren in de eerste plaats tot financiële instellingen zijn gericht.'" 6 Art. 16lid 1 EBA verordening. Ik laat in deze bijdrage overigens buiten beschouwing de vraag of de EBA op basis van dit artikel wel bevoegd was de Guidelines uit te vaardigen, maar verwijs voor een meer algemene beschouwing over dit thema naar Edoarda Chiti, 'In the aftermath of the crisis. The EU Administrative System between impediments and momentum', 27 mei 2015, te raadplegen via: cfm?abstract_id= ##. 7 Art. 16 lid 3 EBA-verordening. B Zie ook art. 16 lid 3 EBA-verordening. 9 Eveneens art. 16 lid 3 EBA-verordening. 10 Aldus ook de Guidelines, p. 3. Tijdschrift voor Compliance - juli

3 Vanzelfsprekend moet er voor de nationale toezichthouders in hun eigen nationale recht wel voldoende grondslag bestaan de richtsnoeren toe te passen. Richtsnoeren laten mijns inziens ook onverlet dat een nationale toezichthouder risico-gebaseerd toezicht uitoefent en vooral, vanuit een risico-perspectief, zal beoordelen hoe een financiële onderneming met de richtsnoeren omgaat en bepaalde afwegingen heeft gemaakt. 3. Achtergrond Guidelines 3.1 SecuRe Pay Forum De Guidelines vinden hun grondslag in aanbevelingen die eerder door het European Forum on the Security of Retail Payments ('SecuRe Pay Forum') zijn opgesteld.'! Het SecuRe Pay Forum is begin 2011 opgericht als vrijwillig overlegorgaan tussen Europese '1 toezichthouders en overseers," met als doel het opstellen van minimumveiligheidseisen voor ï retailbetalingen." De rapporten van het SecuRe Pay Forum zijn bedoeld door de Europese toezichthouders en overseers toegepast te worden bij hun toetsingen. Voor de veiligheid van internetbetalingen hield de Raad van Bestuur van de ECB van medio april tot juni 2012 een consultatie van de Recommendations for the security of internet payments opgesteld door het SecuRe Pay Forum. Het rapport bevat aanbevelingen voor minimum beveiligingseisen voor internetbankieren en kaartbetalingen via internet. Het finale rapport verscheen op 31 januari 2013 ('Aanbevelingen'). De Aanbevelingen bestaan uit veertien aanbevelingen die elk nader zijn ingevuld door hoofdoverwegingen (key considerations) en best practices. Het is aan de partijen die onder de werking van de Aanbevelingen vallen, te weten betaaldienstverleners ofwel payment service providers ('PSPs') en governance authorities van betaalschema's ('GAs'), de Aanbevelingen, na te leven of anders uit te leggen en te rechtvaardigen waarom is afgeweken (comply or explain principe). De Aanbevelingen zijn gebaseerd op vier basisprincipes. Eén van die principes is dat de initiëring van internetbetalingen en toegang tot gevoelige betaaldata moet worden beschermd door versterkte klantauthenticatie (strong customer authentication). Opvallend is dat het SecuRe Pay Forum daarbij opmerkt dat, in het geval van een betwiste betaaltransactie, PSPs zonder strong customer authentication niet kunnen bewijzen dat de klant de betaalopdracht heeft geautoriseerd. Nadien publiceerde de ECB in februari 2014 nog de Assessment Guide for the Security of Internet Payments.14 3,2 Waarom de Guidelines? In de zomer van 2014 concludeerde het SecuRe Pay Forum dat een meer solide juridische basis de implementatie van de Aanbevelingen zou kunnen bevorderen omdat daarmee een consistente implementatie in alle lidstaten mogelijk zou zijn. Bovendien zou het daarmee vertrouwen geven aan financiële instellingen dat de vereiste investeringen en de systeemveranderingen niet vergeefs zouden worden uitgevoerd. Met de EBA, tevens lid van SecuRe Pay Forum, is om die reden overeengekomen de Aanbevelingen om te zetten in richtsnoeren op de voet van art. 16 EBA-verordening." Gelet op het besprokene in paragraaf 2.2 vraag ik mij afhet gewenste resultaat, namelijk een meer solide juridische basis, wel is bereikt. Gelet op het ontbreken van sanctiemogelijkheden zal het uiteindelijk toch van het handhavingsbeleid van de nationale toezichthouder afhangen hoe heet de soep wordt gegeten. In zoverre is er dus niet veel veranderd in vergelijking met de Aanbevelingen die op vrijwillige basis door de nationale toezichthouders zouden worden toegepast. Bovendien hebben bepaalde nationale toezichthouders de Guidelines (deels) afgewezen. Van een consistente implementatie is dus allerminst sprake. 11 Te vinden via: pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionaf terpc201301en.pdf. 12 Oversight is toezicht op afwikkelsystemen (clearing en settlernen t) voor het girale betalings- en effectenverkeer en op betaalproducten. Zie daarover verder de brochure Oversight van DNB (te vinden via: nl), 13 In januari 2013 verscheen ter consultatie ook het tweede rapport van het SecurRe Pay Forum. Het ziet op 'Recommendations for payment account services'. Het derde rapport dat ter consultatie is aangeboden betreft 'Recommendations for the security of mobile payments'. Publicatie van de consultatieversie vond plaats op 15 november Te raadplegen via: httpsf' eu/pub/pdf/other/assessmentguidesecurityinternetpayments201402en.pdf. IS Guidelines, Engelse tekst, p. 4, punt Tijdschrift voor Compliance - juli 2015

4 3.3 Timing - inwerkingtreding per 1 augustus 2015 Bij het aanbieden van de consultatieversie van de Guidelines heeft de EBA gevraagd hoe om te gaan met de mogelijk hogere veiligheidseisen die per 2017/2018 gaan gelden op grond van PSD2. Daarbij stelde de EBA twee opties voor. De eerste optie betreft de zogenoemde two-stepapproach, te weten inwerkingtreding conform de consultatieversie per 1 augustus 2015, als zijnde een overgangsperiode, totdat de (strengere) eisen op basis van PSD2 zouden gelden. De andere optie was het nu al anticiperen op de eisen van PSD2.'6 Een optie die de EBA niet noemde, maar die volgens de EBA veel respondenten wel als eerste keus noemden, is het volledig uitstellen van de inwerkingtreding tot de implementatie van PSD2. De EBA heeft deze optie echter verworpen. Volgens de EBA kan niet langer worden gewacht, gezien het grote aantal fraudegevallen. Om die reden houdt de EBA vast aan 1 augustus 2015, maar volgt de meerderheid van de respondenten wel door te kiezen voor de two-step-approach.'7 De Aanbevelingen blijven overigens van kracht. De EBA stelt dat de Aanbevelingen de basis blijven vormen op grond waarvan centrale banken in het kader van hun oversight functie voor betalingssystemen en -ínstrumenten de naleving moeten beoordelen met betrekking tot de veiligheid van internetbetalingen. Vermeldenswaardig is hier nog dat de Guidelines, anders dan de Aanbevelingen, niet uitgaan van het comply or explain principe. Op dit verschil is door partijen tijdens de consultatiefase gewezen. De EBA doet dit kort af door te verwijzen naar de mogelijkheid die bevoegde autoriteiten hebben om niet compliant te zijn." 4. Toepassingsgebied 4.1 PSP: rollen De Guidelines zijn van toepassing op PSPs. In het algemeen kan men de volgende typen PSPs onderscheiden, waarbij een combinatie van diensten bij één PSP mogelijk is: de PSP die betaalrekeningen voor zijn klanten aanhoudt (de account servicing payment service provider); de PSP die zijn zakelijke klanten in staat stelt diverse typen betaalproducten te accepteren (meestal betaalinstellingen). Deze PSP heeft alleen een relatie met de merchant; de betaler is niet in persoon bekend bij deze PSP; de PSP die toegang biedt tot (gegevens van) accounts bij andere PSPs enjof betalingen kan initiëren (de third party payment service provider of payment integrator). Daarnaast zijn er de betaaldiensteigenaren (payment schemes): aanbieders van betaalproducten. Het betreft hierbij banken (credit transfers), Currence (ideal/emandates/sepa Direct Debit), maar oak MasterCard of VISA. Een ander onderscheid is tussen issuers en acquirers. De issuer geeft een betaalinstrument uit (bijvoorbeeld een creditcard) en bepaalt welke authenticatiemethoden zij (technisch) aanbiedt om bij een betaling haar klanten te identificeren en de identiteit te verifiëren. De acquirer heeft (al dan niet door tussenkomst van een betaalinstelling) een relatie met de merchant. Bij de acceptatie van een betaling kan de merchant (althans zijn acquirer) in sommige gevallen kiezen welk niveau van authenticatie hij aanvaardt. 16 Guidelines, Engelse tekst, p. 4, punt Guidelines, EngeIste tekst, p. 5, punt ID. 18 Guidelines, Engelse tekst, p Guidelines, Nederlandse tekst, p. 4, punt Bepaling 9 van Titel1 houdt in dat wanneer 4.2 Reikwijdte PSD bepalend de verlening van betaaldiensten en de levering van betaalinstrumenten worden In formele zin zien de Guidelines op PSPs als genoemd aangeboden via een betalingssysteem in art. 1 PSD die betaaldiensten aanbieden via het internet." Het gaat met name om banken, elektronischgeldinstellingen en betaalinstellingen (vergunninghoudende PSPs). Op payment schemes zijn de Guidelines niet rechtstreeks van toepassing. Wel bevatten de Guidelines een opdracht ter zake aan de nationale toezichthouders en de centrale banken met een oversight functie." (bijvoorbeeld betaalkaartsystemen, betalings Wat betreft de al genoemde payment integrators, partijen die betalingsinitiatiediensten aanbieden, zijn er volgens schema's voor overmakingen en autornatische afschrijvingen etc.), de bevoegde autoriteiten en de desbetreffende centrale bank belast met het toezicht op de betalingsinstrumenten dienen samen te werken om een consequente toepassing van de Guidelines door de deelnemers, die verantwoordelijk zijn voor de werking van de regeling, te waarborgen. Tijdschrift voor Compliance - juli

5 ',', EBA FINAL GUIDELINES ON THE SECURITY OF INTERNET PAYMENTS ACHTERGROND,,, bepaling lo van Titel t van de Guidelines twee mogelijkheden, Zij zijn ofwel zelf een PSP, ofwel een externe technische service provider, In het laatste geval moeten de payment integrators contractueel verplicht worden de Guidelines na te leven door de PSPs aan wie zij diensten verlenen, Voor de (praktische) toepassing van de Guidelines is het steeds van belang te onderkennen dat met de afkorting 'PSP' wordt geduid op de brede groep betaaldienstverleners als genoemd in art. 1 PSD. Per Guideline zal daarom steeds goed worden gekeken op welke categorie PSP deze ziet. 4.3 Internetbetaaldiensten De Guidelines zien op de volgende internetbetaaldiensten: betaalkaarten: de uitvoering van kaartbetalingen via internet, inclusiefvirtuele kaartbetalingen, en de registratie van kaartbetaaldata om te gebruiken voor 'toepassingen voor een elektronische portemonnee'; overschrijvingen (credit transfers): de uitvoering van overmakingen via internet; elektronische machtiging (e-mandate): de uitgifte en wijziging van machtigingen voor automarisehe afschrijvingen; elektronisch geld (e-money): overschrijvingen van elektronisch geld tussen twee elektronischgeldrekeningen via internet. De Guidelines vermelden ook welke diensten buiten de reikwijdte vallen." Het betreft onder meer mobiele betalingen anders dan betalingen via een browser. Voor mobiele betalingen was het de bedoeling dat er aparte aanbevelingen van SecuRe Pay Forum zouden komen die door EBA (ook) in richtsnoeren zouden worden omgezet. De EBA heeft echter op 21 mei 2015 laten weten dat dit niet zal gebeuren.è' De input van SecuRe Pay Forum zal wel worden gebruikt richting de EBA en de EeB in het kader van de mandaten onder PSD2, 5. Hoofdthema's Guidelines De Guidelines zelf zijn onderverdeeld in drie groepen: i) algemene beheers- en veiligheidsomgeving, ii) specifieke beheers- en veiligheidsmaatregelen voor internetbetalingen en iii) klantenbewustzijn, -educatie en -communicatie. Mijn streven is niet alle Guidelines te bespreken. Ik stip hieronder alleen enkele in het oog springende punten aan, 5.1 Risk Management Een belangrijk onderdeel in de eerste groep betreft de risicobeheersing en risicobeperking. De hoofd Guideline is dat PSPs veiligheidsmaatregelen moeten invoeren die overeenstemmen met hun veiligheidsbeleid om vastgestelde risico's te beperken. Deze maatregelen moeten verschillende lagen van veiligheidsbescherming bevatten; als een verdedigingslinie faalt, moet dit opgevangen worden door de volgende verdedigingslinie ('verdediging in de diepte').23 In de sub-guidelines 4.1 tot en met 4.7 wordt dit vervolgens uitgewerkt, Zo moeten PSPs bij het ontwerpen, ontwikkelen en onderhouden van internetbetaaldiensten extra aandacht schenken aan een adequate.scheiding van taken in informatietechnologieomgevingen (IT) (bijvoorbeeld de ontwikkel-, test- en productieomgevingen) en de correcte implementatie van het least privilege beginsel (minimale toegangsrechten) als basis voor een deugdelijk identiteitsbeheersysteem en toegangsbeheersysteem. Ook moeten PSPs bij het ontwerpen, ontwikkelen en onderhouden van de internetbetaaldiensten ervoor zorgen dat minimalisatie van de gegevens een essentieelonderdeel is van de kernfunctionaliteit: het verzamelen, routeren, verwerken, opslaan en/of archiveren, en visualiseren van de gevoelige betaaldata moeten tot een absoluut minimum worden beperkt. 5.2 Impact voor contracten met webmerchants De Guidelines bevatten voor acquirers richtsnoeren ten aanzien van hun eontraeten met webmerchants. Acquirers moeten in de eerste plaats hun webmerchants aanmoedigen geen gevoelige betaaldata te 21 Guidelines, Nederlandse tekst, p. 5, punt Persbericht van de EBA van 21 mei Te vinden via: http.jjwww.eba.europa.euj regulation-and-policy/consumer-protectionand-financial-innovation/guidelines-on-thesecurity-of-internet-payrnents. 23 Guideline Tijdschrift voor Compliance - juli 2015

6 behandelen. In het geval dat webmerchants wel gevoelige betaaldata behandelen, bijvoorbeeld in de vorm van opslag, verwerking of overdracht, moeten PSPs contractueel eisen dat de webmerchants de benodigde maatregelen hebben getroffen om deze gegevens te beschermen. PSPs moeten regelmatig controleren afeen webmerchant die gevoelige betaaldata behandelt, de vereiste veiligheidsmaatregelen heeft genomen. Voor webmerchants die gevoelige betaaldata opslaan, verwerken of overdragen in het geval van grote betalingsveiligheidsincidenten, inclusiefinbreuk op gegevens, dienen acquirers contractueel te eisen samen te werken met zowel henzelf als de betrokken wetshandhavingsinstanties." Acquirers dienen verder contractueel te eisen dat webmerchants die handelingen uitvoeren met gevoelige betaaldata (zoals opslag, verwerken of overmaken) veiligheidsmaatregelen implementeren in hun IT-infrastructuur overeenkomstig de sub-guidelines 4.1 tot 4.7, teneinde diefstal van deze gevoelige betaaldata via hun systemen te voorkornen.ê" Wanneer blijkt dat de webmerchant in strijd met de contractuele verplichtingen handelt, moet de acquirer stappen ondernemen de contractuele verplichting afte dwingen of het contract te beëindigen. Acquirers moeten ook eisen dat webmerchants de betalingsgerelateerde processen duidelijk afscheiden van de webwinkel, zodat het gemakkelijker is voor klanten na te gaan dat ze communiceren met de PSP en niet met de begunstigde (bijvoorbeeld door de ldant door te sturen en een apart scherm te openen, zodat het betalingsproces niet getoond wordt in het venster van de webwinkelj" Een andere eis die acquirers op web merchants moeten opleggen, ziet op versterkte klan tauthenticatie van de kaarthouder in geval van kaarttransacties via het internet. Deze eis komt verder in paragraaf 6 aan bod. Onduidelijk is of acquirers ook geacht worden bestaande eontraeten te herzien. Tijdens de consulatie is hier door partijen aandacht voor gevraagd, maar de EBA heeft (ook) hier geen antwoord op gegeven. 5.3 Klantenbewustzijn, -educatie en -communicatie Wat betreft de communicatie is onder meer van belang dat PSPs ten minste één beveiligd kanaal moeten aanbieden voor voortdurende communicatie met klanten met betrekking tot het juiste en veilige gebruik van de internetbetaaldiensten. PSPs dienen ldanten op de hoogte te brengen van dit kanaal en uit te leggen dat elk bericht uit naam van de betaaldienstverlener op welke andere manier dan ook (bijvoorbeeld per ) met betrekking tot het juiste en veilige gebruik van de internetbetalingsdienst, niet betrouwbaar is. Via dit beveiligde kanaal moeten PSPs gebruikers informeren over wijzigingen in de veiligheidsprocedures met betrekking tot internetbetaaldiensten. Alle alarmsignalen over belangrijke nieuwe risico's dienen ook via het beveiligde kanaal te worden verstrekt.ê? PSPs dienen, voorafgaand aan het aanbieden van internetbetaaldiensten aan een klant, limieten in te stellen voor deze diensten (bijvoorbeeld een maximumbedrag voor elke individuele betaling of een cumulatiefbedrag over een bepaalde periode) en de klant hierover te informeren. PSPs moeten klanten toestaan om de internetbetalingsfunctionaliteit uit te schakelen." Voor credit transfers en e-mandates geldt verder dat PSPs de ldanten de mogelijkheid moeten bieden nagenoeg real-time de status van de uitvoering van de transacties en de rekeningsaldi op elk gewenst moment te controleren in een veilige en betrouwbare omgeving." 6. Strong Customer Authentication 6.1 Definities Eén van de meest besproken onderwerpen betreft de eis van versterkte klantauthenticatie ofwel strong customer authentication. Volgens de definities van de Cuidelinesê? wordt onder 'authenticatie' verstaan: een procedure die de betaal- dienstverlener in staat stelt de identiteit van de klant te controleren. Onder 'versterkte klantauthenticatie' wordt verstaan: een procedure die ten behoeve van deze richtsnoeren gebaseerd is op het gebruik van twee of meer van de volgende elementen, ingedeeld als kennis, eigendom en inherentie: i) iets dat alleen de gebruiker weet, bijvoorbeeld een statisch wachtwoord, code of persoonlijk identificatienummer; ii) iets dat alleen de 24 Guideline Guideline Guideline Guideline Guideline Guideline Guidelines, Nederlandse tekst, p. 6, punt. 12. Tijdschrift voor Compliance - juli

7 gebruiker bezit, bijvoorbeeld een taken, smartcard of mabie Ie telefoon; iii) iets dat de gebruiker is, bijvoorbeeld een biometrisch kenmerk, zoals een vingerafdruk. Daarnaast moeten de geselecteerde elementen van elkaar onafhankelijk zijn, dat wil zeggen de schending van één element mag de andere elementen/her andere element niet beïnvloeden. Ten minste een van de elementen dient niet-herbruikbaar en niet-reproduceerbaar te zijn (met uitzondering van inherentie) en het mag niet heimelijk via internet gestolen kunnen worden. Het ontwerp van de procedure voor versterkte authenticatie moet de vertrouwelijkheid van de authenticatiegegevens beschermen. Met name de voorwaarde van de zogenoemde two factor authentication, waarbij ten minste een van de elementen niet-herbruikbaar en niet-reproduceerbaar mag zijn, betekent bij een strikte toepassing dat bepaalde bestaande authenticatiemethoden niet meer zullen voldoen. Hier is niettemin denkbaar dat een nationale toezichthouder de thans algemeen erkende authenticatiemethoden (zoals 3D Secure voor creditcards) voldoende acht. Opmerkelijk is overigens dat de door EBA gehanteerde definities van authenticatie en strong customer authentication afwijken van de definities zoals die in het voorstel voor PSD2 staan." Authenticatie kan volgens het Richtlijnvoorstel, naast de verificatie van de identiteit, ook bestaan uit het verifiëren van de geldigheid van het gebruik van een specifiek betaalinstrurnent." Verder zijn de eisen voor strong customer authentication minder streng omdat de voorwaarde niet wordt gesteld dat ten minste een van de elementen niet-herbruikbaar en nietreproduceerbaar dient te zijn.33 Aan de andere kant worden wel weer additionele eisen gesteld in het geval van electronic payment transactions, maar de omvang daarvan is niet volledig duidelijk.ê" De EBA heeft wellaten weten de definities aan te passen aan de uiteindelijke PSD2-definities wanneer de PSD2 wordt geïmplementeerd. Bij een strikte toepassing zouden PSPs dus nu investeringen moeten doen en onder PSD2 weer vervolginvesteringen moeten doen (waarbij het mogelijk is dat investeringen op basis van de Guidelines op basis van PSD2 niet nodig zijn). Deze uitkomst is onwenselijk. 6.2 Bescherming door Strong Customer Authentication De Guidelines nemen tot hoofduitgangspunt dat het initiëren van internetbetalingen en de toegang tot gevoelige betaaldata door een versterkte klantauthenticatie moeten worden beschermd." Vervolgens wordt dit in sub-guidelines uitgewerkt. Op basis van de letterlijke tekst van die sub-guidelines lijkt daarbij een verschil te bestaan tussen verschillende soorten betalingen, maar onduidelijk is of dit ook zo is bedoeld. Voor credit transfers, e-mandates en e-money is duidelijk dat PSPs een versterkte klantauthenticatie moeten toepassen ten behoeve van de autorisatie door de klant van internetbetaaltransacties en de uitgifte of wijziging van machtigingen voor automatische afschrijvingen, zij het dat alternatieven voor bepaalde transacties mogelijk zijn." Deze 'dwingendheid' volgt ook duidelijk uit de Engelse tekst van de Guidelines, die luidt: 'PSPs should perform strong customer authentication'. Voor kaarttransacties wordt echter gesproken over ondersteunen (in de Engelse tekst: 'should support'). Zo moeten volgens de letterlijke tekst van sub-guideline 7.3 PSPs die kaarten uitgeven (cardissuers) versterkte klantauthenticatie ondersteunen voor kaarttransacties. Alle uitgegeven kaarten moeten technisch in staat zijn (geregistreerd) om gebruikt te worden met versterkte authenticatie. Van acquirers wordt gevergd dat zij technologieën ondersteunen die de issuer in staat stelt versterkte klantauthenticatie van de kaarthouder uit te voeren voor betaalkaartsystemen waaraan de acquirer deelneemt." Acquirers moeten verder, als gezegd, van de webmerchants eisen dat zij toepassingen ondersteunen die de uitgever in staat stelt versterkte klantauthenticatie van de kaarthouder uit te voeren voor kaarttransacties via het internet. Wel wordt daaraan toegevoegd dat het gebruik van alternatieve maatregelen voor authenticatie in aanmerking kan worden genomen worden voor vooropgestelde categorieën van transacties met een klein risico, bijvoorbeeld gebaseerd op risicoanalyse van een transactie, of met betrekking tot betalingen van Ideine bedragen, zoals vermeld in de PSD.38 Hieruit zou kunnen worden afgeleid dat versterkte klantauthenticatie ook voor betaalkaarten de hoofdregel is, maar dat daar weer bij een laag risico van kan worden afgeweken. In dat geval rijst overigens wel weer de vraag wie uiteindelijk het risico bepaalt. Is dat de issuer of de acquirer? 31 Ik baseer mij op de tekst voor de PSD2 (de Presidency Compromise) zoals die op 1 december 2014 is gepubliceerd (hierna: Richtlijnvoorstel). Zie: consilium.europa.eu/doc/srv?1=en&f=st%20 161S4%202014%20INIT. De onderhandelingen over PSD2 zijn overigens nog steeds gaande. 32 Art. 4 onder 21 Richtlijnvoorstel. 33 Art. 4 onder 22 Richtlijnvoorstel. 34 Art. 87 lid 1 en lid la Richtlijnvoorstel. 35 Guideline Guideline Guideline Guideline Tijdschrift voor Compliance - juli 2015

8 (,.,. ~, " ' r,. EBA FINAL GUIDELINES ON THE SECURITY OF INTERNET PAYMENTS ACHTERGROND, MasterCard heeft haar in reactie op de consultatieversie van de Guidelines ook al de vraag gesteld wat nu precies met 'should support' wordt bedoeld en laten weten dit zelfte interpreteren als 'support, but not always necessarily apply'.39 De EBA heeft zich hier naar mijn weten niet over uitgelaten. Ik neem voorlopig tot uitgangspunt dat de verschillende bewoordingen voor kaarttransacties met zich brengen dat versterkte klantauthenticatie nog steeds een optie zal blijven. Weliswaar lijken cardissuers volgens de letterlijke tekst van Guideline 7.3 in technisch opzicht versterkte klantauthenticatie (waarbij zal moeten blijken wat een toezichthouder precies verlangt) mogelijk te moeten maken, maar dit betekent niet dat bij elke kaarttransactie versterkte klantauthenticatie verplicht is. Dit is in overeenstemming met de huidige praktijk waarin meestal de acquirer, althans de merchant het niveau van authenticatie bepaalt (en daarmee ook zijn eigen risico, zie ook hierna). Dit betekent naar mijn idee ook dat een acquirer niet gehouden is een transactie te weigeren iridien de issuer geen versterkte authenticatie toepast. 6,3 Liability shift? In de Guidelines is niet opgenomen (anders dan in de Aanbevelingen) dat, in geval van een betwiste betaaltransactie, PSPs zonder strong customer authentication niet kunnen bewijzen dat de klant de betaalopdracht heeft geautoriseerd. In PSD2 is op dit punt wel het nodige opgenomen. Het uitgangspunt zal zijn dat wanneer de issuer geen versterkte cliëntauthenticatie verlangt, de betaler, tenzij hij heeft gefraudeerd, niet aansprakelijk is in geval van een ongeautoriseerde betaaltransactie."" Het risico ligt dus primair bij de issuer. Voor zover de acquirer of de merchant ervoor heeft gekozen een transactie zonder versterkte cliëntenauthenticatie te accepteren, bestaat er aansprakelijkheid bestaat tegenover de issuer." Biedt de issuer wel de mogelijkheid van versterkte cliëntauthenticatie, maar laat de acquirer of de merchant na daar gebruik van te maken, dan komt dat dus voor risico van de acquirer en (uiteindelijk) de merchants. Dit is, als gezegd, in lijn met de huidige praktijk. Dat merchants niet bij alle transacties versterkte cliëntauthenticatie verlangen (en daarmee dus risico accepteren), hangt in de regel samen met de vertraging van versterkte cliëntauthenticatie in het check-out proces en de additionele maatregelen die de betaler moet nemen (bijvoorbeeld het invoeren van extra code), waardoor de kans toeneemt dat de betaler afhaakt en er geen transactie tot stand komt. De merchant weegt aldus de risico's tegen de voordelen af. 7. Implementatie in Europa? Ongelijk speelveld Hiervoor is al aangestipt dat implementatie via de nationale toezichthouders dient te geschieden en dat (vanzelfsprekend) een nationale toezichthouder op basis van zijn nationale recht wel bevoegd moet zijn de Guidelines op PSPs toe te passen. De FCA beroept zich inderdaad ten eerste op het nationale recht om niet compliant te zijn. Volgens de FCA is zij, zonder wetswijzigingen, niet bij machte de Guidelines afte dwingen. Als tweede argument voert de FCA aan dat zij van mening is dat de eisen van de Guidelines aanzienlijke kosten voor PSPs met zich brengen. Omdat het nog niet helemaal duidelijk is hoe de komende PSD2 zalluiden en wat daarvan de betekenis is op investeringen die PSPs nu al op basis van de Guidelines zouden moeten verrichten, laat de FCA weten liever te wachten totdat PSD2 wordt geïmplernenteerd.f Ook voor Estland en Slowakije geldt dat zij de EBA reeds 39 Te vinden via: regulation-and-policyjconsumer-protectionand-financial-innovation{guidelines-on-thesecurity-of-internet-paymentsj-jregulatoryactivityjconsultation-paper. 40 Art. 66lid tc Richtlijnvoorstel. hebben laten weten de Guidelines niet na te kunnen leven zonder wetswijziging. Interessant is verder dat Cyprus heeft laten weten (onder andere) sub-guideline 7.3 niet na te zullen leven. Dit is juist de Guideline op basis waarvan cardissuers worden verplicht strong customer authentication technisch mogelijk te maken. Cyprus komt dus aan de aldaar gevestigde issuers tegemoet. De Duitse toezichthouder BaFin heeft laten weten tot 5 november 2015 niet te zullen handhaven op de Guidelines.43 Wat betreft de positie van DNB is niet veel meer bekend dan dat volgens de EBA DNB heeft laten weten compliant te zijn. DNB heeft zelfin de nieuwsbriefbetaalinstellingen van 31 maart 2015 kort verwezen naar de Guidelines en de implementatiedatum van 1 augustus 2015,.4 maar verder zijn mij geen publicaties van DNB ten aanzien van 41 Zie ook art. 66 lid 'l c Richtlijnvoorstel. 42 Zie: payment-services-institutions. 43 Zie: Veroeffentlichungen{DE{Anschreiben{ sc_150504_ba_anschreiben_rs1504. html?nn= Te vinden via: dnb-nieuwsbrievenjnieuwsbrief-betaalinstellingenjnieuwsbrief-betaalinstellingenmaart-2015jdnb jsp. Tijdschrift voor Compliance - juli

9 dit thema bekend." Hoe DNB in de praktijk met de Guidelines zalomgaan, blijft dus gissen. Mocht DNB willen handhaven, dan ligt overigens in de rede dat DNB art. 3:17 Wet op het financieel toezicht als juridische kapstok zal willen gebruiken. Dat de FeA openlijk de Guidelines heeft afgewezen, heeft al geleid tot promotie voor het Verenigd Koninkrijk als vestigingsplaats voor PSPs vanwege het concurrentievoordeelomdat er minder compliance eisen zijn. Of dat daadwerkelijk ertoe zalleiden dat PSPs uitwijken naar het Verenigd Koninkrijk valt te bezien. Het maakt aan de andere kant wel duidelijk dat compliance eisen ook de inzet kunnen zijn van al dan niet bewust vestigingsbeleid. Wat daar van zij, voor Nederlandse PSPs zijn de Guidelines een feit. Ook gelet op het ongelijke speelveld pleit ik ervoor dat DNB vooraloog heeft voor de risico's die door de Guidelines worden geadresseerd en vervolgens in haar toezicht meeneemt hoe PSPs met die risico's omgaan, zonder daarbij de Guidelines als hard and fast rules te beschouwen. _ 45 Deze bijdrage is op 31 mei 2015 afgerond. 132 Tijdschrift voor Compliance - Juli 2015