Regelbråk stoppar inte svenska uppstickare

2017-11-13 06:00  

Fantastiskt bra och billiga banktjänster. Det är vad EU vill skapa med ett nytt bankdirektiv. Men samtidigt som svenska banker öppnar upp så oroar sig fintechbolagen för att allt kommer att gå i stöpet.

Hade det varit en skolgård hade det varit armbågar, knuffar, näsblod och tårar. Bråk mellan eleven Fintech och eleven Storbank, med magister EU-kommission som försöker sära på de tu. Nu är det visserligen ingen skolgård, utan på platser som den imposanta Berlaymontbyggnaden i Bryssel. Och armbågarna levereras i form av passivt aggressiv byråkratiska.

”EBA är av uppfattningen att de föreslagna förändringarna skulle ha en negativ inverkan på den delikata kompromiss EBA tidigare identifierat för att uppfylla de med varandra konkurrerande målen i PSD2.” Försök memorera den meningen om du kan.

PSD2 är förkortningen av namnet på den redesignade versionen av EU:s betaltjänstdirektiv (”payment service directive”). Under 2018 ska direktivet börja efterlevas i EU:s medlemsstater. En av tankarna med PSD2 är att ge tredjepartsföretag tillgång till de kontodata bankerna hanterar åt sina kunder (under förutsättning att kunden godkänt detta). Detta ska ske genom att bankerna öppnar sina applikationsgränssnitt (API).

Med den informationen i sin arsenal kan vilket företag som helst bygga finansiella tjänster. De ska också få lov att initiera betalningar. I klartext betyder det att bankkunder kan sköta sin ekonomi utan att vårda någon relation med sin bank. Med en tillräckligt attraktiv tjänst kan en tredje part slå in en kil i det gamla förhållandet. Detta har naturligtvis skrämt slag på bankerna.

För EU-kommissionen är det nya direktivet ett försök att hänga med i fintechbolagens halsbrytande tempo. De senare har med ny teknik och stora idéer visat att banktjänster kan vara smarta, engagerande och göra skillnad i plånboken, snarare än att påminna om en depression i november.

När EU sätter ord på det där heter det att kunden med PSD2 ska ges större valmöjligheter på den fria marknaden. Direktivet kräver också starkare identitetskontroller av användare när de betalar online, begränsning av de kostnader som får tas ut för kortbetalningar och bättre konsumentskydd mot bedrägerier.

Allt sammantaget låter det som ganska goda nyheter för kunden. Men fintechbolagen är bekymrade. De anser att hela tanken med PSD2 är på väg att gå förlorad på grund av en liten, men ack så betydande, teknisk detalj. Det är det som bråket handlar om.

Hösten 2013 – några månader efter att förslaget till ett nytt betaltjänstdirektiv blivit offentligt – gick en liten svensk startup händelserna i förväg. Erbjudandet till kunden var detta: Vi samlar in uppgifter från alla dina bankkonton och kreditkort och ger dig en bättre överblick i en mobilapp.

Med tårt- och stapeldiagram presenterades utgifter och spargrispengar i olika kategorier. Efter en tid gavs kunderna möjlighet att betala räkningar direkt i appen. Sedan kom förslag på vilken bolånegivare som vore mest fördelaktig att använda.

– För oss innebär inte PSD2 någon monumental skillnad. Vi gör i princip redan allt det där redan i dag, säger Fredrik Hedberg, teknisk chef och en av grundarna av Tink.

För omkring fem år sedan, då Tink först berättade om sina planer för bankerna, blev det kalla handen. Hedberg och hans medgrundare, vd Daniel Kjellén, ansåg själva att deras tjänst skulle bli fantastisk för alla parter: för bankerna, för kunderna och för Tink.

– Det var många diskussioner bakom lyckta dörrar, och alla banker har inte varit helt vänligt inställda. Det var ganska frostigt, om man ska vara helt ärlig.

För att Tinks tjänst ska vara möjlig krävs det som i fintechvärlden kallas ”screen scraping”, eller skärmskrapning. Detta innebär att information som syns på en skärm kan extraheras och användas till en annan applikation. Dessutom förekommer det att aktörer liknande Tink utger sig för att vara bankkunden i konktakten med bankerna (Tink själva tillämpar dock inte den här möjligheten). Båda metoderna används enbart om kunden godkänt det.

Men medan svenska banker lät Tink hållas, reagerade deras tyska kolleger betydligt mer kraftfullt mot Klarna-ägda Sofort. De tyska bankerna stämde Sofort, men blev nedsablade av Bundeskartellamt, den tyska motsvarigheten till Konkurrensverket.

– I andra länder har det varit oerhörda konflikter. Det var egentligen med Sofort som hela PSD2-diskussionen började, de sköter ju betalningarna på samma sätt som vi hämtar data. Men de tyska bankerna tyckte inte om konkurrensen, säger Fredrik Hedberg.

Och de har inte gett upp. Den Europeiska bankmyndigheten – EBA – har fått i uppgift att formulera det tekniska regelverk som ska omgärda det nya betaltjänstdirektivet. EBA vill att skärmskrapning förbjuds med hänvisning till att metoden utgör en säkerhetsrisk och att den står i konflikt med vissa delar av PSD2. I stället ska bankerna tillhandahålla specialskrivna applikationsgränssnitt för att tillgodose fintechbolagens behov.

EBA ska vara en oberoende EU-myndighet, men det köper inte Fredrik Hedberg.

– Från vårt perspektiv är de helt på bankernas sida. De här tekniska standarderna går direkt emot både andemeningen och själva lagtexten i PSD2.

EBA:s förslag till tekniskt regelverk väckte kraftiga reaktioner i fintechvärlden. ”Om det tekniska regelverket antas, så som det är formulerat i dag, innebär den obligatoriska användningen av nyutvecklad API att man ger bankerna full kontroll vad gäller framtida innovation i finansbranschen”, skrev 56 fintechbolag i ett öppet brev tidigare i år. Bland de 56 företagen fanns Trustly, Lendify, Avanza, Klarna, Safello och Tink.

– De här tekniska standarderna går direkt emot själva lagtexten i PSD2. De begränsar informationsmängden och sättet vi kan hämta data på från bankerna. Det är bara gjort ur ett kommersiellt perspektiv: Bankerna ser av naturliga skäl inte positivt på att konkurrensen på den här marknaden ökar, säger Fredrik Hedberg.

EU-kommissionen har sedan dess – i ett drag som betraktas som högst ovanligt – krävt att EBA omformulerar de tekniska standarderna. EBA har fnyst åt detta, med citat av den sort som inledde den här texten.

Men samtidigt som det europeiska käbblet alltjämt pågår, är svenska banker på väg att ömsa skinn för att överleva i det nya klimatet. Frost har övergått i värme. Nordea har lett vägen med sitt ”open banking”-initiativ. Det bygger på att bankerna delar sina API:er med tredje part. Swedbank ska nu följa efter och SEB arbetar sedan en tid tätt ihop med Tink.

– Bankerna här har börjat inse att de vill göra samma saker som vi gör. Då hjälper vi dem med det också. Vi både konkurrerar med banker och samarbetar med banker, säger Fredrik Hedberg.

Malin Eliasson är affärsutvecklingschef på SEB. Hon säger att PSD2 är välkommet, men att SEB ändå skulle ha slagit in på den banan eftersom ”det är vad kunderna efterfrågar”.

– Vi banker får inse att vi inte är bäst på att göra allting själva. Det finns en möjlighet att göra det enklare och en marknad där det förväntas att vi samarbetar. För bara något år sedan pratades det om att fintechsektorn är ett hot, att den kommer att ta död på bankerna. När vi ingick Tink-samarbetet var det många av de andra bankerna som reagerade, ”men herregud, hur tänker ni nu, det här är ju vår stora fiende”. Det är en mognadsprocess. Vi kommer från en traditionell värld där vi är vana vid att styra.

Den svenska startupscenen kan vara en förklaring till att omställningen tycks gå snabbare här än nere på kontinenten.

– Vi är så tidiga digitalt. Aktörer som Tink har tvingat banker att ta ställning. Om vi inte erbjuder det, finns det andra aktörer som kommer att göra det, säger Malin Eliasson.

Hon poängterar att det i debatten om PSD2 ofta saknas en för bankerna inte oviktig detalj.

– ”Nu tvingas ni öppna upp”, säger man. Ja, men vi kan ju också konsumera data. Just det perspektivet läser man inte om lika ofta. Vi kan till exempel välja att initiera betalningar via Nordea om vi tror att kunden skulle vilja det.

Nya säkerhetskrav

Ett potentiellt hinder för fortsatt så kallad skärmskrapning är PSD2:s krav på säkrare autentisering.

Autentisering ska efter PSD2 i vissa fall uppfylla två av tre särskilda kriterier. Kriterierna är kunskap (något bara användaren vet, som ett lösenord), innehav (något bara användaren har, till exempel ett kreditkort) och ”inneboende egenskap” (som till exempel fingeravtryck).

Därför vill EU göra om reglerna

Europeiska kommissionens mål med direktivet är att öka innovationen, stärka konsumentskyddet och öka säkerheten för betalningar och kontoåtkomst. Men de ser också att bankkunderna tenderar att välja banktjänster i det egna landet. Med PSD2 vill de göra det enklare för EU-medborgare att välja en tjänst i valfritt medlemsland och därmed öka konkurrensen.

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt

COMSOL