EU:n pankkidirektiivi vapauttaa maksupalvelumarkkinan – iski päälle déjà vu

Vaikka kuluttajiin, yrityksiin ja valtionhallintoon kohdistuvien tietoturvahyökkäysten määrä kasvaa kohisten ja on samalla entistä kohdennetumpaa ja miksei tehokkaampaakin, löytyy toisaalla heikennyksiä esimerkiksi rahaliikenteen järjestelmäkontrolliin.
Yhtälö ei kuulosta kauhean loogiselta, ja tuskin se sitä onkaan.
EU:n maksupalveludirektiivi (PSD2) otettiin täysmääräisenä käyttöön kaikessa hiljaisuudessa vuoden 2018 alussa. Spesifi maksupalveludirektiivi on silti suurin yksittäinen muutos pankkialalla vuosikymmeniin, sillä se pakottaa pankit avaamaan oman infrastruktuurinsa kolmansille osapuolille. PSD2 velvoittaa rahalaitoksia antamaan ulkopuolisille palveluntarjoajille pääsyn pankin asiakkaiden tileihin ja maksutapahtumiin.
Palveluntarjoajille tämä säädösmuutos merkitsee sitä, että erilaiset monialafirmat voivat hoitaa maksuja asiakkaiden puolesta online- ja mobiilikanavissa.
Oulussa ilmestyvä lehti silittää myötäkarvaan paikallista yritystä, joka kehittää ”tulevaisuuden sovelluksia verkkomaksamista varten” ja kunnon hypen hengessä firma laulaa suohon olemassa olevat pankkiyhteyden tunnistus- ja varmennustekniikat. Lipuilla olevat avaintunnusluvut tiemmä ovat jotain hävettävää menneisyyden meininkiä.
Tosi asiassa pankkiyhteysputken salausprotokollaa ei ole murrettu, vaikka yhteysistunnon pituutta on lyhennetty prosessoritehojen uhatessa laskennallisella vaaralla, jossa yhteyden salausavain ehdittäisiin murtaa asioinnin aikana. Avainlukulistojen numerosarjoja on toki utsittu rikollisesti pankkien asiakkailta ja se on ollut tieturvariski.
Silti avainlukulistan korvaaminen mobiililaitteen satunnaislukugeneraattorilla tai muulla moduulilla (maksamisen helpottamiseksi) on jotain, joka soittaa sisäisiä hälytyskelloja: älä korjaa, jos ei ole vikaa.
Jään sovinnolla katsomoon seuraamaan, minkä sortimentin lastentauteja uuden mobiilimaksamistekniikan kanssa on luvassa?
Se, että olen jo vuosikymmeniä toiminut ajanhermolla mobiiliympäristössä, antaa perspektiiviä.
Oululaisfirman toimeksiantaja MasterCard on ”avannut ovia isoihin pankkeihin etenkin Pohjois-Euroopassa”, kerrotaan lehden uutisessa.
Silloin kun noin sanotaan, olisi hyvä muistaa myös yksi vanha oven avaus. Noin 20 vuotta sitten MasterCardin kehittämä bittirahamaksutekniikka Mondex lanseerattiin markkinoille ja Norjassahan postilaitos jo tarttui tähän syöttiin. Sittemmin Norjan kauppa oli referenssi Mondexin markkinoinnissa muissa pohjoismassa, myös Suomessa.
Lopulta tulokset olivat laihoja, sillä Suomessa finanssivalvonta ei antanut tuolle Mondex-bittirahasovellukselle käyttöönottolupia. Perusteena oli, ettei markkinavalvoja vakuuttunut siitä, etteikö MasterCardin Mondex-menetelmällä voisi myös tekaista rahaa. Mondexia ei ole enää olemassa – se kuihtui pois vähin äänin.
Nyt PSD2:n aikana bittirahatulokkaiden torppaaminen tulee olemaan vaikeaa, sillä pankeilla on nyt päinvastoin velvoite tarjota ohjelmointirajapintoja bittimaksusovelluksia kehittäville yrityksille. Maksupalveludirektiivi tarjoaa uusille maksupalvelutoimijoille pääsyä pankkitileihin ja sitä kautta myös laajempiin asiakassuhteisiin.
Vaikka ”asiakkaan vahva tunnistaminen” on kirjattuna PSD2-direktiivissä, yhteysputkesta siinä ei paljon puhuta. Kolmannet osapuolet voivat tarjota maksutoimeksiannon käynnistyspalvelua, tilitietopalvelua tai ”laskea liikkeelle korttipohjaisia maksuvälineitä”, lupaa PSD2.
Tunnistaminen ja salausputki vain ovat kaksi eri asiaa. Pankkikortteihin pikapikaa tuodussa pikamaksuominaisuudessa tunnistus puuttuu miltei kokonaan, vaikka yhteysputki onkin vahva. Selvää, että pankkikorttien pikamaksuominaisuus on räikeässä ristiriidassa PSD2-direktiivin tiukan tunnistusvaateen kanssa.
Tekeekö kukaan asialle mitään?
Näyttää siltä, että uuden polven digitaaliset palveluntarjoajat syövät pankkien markkinaosuutta tarjoamalla uusia kätevämpiä maksuratkaisuja ja lisäarvoa tuottavia palveluja asiakkaille ja kauppiaille.
Uusien toimijoiden aalto ottanee päälle 1 miljardia euroa pohjoismaiden kahdeksan suurimman pankin yhteenlasketusta liikevaihdosta. Accenture Strategy tarjoaa tätä kovaa lukua. Sen listaamat pankit ovat OP, Nordea, Danske, DNB, Handelsbanken, SpareBank-1, SEB ja Swedbank.
