I sommer omtalte Shifter en rapport som viste at nær halvparten av norske finansaktører syns PSD2 er utfordrende. Horde har stått fremst blant kritikerne, men nå slutter også Neonomics og ZTL seg til kritikken.
Noenomics-sjef Andvig forteller om det han mener er et nærmest provoserende eksempel på bankenes bristende interesse for å legge til rette for andre PSD2-aktører.
– Da vi skulle bytte fra sommertid til vintertid nylig, ble det 2-3 timer nedetid på flere, og en bank hadde inntil 23 timer med ulike oppdateringer og forsinkelser, dog ikke full nedetid i perioden. Bankene var ikke nede, Vipps var ikke nede. Det er et prakteksempel på hvordan bankene nedprioriterer hva de skal levere gjennom PSD2-apier, sier Christoffer Andvig til Shifter.
Andreas Bjerke, daglig leder i ZTL forteller om et annet skrekkeksempel på nedetid.
– Vi hadde en liten norsk bank, jeg kan ikke si navnet, som hadde sine api-er nede i seks uker, før det endelig fikk dem opp igjen. Hvis en nettbank hadde vært nede i seks uker, slik at kundene ikke kunne gjort noen ting, hadde banken mistet alle kundene sine, sier Bjerke til Shifter og legger til:
– Det tillater de seg altså å gjøre med PSD2-apiene. Det er jo helt idiotisk.
Flere banker har tidligere vært ute og avvist deler av kritikken.
Hva er PSD2?
- PSD2 er et EU-direktiv som er ment å fremme konkurranse og innovasjon i banksektoren
- Det går kort ut på at tredjeparter skal kunne få tilgang til bankers kunders betalingsdata, samt ha muligheten til å initiere en betaling.
- Det betyr, i teorien, at tredjeparter skal kunne lage produkter på "toppen av bankene".
- Januar 2018 ble PSD2-regelverket effektuert blant medlemsstatene i EU.
- Mars 2019 måtte banker åpne API-ene slik at tredjeparter kan prøve dem i testmiljøer.
- September 2019 var endelig frist for etterlevelse. Regler for sterk kundeautentsiering og sikker kommunikasjon trådte i kraft.
- Per i dag har fem norske selskaper PSD2-lisens: Vipps, Lendo, Horde, ZTL, og Neonomics
Gode og dårlige API-er
Dårlige API-er imidlertid bare et av problemene de tre selskapene opplever. Det andre handler om såkalte premium-API-er. Det er disse trioen mener gir Vipps en konkurransevridende fordel i betalingsmarkedet.
Som eiere av Vipps har bankene tillatt Vipps å gjennomføre kundeautentiseringen direkte i appen. Dermed kan man for eksempel bruke Face ID til å godkjenne en betaling direkte, i stedet for å bli sendt via BankID til banken for å gjennomføre autentiseringen og så tilbake til betalingsstedet.
Realiteten er at PSD2 ikke har kommet så langt fordi bankene bevisst har trenert prosessen.
Christoffer Andvig, daglig leder i Neonomics
– Det er blitt sagt at PSD2 ikke har kommet så langt fordi Norge har så avanserte banksystemer. Realiteten er at PSD2 ikke har kommet så langt fordi bankene bevisst har trenert prosessen. Sannsynligvis er en hovedårsak fordi de har Vipps. På bankenes egne seminarer har bankene tidligere fremmet Vipps som sin løsning for PSD2-betalinger. Noen av bankene har også selv gått i partnerskap/eierskap med aktører som bruker «bakdører» for å få tilgang til andre bankers data, som styrker deres egen posisjon i en konkurransesituasjon der de selv ikke åpner for tredjeparter gjennom «hoveddøren», sier Andvig og legger til:
– For rettferdig konkurranse er vår mening at enten må Vipps forholde seg til samme API-er som vi gjør, eller så må vi få tilgang til samme API-er som Vipps har.
– Sammenslåingen av Vipps, BankID og BankAxept ble gjort som et argument for å beskytte mot inntog fra de store teknologigigantene. Realiteten er at det hindrer konkurranse og skaper én aktør med alt for stor markedsmakt i Norge. Vipps bør også bli pålagt å åpne sine API-er, slik at andre løsninger kan kommunisere med Vipps. På den måten vil forbrukerne selv stå fritt til å velge, og konkurrenter ville i hvert fall hatt en mulighet til å etablere seg, sier Andvig.
Alf Gunnar Andersen i Horde sa i sitt utspill mot bankene blant annet at:
– Flere banker har fått for seg at de kan levere dårlige API-er og så ha premium-løsninger som PSD2-aktører må betale for, for å få skikkelig tilgang på informasjon. Hvis slike betingelser skulle bli standard, er det ingen PSD2-selskaper, utenom Vipps, som kommer til å ha livets rett.
Finleser EU-regulativ
Andvig forteller at Neonomics er i ferd med å finlese EU-regulativet sammen med jurister. Under PSD2 er det slik at dersom en aktør har en sikker autentisering selv, så skal banken muliggjøre at den aktøren skal kunne gjennomføre SKA gjennom PSD2.
– Det vi avklarer nå, er hvorvidt bankene kan ta betalt for å levere muligheten for tredjeparter å håndtere samtykket som EU-direktivet åpner for. Noen av bankene leverer dette i dag til blant annet Coopay, hvor de tar betalt for det. Vi er opptatt av å få dette avklart fra et konkurransehensyn, sier Andvig.
– Så langt vi kan se fra direktivet, har de ikke anledningen til å kreve betalt slik de gjør i dag, og fra et konkurranseperspektiv er det temmelig åpenbart konkurransevridende.
Andvig har i lang tid vært motstander av at Vipps, BankID og BankAxept fikk slå seg sammen til et selskap. Han mener at BankID ideelt sett burde være en nøytral del av norsk bankinfrastruktur, uten kommersielle bankinteresser.
En årsak er at BankID i praksis er det som gjelder når sterk kundeautentisering (SKA) skal gjennomføres i forbindelse med en PSD2-betaling.
– Om du ønsker å gjøre noe i Norge som omfatter betalinger, kommer du ikke unna BankID på grunn av kundeautentisering. Men det betyr at den som vil konkurrere med Vipps på betalinger, først må bli kunde av Vipps fordi du trenger BankID, sier Andvig.
Venter fortsatt på svar fra norsk regionbank
Neonomics var det første av i alt fem selskaper i Norge som har PSD2-lisens, ironisk nok før Vipps. Andvig har kranglet med banker om API-er helt tilbake til den tiden da bankene fortsatt måtte finne ut av hvem som hadde ansvaret for API-ene da Andvig kontaktet dem.
Han sier at flere banker har gjort gode fremskritt siden den spede begynnelsen, men at det fortsatt er langt frem til et akseptabelt nivå. For eksempel har det vært helt umulig for Neonomics å få tilgang til API-er fra en av Norges største regionbanker.
– Vi har ikke fått ut noe som helst, samtidig vet vi at Vipps har hatt tilgang til både kontodata og betalingsinitiering hele tiden, forteller Andvig.
– Vi har spurt dem skriftlig ved tre tilfeller, og først nå fikk vi et mangelfullt svar, fortsetter Andvig og legger til at Neonomics og de andre to kritikerne ZTL og Horde har laget oversikter over manglene i bankenes API-er.
Andre API-behov
API-behovene til Neonomics og ZTL, skiller seg noe fra Hordes behov. Der Horde trenger fungerende API-er for å hente transaksjonsdata til å gjennomføre betalinger i egen app, er Neonomics og ZTL mer av infrastrukturselskapet i API-bransjen.
Andvig har tidligere sagt at ambisjonen til Neonomics er å bli et «Appstore for banking», der selskapet kobler sammen banker og selskaper med i sin egen API-plattform. Neonomics sørger for oppkobling og vedlikehold av API-ene, leverer ett knutepunkt som kundene kan forholde seg til, og leverer produkter og tjenester gjennom det knutepunktet.
Utfordrer i SMB-markedet
ZTL på sin side er mer opptatt av å utfordre bankene på betalingstjenester i SMB-markedet, og håper på å ta et skikkelig jafs av et nordisk marked verdt over ti milliarder kroner.
– Vår strategi er å gå dit kundene allerede er i stort volum. Det er i regnskapssystemene.
– Vi har en betalingsplattform som ERP-leverandørene kan integrere i regnskapssystemet. Takket være PSD2-direktivet kan vi gjennomføre betalinger billigere, bedre og i realtid. Vi endrer helt enkelt verdikjeden og tar den vekk fra bankene, sa Bjerke til FinansWatch da han forklarte forretningsmodellen tidligere i år.
Bjerke er ikke overdrevet imponert av bankenes tilnærming til API-er rettet mot B2B-markedet, men mener det går i riktig retning.
– Det har vært en progresjon i bankene når det gjelder å få plass funksjonalitet, men det er fremdeles mangler hos flere banker. Jeg tror mange har jobbet bevisst langsomt med å gjøre dette klart. Det har vært mange dårlige unnskyldninger underveis, sier Bjerke.
