– De tekniske løsningene er ustabile, noen banker har ikke engang API-er på plass, data er mangelfull, og enkelte banker har laget knotete og lite intuitive løsninger for brukerne. I tillegg gir bankene Vipps konkurransevridende fordeler, sier Alf Gunnar Andersen til Shifter.

Irritasjonen over funnene har vokst seg så stor at Horde nå har sendt brev til både Finanstilsynet og Konkurransetilsynet der de tilsynene om å gjøre noe med situasjonen.

«Horde har lagt ned betydelige ressurser på å oppnå konsesjon for å opptre i et nytt marked, skapt av PSD2 med det overordnede samfunnshensyn å åpne for konkurranse på området for betalingstjenester. Det er hver enkelt bank sin plikt å etterleve regelverket, og det er Finanstilsynets plikt å påse at bankene etterlever. … Horde ber om at Finanstilsynet umiddelbart følger opp sine forpliktelser etter delegert forordning artikkel 30 (6) om å sikre tredjeparters tilgang til uhindret å tilby sine tjenester.», skriver Horde i brevet til Finanstilsynet.

Gir alle banker underkjent

Med den etterlengtede lisensen på plass var ellers planen til Horde å gi sine 130.000 app-brukere muligheten til å kunne betale ned på sine kredittkorts- og forbrukslån direkte i appen, ikke bare se oversikten. Å få det på plass er en prosess som vil ta lenger tid enn hva Andersen hadde tenkt seg.

– Vi har så langt ikke funnet en eneste bank som følger kravene i PSD2-direktivet fullt ut, sier Andersen.

– Vi blir tvunget til å sitte på hendene våre og bruker mye tid og ressurser på feilsøking for bankene. Vi kan ikke lansere dette før det er godt nok. Så i stedet for å lansere tjenesten til alle våre 130.000 kunder, blir det en «slow roll-out» for et fåtall brukere, fortsetter han.

Må på banen med dagbøter

Andersen mener det er hårreisende at bankene får bryte et regelverk som trådte i kraft for over et siden uten at det får konsekvenser. Han viser også til at EBA (European Banking Authority) nylig uttalte at de forventer at de nasjonale tilsynene følger opp og tar nødvendige grep der bankene ikke følger regelverket

– Vi mener at enten må Finanstilsynet inn her med dagbøter eller så må Konkurransetilsynet på banen og forklare at bankene bruker sin markedsdominans for å hemme andre fra å komme inn, sier Andersen.

Den 14. september 2019 var startdatoen for det som omvekslende er blitt kalt for «PSD2-revolusjonen» eller «fintech-revolusjonen». PSD2-direktivet innebar at bankene måtte begynne å dele med seg av transaksjonsdata og kontoinformasjon og at alle skulle få tilgang til informasjonen på en ikke-diskriminerende måte. Eller for å uttrykke det med Finanstilsynets ord: «Reglene omfatter krav om at betalingskontotilbydere (banker) skal gi betalingsforetak som yter betalingsfullmakttjeneste og/eller kontoinformasjonstjeneste tilgang til samme kontoinformasjon som kontoinnehaver selv har tilgang til gjennom bankens kundegrensesnitt.»

– Regelverket er krystallklart. Kunden skal ha samme tilgang til informasjon hos oss som i sin egen bank. Så om kunden kan se historikk fem år tilbake i sin egen mobilbank, så er det den informasjonen vi skal kunne hente ut, sier Andersen.

Får ikke det de ber om

Slik er det imidlertid ikke. Hordes tester i løpet av oktober viser at bankene ikke leverer det de blir spurt om av transaksjonsdata og det er stor variasjon mellom bankene.

– I våre spørringer har vi bedt om å om å få historikk fra to år tilbake. Det lengste vi har fått er mai. Og noen leverer bare en måneds med transaksjonsdata.

At Horde ikke får de data selskapet ber om, påvirker ikke bare muligheten til å la kundene gjennomføre betalinger i mobilappen. Det går også ut over et annet prosjekt. Tidligere i år fikk Horde 1,9 millioner kroner i utviklingstilskudd fra Innovasjon Norge. Disse pengene var øremerket et nytt maskinlæringsprosjekt som skal føre til at brukerne bedre skal kunne analysere eget forbruk, basert på objektive råd fra appen.

– Det får vi heller ikke gjort noe med. Maskinlæringsprosjektet er basert på at du må ha minimum tolv måneders historikk for å gjøre de analysene. Derfor vil den ikke fungere optimalt dersom kunden bare får et par måneder med transaksjonsdata, forteller Andersen.

Sendte 99 brev – fikk ikke de rette svarene

Et annet problem for Horde er kundeautentisering. Kravet om sterk kundeautentisering (SKA), er i et europeisk perspektiv en veldig viktig del av PSD2-direktivet. I Norge har Bank-ID vært en del av hverdagen så lenge at vi ikke lenger tenker på viktigheten av det.

I denne sammenhengen handler det imidlertid om hvem som skal utføre godkjenningen av kunden og på hvilken måte det skjer. Regelverket er rimelig tydelig også her. Hvis en aktør har tilgang til en teknisk løsning så må alle andre også få det.

Slik er det ikke. Norge har per i dag fem godkjente såkalte TPP-er (Third Party Providers); Vipps, Neonomics, ZTL, Lendo og Horde. Av disse har Vipps en fordel, fordi at bankene har tillatt Vipps å gjennomføre kundeautentiseringen direkte i appen. Dermed kan man for eksempel bruke Face-ID til å godkjenne en betaling direkte, i stedet for å bli sendt via Bank-ID til banken for å gjennomføre autentiseringen og så tilbake til betalingsstedet.

– 1. oktober sendte vi ut brev til 99 norske banker med ønske om å inngå avtale om sterk kundeautentisering. Det vil si at brukere enkelt skal kunne legge til bankkontoer fra ulike banker i appen vår, og godkjenne betalinger med FaceID og PIN-kode, slik som i Vipps, forteller Andersen.

De fleste har vært villige til å møte Horde og diskutere saken, men i et tilfelle fikk selskapet et avtaleforslag i retur som fikk Andersen til å steile.

– Flere banker har fått for seg at de kan levere dårlige API-er og så ha premium-løsninger som PSD2-aktører må betale for, for å få skikkelig tilgang på informasjon.

– Det avtaleforslaget ville ha kostet oss mange millioner kroner i året for noe som vi i utgangspunktet har rett på ifølge PSD2-direktivet. I tillegg hadde vi måttet overta kostnaden for autentiseringen via Bank-ID fra bankene.

– Hvis slike betingelser skulle bli standard, er det ingen PSD2-selskaper, utenom Vipps, som kommer til å ha livets rett, sier Horde-sjefen.