Mitä pian voimaan astuva PSD2 tarkoittaa yrityksille? Asiantuntijat vastaavat

PSD2-maksupalveludirektiivi tuo maksuihin vahvemman tunnistautumisen. Erityisesti verkkokauppiaiden tulee selvittää, vaativatko heidän käyttämänsä maksupalvelut päivitystä.

Syyskuun 14. päivä astuu käytännön tasolla voimaan niin kutsuttu PSD2-maksupalveludirektiivi. Direktiivi määrittelee uusia ehtoja sille, kuka saa tarjota maksamisen palveluita ja miten.

– Uudistus laajentaa maksupalveluiden käsitettä kahteen suuntaan, sanoo Jussi Snellman OP Yrityspankista.

Ensinnäkin muutos mahdollistaa sen, että kolmas osapuoli voi asiakkaan luvalla käynnistää maksun, joka suoritetaan vaikkapa OP:n tililtä. Lisäksi uudet toimijat voivat saada asiakkaan luvalla pääsyn tämän tili- ja maksutietoihin.

Tarkoituksena on lisätä maksupalveluvalikoimaa mutta myös parantaa kuluttajien tietoturvaa. Käytännössä se tarkoittaa niin kutsuttua vahvaa tunnistautumista.

– Iso muutos on se, että aina kun asiakas katsoo tilitietoja tai käynnistää verkkomaksun, hänet pitää tunnistaa vahvasti, sanoo OP:lla sähköisestä tunnistamisesta vastaava Inkeri Jalonen.

Mitä vahva tunnistautuminen tarkoittaa yrityksille?

Vahva tunnistautuminen toimii yrityksille samalla tavalla kuin henkilöasiakkaille. OP:lla se tarkoittaa, että avainlukulistaa, käyttäjätunnusta ja salasanaa tullaan tarvittaessa täydentämään tekstiviestivahvistuksella, Inkeri Jalonen sanoo.

– Siksi myös yritysten edustajien on tärkeä varmistaa, että heidän tunnuksiinsa on liitetty toimiva puhelinnumero, johon voi vastaanottaa tekstiviestejä.

Tekstiviestivahvistusta ei pyydetä joka kerta, vaan pankki arvioi sen tarpeen ja käyttää tekstiviestiä osana tunnistamista tarvittaessa. Kirjautumisen yhteydessä tekstiviesti lähetetään näillä näkymin noin kolmen kuukauden välein.

OP-yritysmobiilissa ainoaksi tunnistautumistavaksi tulee Mobiiliavain. Tulevaisuudessa käyttäjätunnusta, salasanaa ja avainlukulistaa voi käyttää ainoastaan Mobiiliavaimen lataamiseen.

– Samalla yritysmobiilipalvelu ja Mobiiliavain tullaan avaamaan yrityksen edustajille riippumatta siitä, minkälaisen sopimuksen verkkopalveluistaan yritys on tehnyt, Jalonen sanoo.

Miten verkkokauppiaat voivat valmistautua muutokseen?

Verkkokauppiaiden pitää huomioida PSD2:n vaatimat periaatteet omissa maksupalveluissaan.

– Kaikkien verkkokauppiaiden kannattaa keskustella mahdollisimman pian käyttämänsä maksupalveluntarjoajan kanssa siitä, vaaditaanko heiltä tilanteeseen reagoimista, Jalonen sanoo.

Asiasta kannattaa tarpeen mukaan myös tiedottaa omille asiakkaille, jotka eivät välttämättä ole tietoisia maksamisen muutoksesta.

Haasteena on kuitenkin se, että esimerkiksi korttimaksamisen osalta direktiivin mukaisten muutosten toteuttaminen on verkkomaksamiseen liittyvillä osapuolilla vielä osittain kesken.

– Niihin tuodaan vahvan tunnistautumisen elementit mukaan vaiheittain, kun yhteensopivat käytännöt ja tekniset ratkaisut saadaan valmiiksi, Jalonen tarkentaa.

Mitä muita muutoksia direktiivi tuo yrityksille?

Tulevaisuudessa yritysten tarjolle tulee todennäköisesti uudenlaisia, PSD2-rajapintoja hyödyntäviä palveluita.

– Ilmeisimmät ovat maksamiseen ja tili-informaatioon liittyvät palvelut. Niiden avulla voi esimerkiksi keskittää usean pankin tilitiedot yhteen paikkaan tai käynnistää maksuja useasta pankista yhden palvelun kautta, Jussi Snellman kuvailee.

PSD2-rajapintaa voivat hyödyntää vain toimiluvalliset, rekisteröidyt palvelut. Toistaiseksi hakemuksia niihin on Suomessa tullut Snellmanin mukaan vain vähän. Hän kuitenkin arvelee, että tilanne muuttuu melko nopeasti.

– Tietyt palvelut saattavat lyödä läpi hyvinkin nopeasti, toisten kehittymisessä tulee varmasti kestämään pidempään.

Entä Tupas-tunnistautumisen päättyminen?

Myös Tupas-tunnistautuminen päättyy syyskuun lopussa.

Tupas-protokollan avulla suomalaiset ovat voineet tunnistautua erilaisissa verkkopalveluissa asioidessaan oman pankin verkkopankkitunnuksella. Tulevaisuudessa sen korvaa Luottamusverkosto, jonka muodostavat pankit ja teleoperaattorit sekä tunnistusvälityspalvelut.

Liittyvätkö muutokset toisiinsa?

– Eivät varsinaisesti. Kotimaisen Tupas-protokollan päättyminen liittyy siihen, ettei se enää täytä tunnistuslain kriteereitä vahvasta sähköisestä tunnistamisesta. PSD2 on tuosta täysin erillinen maksupalveludirektiivi, joka koskee ainoastaan maksuliikennettä, Jalonen selittää.

Muutosten myötä samoja tunnistautumisvälineitä käytetään eri tavoin eri palveluissa.

– Jos asiakkaalla on käytössä avainlukulista ja hän tekee verkkomaksun, siihen pyydetään lisävahvistusta tekstiviestitse. Mutta jos sama asiakas tunnistautuu verottajan palveluun, siihen ei vaadita lisätunnistusta, hän avaa esimerkkinä.

OP sosiaalisessa mediassa