Tredjeparters tilgang til bankkonti - hva gjør

næringen?

Lars Erik Fjørtoft, Daglig leder

18.11.2015

• Temaet er potensialet knyttet til digital samhandling med tredjeparter

• Ikke fokus på PSD II / compliance

• Ikke problematiserende, men utforskende når det gjelder muligheter

knyttet til samarbeid med tredjeparter

• Ikke avgrensende for hvem som kan være tredjeparter

• ”Bankkonti” benyttet som samlebetegnelse på det som gjør at banken

er navet i kundenes økonomiske hverdag

Presiseringer

Noen gode grunner til at det er lurt å åpne seg

• Bedre (og bredere) løsninger til kunder

• Innovasjon og raskere realisering

• Inspirasjon og nye muligheter

• Nye forretningsmodeller

• Mulighet for å fortsatt ha rolle som premissgiver

• (fordi bankene uansett må åpne seg som følge av PSD2….)

”Technological innovation is all about

borrowing, stealing and collaboration” (Walter Isaacson: The Innovators)

Hva gjør næringen?

Byggeklosser

• Vi har forankret på ledernivå (Hovedstyret i Finans Norge) at vi ønsker

å samhandle mer effektivt med tredjeparter (strategisk)

• Vi har prioritert ressurser og innsats for å etablere relevant dialog og

kunne bidra i prosjekter, men her har vi fortsatt MYE å gå på…

(taktisk)

• Vi har satt i gang prosjekter (teknisk) for å:

#1 etablere et fleksibelt nettverk for å sikre ”connectivity” (Baltus 2.0)

#2 standardisere på ”ikke-proprietære” meldingsformater (ISO

20022)

#3 utvikle krav til sikkerhet hos tredjeparter (TIFI)

#4 utvikle API ’er for å gi tilgang fellesløsninger

Byggekloss #1: Baltus 2.0

• Bankene er i sluttfasen av et prosjekt for å utvikle ny infrastruktur for

meldingsutveksling mellom bankene og med tredjeparter

• Prosjektfokus nå er migrering for eksisterende tjenester

• Dette vil være bunnpannen for all informasjonsutveksling og det vil

også være vårt grensesnitt mot tredjeparter når alle bankene skal nåes

BALTUS 2.0 Infrastrukturen

NOP

AO

AO

AO

AO

N N

N N

CRT

A

A

A

AA

N

By request from N

BSKFinans Norge

NOP NOP

CRO

Byggekloss #2: ISO 20022

Internasjonal meldingsstandard for finansielle meldinger

•tilrettelagt for interoperabilitet i hele verdikjeden mellom bankene og deres

kunder/brukere

Utviklet gjennom en aktør/industridrevet prosess i regi av ISO:

•Bransjeorientert bibliotek tilrettelegger for å presentere transaksjoner tilpasset

forretningsprosesser uavhengig av overføringsformat

•XML valgt som det foretrukne format

•EU valgte ISO 20022 xml som standard for SEPA (lovregulert)

•CGI MP etableres (Common Global Implementation (CGI) initiative)

•Stadig flere land verden over velger ISO 20022 som basis for sine finansielle

meldinger

Bankene vedtok 12.03.14 et veikart for overgang til ISO 20022 i Norge

Veikart for overgang til bruk av ISO 20022 modellerings

standard for betalingsformidling i norsk banknæring

Inte

rban

k

Ko

rt

2014 2015 2016 2017 2018 2019 2020

Fase 0

Fase 0

Fase 0

Fase 1

Fase 2

Fase 1

Fase 2

Fase 3

Fase 1

Fase 2

Fase 3

Fase 3

Fase 0: Analyse for kompetanse-

behov og kommunikasjonsplan

Fase 1: Man er godt i gang med

meldings-håndbøker

Fase 2: Implementering hos

banker

Fase 3: Implementering hos

kunder/ERP leverandører og

utfasing av eksisterende standarder

Fortrinnsvis utgang 2018 seinest

2020

Fase 0: Analyse for ressursbehov.

Prosjketmandat

Fase 1: Prosjektplan, spesifikasjon

av løsning

Fase 2: Implementering hos

banker og fellesfunksjon

Fase 3: Overgang fra BOLS /

NIBE

Fase 0: Analyse for ressurs-behov.

Prosejktmandat

Fase 1: Prosjektplan, spesifikasjon

av løsning

Fase 2: Implementering hos

banker, FOI og terminal

Fase 3: Overgang fra NISOK

NB!! for kort-området har vi så

langt for lite kunnskap til å tidfeste

fase 1-3, dette er indikativ

angivelse, hvor sannsynlig

sluttidspunkt er nærmere 2022/23

Ku

nd

e/b

an

k

• November 2013 ga BSK styret administrasjonen oppdrag å utarbeide

regelverk for tilgang til og bruk av bankenes felles infrastruktur (TIFI)

for tredjepartsaktører (TPP).

• Prosjektet har vært delt opp i 3 faser

• Fase 1 – Kartlegging av eksisterende løsninger

• Fase 2 – Spesifikasjon av sikkerhetsmål

• Fase 3 – utarbeidelse av detaljerte sikkerhetskrav,

• Styret vedtok sikkerhetsmålene i mai 2014

• Styret vedtok kravene i mai 2015

Dette har vært en modningsprosess for alle involverte

Byggekloss #3 utvikle krav til sikkerhet hos tredjeparter (TIFI)

Metoden

Formål med kravdokumentet

The objective of this document is to define a framework for information security

requirements for accessing payment account in Account Servicing Payment Service

Providers (ASPSP) for Third Party Payment Providers (TPP) through the common

banking infrastructure in Norway, based on bilateral agreements with banks.

Kravene er definert under 5 hovedområder

Governance

IT technical security architecture

Authentication of TPP and payment service user

Authorization of TPP and Payment

Fraud detection and prevention

Kravdokumentet

• Kravene er anbefalt brukt der bank inngår en avtale om

tredjeparters tilgang til konto

• Kravene vil være obligatoriske om Finans Norge etablerer

tjenester som innebærer tredjeparters tilgang til konto

• Kravene vil være obligatoriske om bank inngår avtale om

tredjeparters tilgang til konto via bankenes felles

infrastruktur (BALTUS, Fellesfunksjoner, etc)

• Det er et mål at det skal være fordelaktig for tredjeparter å

inngå avtale med bankfellesskapet om tilgang til konto

istedenfor å få tilgang i samsvar med PSD2.

Virkeområder for kravene

Byggekloss #4 utvikle API ’er for å gi tilgang fellesløsninger

• API definisjon, an abbreviation of application program interface, is a set of routines,

protocols, and tools for building software applications. The API specifies how software

components should interact and APIs are used when programming graphical user

interface (GUI) components.

• Vi har startet en diskusjon om hvordan vi skal innrette oss for å utvikle API’er

• API’er inngår som del av vår planlagte videreutvikling av Baltus 2.0

• vi har konkrete diskusjoner med AltInn om å etablere grensesnitt for å

håndtere automatisert informasjonsinnsamling ifm låneprosesser

• Vi er også involvert i internasjonale diskusjoner om RMG (ansvarlig for videreutvikling av

ISO 20022) har satt ned en aktivitet for å utforske muligheter til å utvikle API’er i ISO

20022

• Dette er også en diskusjon i EU som følge av PSDII og vi følger godt med også der

Hva gjenstår?

Gjenstående aktiviteter

• Vi må prosjektorganisere oss for å sikre at vi har tilstrekkelig ”trykk” for

å realisere løsning og som tar hensyn til at vi må:

• tiltrekke oss dialog med relevante samarbeidsparter

(tredjeparter)

• utforme en helhetlig teknisk arkitektur

• avklare avtalemessige aspekter

• ha gode mekanismer for prioritering av verdikjeder og

tjenester

• ha god dialog med myndigheter

• ha MEGET god dialog med relevante miljø i bankene

Det er også noen åpne spørsmål

• Hvordan tenker bankene egentlig om samarbeid med tredjeparter og

ikke minst egen tilpasning til PSDII?

• Hvordan kan vi tiltrekke oss de riktige samarbeidsrelasjonene:

• Innovatører

• Offentlig sektor

• Leverandører av kompletterende tjenester

• Nye brukere og kunder

Er vi raske og fleksible nok?

Aksepterer vi at ”andre” skal tjene penger på bruk av ”vår”

infrastruktur?

Vil vi lykkes med å utvikle attraktive forretningsmodeller?

Spørsmål eller kommentarer?