Fiva otti tiukan kannan tilitietojen raavintaan – "Ei voida pitää riittävän turvallisena"

Niin sanottu screen scraping ei kelpaa siirtymäajan menetelmäksi maksupalvelujen vapauttamisessa

Maksupalveludirektiivi
Nettipankin tunnuslukuja
Yle

Finanssivalvonnan kannanotto liittyy uuden maksupalveludirektiivin voimaantuloon. Virallisemmin PSD2-direktiivin nimeä kantava säännöstö tulee Suomessa voimaan lakina tällä viikolla.

Direktiivi mahdollistaa kolmannen osapuolen pääsyn asiakkaan tilitietoihin asiakkaan suostumuksella. Euroopan unionin tarkoitus on direktiivin avulla lisätä pankkialan kilpailua unionin sisällä.

Käytännössä direktiivi tulee voimaan kuitenkin vasta noin puolentoista vuoden kuluttua, koska menetelmään liittyvät turvallisuussäännöt ovat vasta työn alla.

Eräät maksupalveluja tarjoavat yritykset ovat kuitenkin keksineet kiertotien – niin sanotun screen scraping -tekniikan, jolla asiakastietoihin päästään käsiksi asiakkaan luovuttamien käyttäjätunnusten ja salasanojen avulla.

Screen scrapig -tekniikassa asiakkaan tunnuslukukortti kopioidaan koneellisesti luettavaan muotoon taulukoksi, jolloin asiakkaan tililtä voidaan tehdä toimeksiantoja ilman, että asiakas itse tunnistautuu pankin järjestelmään.

Fiva pitää tätä menettelyä laittomana Suomessa. Kannanotossaan Fiva korostaa sitä, että palveluntarjoaja joutuu kirjautumaan pankin järjestelmään asiakkaan nimissä, jolloin rikotaan lainsäädännön edellyttämää velvollisuutta tunnistautua.

Euroopan pankkiviranomainen, EBA on hyväksynyt screen scraping -menetelmän käytön siirtymäajan aikana, kun yhteiset turvallisuussäännöt eivät ole vielä valmiit.

Fiva korostaa omassa kannanotossaan, että väliaikainenkaan menettely ei saa olla vastoin kansallisia määräyksiä. Tämän vuoksi näitä palveluja ei voi Suomessa toteuttaa edes siirtymäajan poikkeussäännöksien perusteella.

Fiva piti ongelmana myös sitä, että screen scraping -tekniikka mahdollistaa kolmannen osapuolen pääsyn myös niihin asiakkaan verkkopankissa oleviin tilitietoihin, jotka eivät ole uuden sääntelyn piirissä.

Finanssivalvonta sallii kolmansien osapuolien toiminnan siirtymäaikana, jos asiakkaan tunnistautuminen pystytään toteuttamaan riittävän luotettavalla ja turvallisella tavalla.