EU:s nya betaltjänstlag PSD2 öppnar för nya affärsmöjligheter för både banker och fintechbolag. 

Enligt PSD2 får banker inte längre hemlighålla bland annat kunders konto- och transaktionsdata för så kallade tredjepartsaktörer. Det rör sig om fintechbolag och andra finansaktörer som exempelvis kan bygga egna lösningar på datan. Syftet är att öka konkurrensen på finansmarknaden.

”Open banking” är ett samlingsbegrepp för när banker delar data med tredjepartsaktörer. Delningen sker via så kallade öppna API:er: ett vedertaget plattformsbaserat it-gränssnitt för sömlös informationsöverföring mellan olika parter.

Nordea har varit lite av en pionjär på området i Norden och lanserade sin open banking-plattform redan i februari i år 2017. Övriga svenska storbanker har ännu inte presenterat några liknande lösningar.

2.600 utvecklare

Det finns nu över 2.600 registrerade utvecklare på plattformen; än nästan fyrfaldig ökning sedan starten, då antalet uppgick till 700. Nu har även några banker och konsultfirmor registrerat sig.

Realtid.se fick en intervju med Sarah Häger, chef för Nordeas Open Banking-Community som innefattar alla utvecklare och pilotprojekt. Hon tror att det är plattformens höga användarvänlighet som lockat så många.

– Vår målsättning har varit att det ska vara lika lätt att använda våra API:er som att sätta i en kontakt i väggen och tända en lampa. Men så ser det inte ut överallt. Jag träffade en konsult som berättade att en brittisk bank skapat API:er som den medvetet gjort svåra att använda, säger Sarah Häger till Realtid.se och fortsätter:

– De ser PSD2 som ett hot och försöker använda en ”svensk kontakt” till en ”engelsk lampa”. Nordea har istället valt att se PSD2 som en möjlighet, till att skapa nya lösningar för att öka kundvärdet.

Nu har er plattform 2.600 användare. Har det skapat några administrativa problem?

– Nej. Det är som med många andra forumplattformar. Några är väldigt aktiva och andra inte. Likt tidningsläsare. Somliga läser artiklar och kommenterar flitigt; andra ströläser bara.

Nordea har hittills identifierat och träffat över 70 fintechaktörer, som kan bli potentiella samarbetspartners närmaste åren. Banken för nu samtal med några av dem, enligt Sarah Häger.

Hon får dock inte avslöja några bolagsnamn, men medger att det rör sig om företag i olika storlekar och länder, varav några större. Nordea letar globalt och det rör sig om både B2C- och B2B-bolag.

Kamp om kundrelationen

Många menar att framtidens banker främst blir infrastruktur-leverantörer när andra spelare kommer in som ”mellanlager” – och tar över allt mer av kundrelationen från bankerna. Men Sarah Häger delar inte den uppfattningen.

– Vi behåller våra kunder och har fortsatt dialoger med dem. Så vi levererar både infrastruktur till fintechbolag, men har även en relation till slutkunden, som ju behöver ha ett konto hos oss för att bland annat sköta sina betalningar.

– Jag kan förstå tanken om att banken hamnar längre bak i värdekedjan, men håller inte riktigt med, för om du skapar värde finns du kvar.

Men finansmarknaden blir mer splittrad framöver. Och kampen om kundrelationen hårdnar, tror hon. För att möta en sådan utveckling vill Nordea skapa ett ”Appstore” för betaltjänster, med en mix av Nordea-appar och externa aktörers fintech-lösningar.

Banker väntas också tappa marknadsandelar till fintech på framför allt betalområdet. Genom PSD2 kan fintechbolag initiera direktbetalningar mellan konton och varandra, och merparten av transaktionsavgifterna hamnar då hos dem.

– En bank som bara uppfyller PSD2 ur ett compliance-perspektiv ligger i riskzonen för att tappa för mycket, säger Sarah Häger.

Har mycket intäkter kan Nordea förlora?

– Vi har gjort en bedömning, men jag kan inte säga något om det i dagsläget.

För att hitta nya intäktsströmmar tittar Nordea bland annat på att dela mer data än vad PSD2 kräver, säger Sarah Häger.

Sådan information skulle dock i så fall förmedlas via avgiftsbaserade så kallade kommersiella betal-API:er, som premiumerbjudanden. Det skulle också ske inom ramen för affärsavtal som inte regleras av betaltjänstlagen. 

Många fintechbolag hoppades dock att PSD2 skulle tvinga banker att erhålla mer gratisdata, på öppna plattformar. Regleringen blev urvattnad, menar somliga. Men Sarah Häger håller inte med.

– Jag tycker att det är bra att den utvidgats stegvis sedan PSD1. I England gick man före EU och lanserade en mer långtgående open banking-lag. Och där hann många banker inte bli ”complient” i tid. Regleringar av detta slag är en enorm it-utmaning för stora banker. EU har fokuserat bankväsendets huvudområden: konton och betalningar. Det hade varit svårt att genomföra fler saker.

Hon tycker också att Nordea bemöter fintech-missnöjet kring informationsdelning, genom att sannolikt dela mer utöver transaktionsdata via premiumerbjudanden.

– Kommersiella API:er är ett skäl till att ett par svenska fintechbolag blivit så stora. De har lyckats skapa både smidiga betallösningar och intäkter den vägen. Så jag tror vi får se flera sådana lösningar framöver. Marknaden är mogen för det, men det kommer att ta givet storleken på ett sådant it-projekt.

Riskerar avgiftsmodeller missgynna mindre fintech-spelare med små kassor?

– Mindre bolag har ofta färre kunder. Då använder du inte [premium]tjänsten lika ofta, och då blir det billigare per styck om man väljer en sådan väg för datadelning via kommersiella API:er.

It-bolaget Seavus PSD2-expert Marija Nikova sa i en intervju med Realtid.se i juni att bankerna, i tysthet, hela tiden jobbat mot kommersiella API:er.

De är inte intresserade av ökad konkurrens. Och premiumerbjudanden kan istället cementera bankernas monopolliknande ställning på finansmarkanden.

Sarah Häger köper inte att PSD2 skulle vara kontraproduktivt. Istället öppnar det som tänkt upp nya möjligheter för fintech-bolag, menar hon.

– Det här är ett nytt sätt för flera banker att jobba på. Tidigare satte vi upp brandvägg efter brandvägg för att skydda oss från extern åtkomst. Men nu ska vi istället göra den tillgänglig för licensierade, externa parter, förutsatt att slutanvändaren eller konsumenten godkänt det. 

Hon betonar också att Nordea aldrig haft någon dold agenda.

– Vi prioriterar alltid först och främst att vara compliant med de regler regelverk som styr oss. Steg nummer två är att titta på affärsmässiga lösningar, med fokus på hur vi ska skapa värde för våra kunder.

Motstridiga lagar?

Marija Nikova menar ser dock fler problem med PSD2, som hon menar är i strid med dataskyddslagen GDPR som infördes i maj.

När förstnämnda säger ”öppna upp kund konto- och transaktionsdata som innehåller personuppgifter”, säger den sistnämnda istället ”skydda din kunds persondata”.

Sarah Häger ser dock lagarna mer som komplement till varandra. Hon pekar även på att FI nyligen släppte såväl nya GDPR- som PSD2-riktlinjer för teknisk standard.

Hon är samtidigt tydlig med att Nordea inte tar ansvar för hur persondata hanteras av tredjepartsaktörer.

– Vi banker är mycket mer reglerade än fintechbolagen, och har större erfarenhet av att jobba med sådana här regelverk. Men det är omöjligt för oss att kontrollera all data hela vägen, säger hon och fortsätter:

– Efter att en konsument lämnat samtyckte och fintechaktören tagit över informationen har vi ingen möjlighet eller tillåtelse att kontrollera hur den används. Så alla företag har ett stort ansvar för att skydda sina kunder.

Konsumenten kan därmed inte längre bara kan anförtro sin bank, utan måste också utvärdera fintechbolaget som man delar sin data med. Här fungerar dock GDPR som ett extra konsumentskydd.

– Företag får bara hämta den data som krävs för att utföra den tjänst som kunden vill ha. Om till exempel en fintechapp har som affärsidé att analysera din kontodata så får den bara samla in din kontodata och inget annat, säger Sara Häger.

FI-register för ökad säkerhet

Finansinspektionen (FI) har även ett register över samtliga svenska fintechbolag som har rätt licens för att ta del av konto- och transaktionsdata. FI upplyser därtill bankerna om aktörer som missköter sig.

Det rör sig om två typer av licenser, och ett fintechbolag måste ha åtminstone ett av dem för att få ansluta sig till bank-API:er: Det ena är ett tillstånd för att få samla in kontoinformation. Det andra ger en rätt att även initiera betalningar, men det kräver mer omfattande verksamhetsinformation till FI från företaget.

– De som inte längre uppfyller licenskraven avförs från alla API:er och får inte ta del av bankdata längre. Men eventuella framtida kommersiella avtal ska regleras i affärsavtal mellan banken och fintechbolag. Men vi kommer i så fall såklart kräva att även de har rätt licens och att är listade i bankens system, säger Sarah Häger.

Kommer det att krävas kundsamtycke även för datadelning via premium-API:er?

– Ja. Vi kommer inte dela data utan samtycke. Det måste ligga ett godkännande bakom, från den som berörs.