Vuodenvaihteen jälkeen tavallinen suomalainen voi verkko-ostoksilla tai uusien kännykkäsovellusten kautta törmätä yhä useammin hämmentävään tilanteeseen: verkkokauppa tai sovellus pyytää asiakasta antamaan omille sivuilleen pankkitunnukset. Niitä käyttäen yritys pääsee kirjautumaan asiakkaan pankkitilille ja hakemaan sieltä tietoja tai tekemään tilisiirtoja.
Kuulostaa oudolta, mutta voi hyvin olla todellisuutta, kun uusi maksupalvelulaki tulee Suomessakin voimaan. Jotkut maksamisen ja verkkokaupan toimijat ovat itse asiassa ottaneet jo varaslähdön uuteen aikaan.
Esimerkiksi verkkomaksamisjätti Klarna ja Paypalin käyttämä Trustly ovat toteuttaneet verkkomaksuja asiakkaiden niiden sivuille antamilla tunnuksilla.
Näissä palveluissa tunnuksia ei anneta pankin omaan tunnistautumisikkunaan niin kuin yleisimmin käytössä olevassa verkkomaksussa, vaan toiselle yritykselle, joka sitten käyttää niitä asiakkaan tilille kirjautumiseen ja maksun toteuttamiseen.
”Meidän näkemyksemme mukaan toiminta on ollut Suomen nykyisen maksupalvelulain vastaista”, lakimies
Sanna Atrila Finanssivalvonnasta (Fiva) sanoo.
Klarna on hiljattain lopettanut palvelun käytön Suomessa toistaiseksi, kun Fivan kanta tuli sen tietoon. Mutta vuodenvaihteen jälkeen on odotettavissa kokonaan uusi tilanne.
Yritykset voivat tulkita, että EU:n maksupalveludirektiivi ja Suoman maksupalvelulaki sallivat vuodenvaihteen jälkeen niiden käyttää asiakkaiden antamia pankkitunnuksia.
Fivan mukaan se ei olisi sallittua. Uusi laki tosin sanoo, että pankkien pitää tarjota kolmansille osapuolille pääsy asiakkaiden tileihin asiakkaan suostumuksella.
”Laki sanoo myös, että kolmannen osapuolen pitää tunnistautua joka kerta, kun se käyttää asiakkaan pankissa olevaa tiliä. Pankin pitää tietää, kuka asiakkaan tilitietoja tulee katsomaan. Esimerkiksi Klarnan käyttämä palvelu ei tätä vaatimusta toteuta. Tilanne on kuitenkin hieman epäselvä ja jäsenmaissa on erilaisia tulkintoja tästä”, Atrila sanoo.
Pankkitunnusten antaminen muualle kuin pankin omaan tunnistautumispalveluun on vastoin useimpien pankkien verkkopankkisopimuksia. Mitä pankit tästä sanovat?
”Niitä ei pidä edelleenkään antaa”, johtava asiantuntija
Liisa Kanniainen Nordeasta sanoo.
Danske Bankissa ollaan eri mieltä. Kehitysjohtaja
Rami Tättilän mukaan olisi suotavaa, että Suomessakin hyväksyttäisiin pankkitunnusten käyttäminen kolmansien osapuolten palveluiden käyttämiseen siirtymäaikana, koska se on naapurimaa Ruotsissakin hyväksytty. Muuten tilanne on sekava niin markkinoille tuleville yrityksille kuin kuluttajille.
”On kuluttajan etu, että he pääsevät käyttämään näitä uusia palveluja. Tärkeintä on, että kuluttaja hyväksyy palvelun ehdot eli tietää antavansa tunnukset kolmannen osapuolen käyttöön”, Tättilä sanoo.
Hänen mukaansa pankki on myös käytännössä saanut tiedon siitä, että Klarna tai Trustly on käyttänyt asiakkaan tunnuksia, vaikka virallista tunnistautumista ei ole tehty.
”He ovat ilmoittaneet, että tietystä ip-osoitteesta tuleva liikenne tulee heiltä. Siitä olemme tienneet, milloin he ovat käyttäneet asiakkaamme tunnuksia”, Tättilä sanoo.
Sotku johtuu siitä, että EU:n PSD2-direktiivi tulee voimaan vuodenvaihteessa, mutta asiakastileihin pääsyn teknisen toteutuksen määrittävät standardit ovat myöhässä. Ne tulevat voimaan näillä näkymin vasta syksyllä 2019.
Väliaikana esimerkiksi Klarnan käyttämää niin sanottua näyttökaappaustekniikkaa voidaan käyttää niillä markkinoilla, joilla se on ollut käytössä ennen vuotta 2016. Suomi ei kuulu näihin maihin.
PSD2-direktiivi kieltää juuri näyttökaappaustekniikan käytön nykymuodossa, tosin se on direktiivin teknisissä standardeissa mukana varatekniikkana.
Asiakastilille kirjautumisen ja asiakkaan tiliä käyttävän yrityksen tunnistautumisen pitää tapahtua erillisen rajapinnan kautta. Rajapintoja pankit ovat vasta testaamassa, ja käyttöönotossa kestää.
Danske Bankin Tättilän mielestä juuri pitkän siirtymäajan takia viranomaisten pitäisi suhtautua pankkitunnuksilla tunnistautumiseen joustavammin.
”Suomalaisetkin kuluttajat varmasti odottavat pääsevänsä käyttämään näitä uusia palveluita ennen kuin vasta puolentoista vuoden kuluttua”, Tättilä sanoo.
Kaikkeen ne pankit näköjään sitten suostuvatkin. 
