14. september toob Euroopa maksete maailmas olulisi muudatusi, kuid Eesti e-kaupmees muret tundma ei pea.

Euroopa makseteenuste direktiiv PSD2 jõustus 2016. a., kuid mõned olulised nõuded jõustuvad alles 14. septembril 2019. Paar kehtima hakkavat muudatust, millega tasub olla kursis ka kõigil e-kaupmeestel:

  • Euroopa pangad peavad avama oma API-d ka vastavat tegevusluba omavatele teenusepakkujatele
  • Veebis tehtud kaarditehingud vajavad tugevalt autenditud kinnitusi, v.a. erandjuhtudel

Avatud pangandus

Alates 14. septembrist on põhimõtteliselt võimalik teha makse panga x kontolt ilma sinna internetipanka sisse logimata, andes vastava tehingukorralduse hoopis mõnele teenusepakkujale. Eelduseks on, et see teenusepakkuja peab omama vastavat makse algatamise teenuse tegevusluba (Eestis väljastab seda Finantsinspektsioon), järgib asjakohaseid tehnilisi ja andmeturvanõudeid ning on saanud konto omanikult tugevalt autenditud kinnituse.

Teoorias loob see igasugu põnevaid võimalusi: näiteks kolmandate osapoolte abiga on võimalik midagi pangalingi laadset luua ka pankadele, kellel endal sellist teenust ei eksisteeri. Ühtlasi võiks hoogustuda konkurents ja innovatsioon makselahenduste vallas, sest ühelgi pangal pole enam monopoli oma pangakontodega seotud makseteenuste osas.

Praktika on siiski proosalisem ja 15. septembri hommikul veel mingit maailmarevolutsiooni oodata ei ole. Ükski siinne pank teadaolevalt ei ole veel valmis saanud nn decoupled versiooniga makse algatamise API-s, see tähendab võimalusega, et konto omanik ei peaks oma internetipanka üldse sisse logima. Kindlasti on suurtel organisatsioonidel muutuste ellu viimine ajamahukas ja kuuldavasti Euroopas on nii mõnelgi pangal raskusi tähtaegadest isegi miinimumversioonis kinni pidamisega. Küllap oma rolli mängib ka olematu motivatsioon esirinnas teistele turuosalistele ulatuslikke arendusvõimalusi luua.

Avatud pangandus elab ikkagi kõige aktiivsemat elu pankade PR-osakondades. Seevastu sügavamal panga sisemuses saavad vastavad arendusülesanded tähtaja, mis on kas viimane regulatsioonide poolt nõutud hetk või kuupäev, millest edasi on tõesti juba üsna piinlik. Tõenäolisemalt siiski esimene variant.

Seega suures pildis võib tõmmata mõningase paralleeli PSD2 ja GDPR vahel. Ka viimati nimetatu puhul oli ähmi palju (ning eks tehti tublisti sisulist ettevalmistustöödki), aga kui kriitiline kuupäev kätte jõudis, läks elu lihtsalt edasi ja maailm pea peale ei pöördunud. Pikemas perspektiivis on aga võimalused loodud ja tasub kõigil silmad lahti hoida.

Kaarditehingute autentimine

Teine esile toomist vääriv nüanss on kaarditehingute turvalise autentimise nõue. Samas Eestis see e-kaupmeeste jaoks erilist uudiskünnist ei ületa, kuna meil on kõik harjunud, et kaardimaksetele nõutakse ka 3D kinnitusi kaardi välja andnud pangast. Kui teie teenusepakkujal see võimekus on – ja teadaolevalt kõigil Eesti kohalikel teenusepakkujatel peaks olema – siis olete juba uute nõuetega kooskõlas.

Laiemalt Euroopas see aga nii iseenesestmõistetav ei ole ja on hulk kaupmehi ning teenusepakkujaid, kes on taas kibedas hädas, kuidas ometi selline ilmaime kasutusele võtta. Asja ei tee paremaks, et viivitusi on ka olnud kaardiorganisatsioonide enda poolt tehniliste dokumentatsioonide avaldamisega ja käib üks lõputu täpsustamine, mis on ikkagi lubatud ja mis mitte. Nagu öeldud, 3D võimekusega e-kaupmees selle pärast und kaotama ei pea ning võib rahumeeli lasta finantssektoril need diskussioonid endil lõpuni vaielda.

Uus regulatsioon toob siiski ka uusi võimalusi – kuigi vaikimisi lahendus on kaarditehingute tugev autentimine, siis ette nähtud on olukorrad, mille puhul kaardi väljaandja pank (mitte vastuvõtja või kaupmees) võib selle autentimise vahele jätta, näiteks kui tehingusumma on väike või kui makseid vastu võttev kaupmees tundub pangale nii usaldusväärne, et täiendavaid turvanõudeid ei peeta vajalikuks. Kõigi nende lisavõimaluste kasutusevõtt ootab aga aega, mil turuosalised tervikuna on saanud selguse majja ja vajalikud tehnilised uuendused ellu rakendatud. Reaalselt kehtivaks standardiks võib seda ilmselt pidada pigem aastal 2020.

 

Art Lukas

Eesti E-Kaubanduse Liidu juhatuse liige

Maksekeskuse tegevjuht