Governance, Risk & Compliance

  • Kan authenticatie veilig en consument vriendelijk?

     

    Met de komst van PSD2 gaan betaaldiensten in Europa er anders uitzien. De consument kan toestemming geven dat ook niet-banken betaalopdrachten uit gaan voeren, hetgeen digitaal betalen een stuk makkelijker maakt. Dankzij de nieuwe richtlijnen zullen elektronische betalingen ook veiliger worden. Zo moeten alle aanbieders van betaaldiensten, dus ook banken, Strong Customer Authentication (SCA) gaan toepassen. Dat gebeurt al in veel gevallen in Nederland maar de methode is voor de consument vaak omslachtig. Is er een authenticatie methode die consument vriendelijk is en ook veilig? De Payment Advisory Group (PAG) heeft in opdracht van Entersekt een onderzoek gedaan. Het opinion paper kan hier worden gedownload. 

  • How are Europe’s PSD2 plans going?

     

    The clock is ticking for European Union member states to implement the European Banking Association’s Revised Payment Services Directive (PSD2) into their national laws, with the cut-off date of 13 January 2018 only nine months away. As we wrote here, these regulatory standards will give third-party providers (such as retailers and fintechs) access to the account information of banks’ customers, providing that these customers give their consent. The standards also dictate that two-factor authentication (2FA) must be in place when users access their accounts or make payments. What is the plan?The original Payment Services Directive (PSD), adopted in 2007, provided the legal foundation for creating a single EU market for payments. The objective was to make cross-border payments as easy, efficient and secure as national payments (i.e. payments within a member state). Then, in 2013, the European Commission realized that it would need to adjust these regulations in order to cater for the new payment mechanisms that were now possible as a result of advances in technology. Two months ago, on 23 February 2017, the final draft of the PSD2 Regulatory Technical Standards on strong customer authentication and secure communication was published. The revised regulations now have the following core objectives: To contribute to a more integrated and efficient European payments market To level the playing field for new and existing payment service providers To make payments safer and more secure To protect consumers To encourage lower prices for payments through stronger competitionIn a world where user experience is becoming more essential to success in digital services, banks that were not willing or able to pursue a frictionless e-commerce user experience now hope that partnering with merchants on risk-based authentication will be an answer. Time will tell. What will change?Currently, consumers holding multiple accounts need to log in to each account via that financial institution’s proprietary digital interface, whether via a mobile app or an online portal. Under PSD2, on the other hand, third-party data aggregators known as Account Information Service Providers (AISPs) can be granted access to this account information, which will enable them to give consumers a single view of multiple accounts. All account information, financial products and transactions can then be viewed on a single application dashboard.In revising the regulations, the European Commission also saw an opportunity to promote competition in the financial services industry. To this end, the Commission introduced a new category of Payment Service Provider (PSP) called “payment institutions”. This refers to providers of payment services that are unconnected to the taking of deposits or the issuing of electronic money (i.e. not a bank). Aside from opening up customers’ account information, PSD2 will require banks to give these new entrants to the market payment capabilities, in the hope that this will lead to cheaper and faster payments. But is it safe?Under PSD2, all PSPs will be required to apply 2FA. This entails that, apart from static credentials (a username and password), the user will also be asked to authorize a login event or transaction by using another method.This is nothing new for the financial services industry, and as such there is already an array of mechanisms available for implementing 2FA. Two of the more popular forms are SMS one-time passwords (OTPs), also known as mTANs, and hardware-generated OTPs. But as security possibilities expand, so does the sophistication of cybercrime syndicates. As a result, some of these 2FA approaches are now being circumvented, exposing consumers and organizations to fraud. So how is strong authentication to be achieved? The only way to stand up to the increasing complexity of fraud vectors in use today is to combine multiple security measures. In this kind of layered approach, the mobile device – if identified definitively through the use of a digital certificate – can act as a first factor of authentication (possession, i.e. something the user has). A second factor, such as a PIN, the user’s GPS location, or a biometric input, is used to augment security – especially for high-value transactions.For added security, banks and other financial service providers should implement authentication solutions that provide a separate, bi-directional channel between their servers and their users’ mobile devices. Encrypted push-based authentication requests and responses can then be exchanged over it without fear of interception and modification. This secure channel provides a second factor of authentication out of band, without the user even having to switch apps. Apart from the authentication of digital logins and financial transactions, this will also enable the authentication of card-not-present payments using the same interface, thus providing a consistent customer experience across multiple channels.

  • PSD-2: Dreiging of kans?

     

    De Europese PSD2-richtlijn die in januari 2018 van kracht wordt, vereist dat Europese banken betaalgegevens van klanten toegankelijk maken voor andere financiële dienstverleners, mits de klant daar toestemming voor geeft. Dit maakt geavanceerde identificatie- en authenticatietechnologie van levensbelang. De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. Tachtig procent van de banken in Europa blijkt echter nog niet voldoen aan de vereisten vanuit de Payment Service Directive 2 (PSD2) en de bijbehorende security- en privacy-maatregelen. Dat is verontrustend. Alleen met innovatieve digitale oplossingen en een hoog gebruiksgemak zullen traditionele banken hun klanten kunnen vasthouden. Het verlenen van toegang tot klant- en accountgegevens komt er voor banken op neer dat zij hun online front-end, dus wat zichtbaar is voor de online bezoeker, loskoppelen van de niet-zichtbare achterkant van een systeem, de back-end. Een voorbeeld hiervan op nationaal niveau is iDEAL waarin Nederlands banken hun betaaldiensten aanbieden aan iDEAL Payment Service Providers conform een uniforme (technische) interface. Als gevolg hebben banken oplossingen nodig om toch veilige koppelingen te kunnen maken tussen back-end functionaliteiten van een bank en externe applicaties van bijvoorbeeld een fintech-bedrijf. Websites en webapplicaties communiceren met elkaar via een application programming interface (API). We spreken in dit kader dan ook over API-security. Met geavanceerde authenticatiemethoden kunnen bijvoorbeeld klanten van een financiële dienstverlener of computerprogramma’s die een connectie willen maken, worden geïdentificeerd en geautoriseerd. Betaalmogelijkheden, zoals iDEAL en mobiel betalen, worden mogelijk gemaakt door betaalproviders (Third Party Providers of TPP’s). Dit zijn niet alleen traditionele banken, maar ook nieuwe online banken en fintech-startups. De nieuwe PSD2-wetgeving eist van de TPP’s dat zij strong customer authentication (SCA) toepassen. Hiermee kan men op een veilige manier gebruikmaken van (nieuwe) betaalmethoden. Om de klanttevredenheid te optimaliseren, is het bij SCA van belang dat er een balans is tussen het voldoen aan veiligheidseisen en het gebruiksgemak voor klanten. Denk aan twee-factor-authenticatie, dus naast gebruikersnaam en wachtwoord nog een extra beveiligingslaag. Klanten kunnen zich bijvoorbeeld biometrisch, via vingerafdruk of spraakherkenning, authentiseren via een app op hun telefoon. Binnen deze oplossingen kan de bank zelf verschillende zogenoemde ‘business rules’ instellen. Zo kan de klant het overschrijven van kleine bedragen bijvoorbeeld goedkeuren middels het simpelweg klikken op de akkoord-button binnen de app. Voor hogere bedragen is dan authenticatie met een vingerafdruk vereist of een extra verificatie, zoals een selfie die de bank kan matchen met je paspoortfoto. Ook los van PSD2 is er ruimte voor innovatie in de financiële sector. Denk bijvoorbeeld aan geld pinnen met een bank-app middels biometrische authenticatie in plaats van een bankpas met pincode. Hiervoor hebben we binnen PwC Everett een demo ontwikkeld. Een ander mooi voorbeeld is de koppeling van je mobiele telefoon aan een fysieke bankkantoor, waardoor je herkend wordt als je de bank binnenloopt. Hierdoor heeft een baliemedewerker of adviseur direct jouw financiële gegevens paraat. Op het moment dat de bank via de app vraagt om jouw gegevens te mogen inzien, weet je dat je met de bank communiceert en niet op een nep-website zit die een echte bank nabootst. Deze manier van toegang verlenen is in lijn met de nieuwe Europese richtlijn General Data Protection Regulation (GDPR) die van banken vereist dat ze toestemming moeten vragen om jouw persoonlijke (financiële) informatie te mogen inzien. Ook dan kun je bijvoorbeeld akkoord geven met je vingerafdruk. Natuurlijk, nieuwe digitale spelers in de financiële sector zijn in het voordeel; zij kunnen innovatieve digitale oplossingen direct in hun infrastructuur meenemen. Voor traditionele banken is dit moeilijker, omdat zij hun bestaande IT-systemen moeten integreren met technologieën op het gebied van bijvoorbeeld data-analyse en mobile. Echter, PSD2 ontziet niemand. Zowel nieuwkomers als traditionele banken zullen vanaf 2018 aan de regels moeten voldoen. Toch hoeven traditionele spelers niet bij de pakken neer te zitten. PSD2 kon nog wel eens als vooruitgangsmotor werken. Het kan concurrentie, transparantie, lagere kosten én gebruiksgemak bevorderen. En daar is iedereen bij gebaat.  Gerald Horst is bij PwC Everett expert op het gebied van Identity & Access Management (IAM) 

  • Advies: Woningzoekenden kunnen beter snel hypotheekadvies in gang zetten

     

     Toezichthouder AFM maakte deze week bekend dat zij een strengere zienswijze hanteren het op tijd afronden van hypotheken die nog onder de wet-en regelgeving vallen van 2016. Huizenkopers die gebruik willen maken van de mogelijkheid om 102% van de woningwaarde te financieren, doen er daarom slim aan haast te maken met hun aanvraag. Niet alleen moet de aanvraag voor renteaanbod in december 2016 worden ingediend bij de hypotheekverstrekker, ook moet de complete hypotheekaanvraag voor 1 februari 2017 goedgekeurd zijn. Hypotheekadviseur eyeOpen.nl adviseert woningkopers daarom spoedig in actie te komen om de hypotheek op tijd rond te krijgen. Definitieve goedkeuring van hypotheek voor februari 2017De AFM heeft haar zienswijze aangepast over de goedkeuring van hypotheken. Dit betekent voor hypotheekverstrekkers o.a. dat dit jaar de datum van uitgifte van de bindende offerte leidend is en niet de datum van de aanvraag. Omdat deze aangepaste zienswijze pas recent bekend gemaakt is, geldt voor dit jaar een overgangsregeling. Alle hypotheken die worden aangevraagd, moeten vóór 1 februari 2017 definitief goedgekeurd zijn door de hypotheekverstrekker om nog te kunnen vallen onder de regels van 2016.  Tijdnood voor woningkoper: Verwerking hypotheekaanvraag duurt vier wekenHet traject tot de definitieve goedkeuring van de hypotheekaanvraag neemt gemiddeld vier weken in beslag en dat loopt in december vaak ook nog op doordat er veel aanvragen worden ingediend. Hierdoor kan het zijn dat bij het aanvragen van een renteaanbod eind december, de hypotheek niet tegen normen van 2016 kan worden verstrekt. Belangrijk dus om de hypotheekaanvraag op tijd wordt ingediend en wordt goedgekeurd. Een manier waarop woningkopers een snelle goedkeuring van de hypotheek positief kunnen beïnvloeden is door alle belangrijke documenten al voor het indienen van de hypotheekaanvraag te verzamelen. Met het direct snel, correct en compleet meesturen van deze documenten kan de nodige tijd bespaard worden. Hypotheekverstrekkers hanteren sluitingsdata én sluitingstijden voor renteaanbodBehalve met de doorlooptijd heb je als woningzoekende ook te maken de deadlines voor het aanvragen van een renteaanbod. Dit is belangrijk omdat pas na het ontvangen van een renteaanbod gestart kan worden met de hypotheekaanvraag. De deadlines verschillen per hypotheekverstrekker. Zo kunnen woningkopers bij Delta Lloyd en Nationale Nederlanden tot en met vrijdag 23 december terecht, terwijl aanvragen bij Munt Hypotheken en ABN Amro tot 31 december ingediend kunnen worden. Om het nog iets ingewikkelder te maken verschillen ook de sluitingstijden. Zo dient een aanvraag bij Munt Hypotheken voor 12:00 uur ingediend te zijn, terwijl men bij ABN Amro het hele jaar de tijd heeft (tot 0:00 uur). Op de pagina 'Deadlines hypotheekverstrekkers hypotheekaanvraag 2016' staan alle bekende sluitingsdata en -tijden van hypotheekaanbieders verzameld, inclusief de gemiddelde doorlooptijd. Start zo snel mogelijk met regelen van de hypotheekOlivier Tardieu van eyeOpen.nl: 'Deze late koerswijziging van het AFM maakt het niet makkelijker voor zowel consumenten als banken, vooral omdat december traditioneel al een drukke maand is. Het wordt daarom voor woningzoekenden nog belangrijker om de hypotheekaanvraag op tijd te starten. Niet alleen heb je dan de volledige keuze uit alle hypotheekaanbieders, ook is er dan nog voldoende tijd beschikbaar om de complete hypotheekaanvraag voor 1 februari 2017 af te ronden en te profiteren van de voorwaarden uit 2016.'  

  • AFM en DNB verbeteren toetsingsproces na aanbevelingen Commissie Ottow

     

     Er is brede steun in de financiële sector voor het doel en het belang van de toetsingen van bestuurders en commissarissen. Goede toetsing wordt gezien als een belangrijk instrument dat het lerend vermogen van de sector kan verhogen.De commissie ‎Ottow doet verschillende voorstellen om het proces van de toetsingen verder aan te passen en te verbeteren zodat de toezichthouders nog beter aan hun wettelijke opdracht kunnen voldoen. Zo moeten de toezichthouders transparanter zijn over het proces. Tevens doet het rapport nuttige aanbevelingen om de zorgvuldige besluitvorming te behouden en verder te waarborgen, de diversiteit in de financiële sector te bevorderen en het proces efficiënter en effectiever in te richten. Voor financiële instellingen is er ook een belangrijke rol weggelegd, zij zijn mede verantwoordelijke om de diversiteit in de sector te bevorderen en het proces efficiënter in te richten. Dat zijn voor AFM en DNB de belangrijkste conclusies uit het rapport van de commissie Ottow dat dinsdag is gepubliceerd. De commissie spreekt van een ‘adequate invulling’ door de toezichthouders van haar taak bij het toetsen van bestuurders. ToetsingenDe toetsing van bestuurders en commissarissen is sinds de financiële crisis aangepast. De eisen die aan geschiktheid (voorheen deskundigheid) werden gesteld zijn verder uitgewerkt en de wetgever heeft deze ook ingevoerd voor commissarissen en later ook voor meer medewerkers bij financiële instellingen. Beter bestuur in de financiële sector wordt gezien als een belangrijke pijler onder het voorkomen van nieuwe crises. Jaarlijks worden er circa 2500 aanvangstoetsingen uitgevoerd, waarbij 96 procent leidt tot een positief oordeel. Tevens worden 10 tot 20 hertoetsingen per jaar gedaan, waarbij zittende bestuurders opnieuw worden getoetst als daar een ‘redelijke aanleiding’ voor is. CommissieAFM en DNB stelden een onafhankelijke, externe commissie in om onderzoek te doen naar de opzet en werkwijze bij toetsingen van bestuurders en commissarissen in de financiële sector. De commissie stond onder leiding van prof. dr. Annetje Ottow en bestond daarnaast uit prof. dr. Janka Stoker en drs. Jan Hommen. VervolgstappenIn de afgelopen anderhalf jaar zijn door DNB en AFM belangrijke stappen gezet om het proces rond toetsingen te versterken. Met deze versterkingen is het toetsingsproces bij DNB en de AFM duidelijk verder tot ontwikkeling gekomen‎. Het rapport van de commissie Ottow biedt de juiste basis voor DNB en de AFM om nadere vervolgstappen te nemen. AFM en DNB hebben in een uitgebreide reactie de minister van Financiën toegelicht welke dat zijn. Kortgezegd zal er onder meer uitgebreidere en betere informatie voor en tijdens een toetsing beschikbaar komen om de transparantie te vergroten. Om de zorgvuldige besluitvorming verder te waarborgen zullen de toezichthouders duidelijker laten zien hoe het proces van besluitvorming loopt. Ook zullen DNB en de AFM een pilot starten waarin de rol van de externe adviseur (‘senior advisor’) nader zal worden uitgewerkt. Uit het rapport van de commissie blijkt dat de perceptie in de financiële sector is dat er te weinig ruimte zou zijn om meer diversiteit aan te brengen in hun kandidaten. De commissie beveelt aan dat financiële instellingen bovendien meer zelf moeten doen om de diversiteit te vergroten. Instellingen zullen de ruimte die er is moeten benutten om die kandidaten te selecteren die zij op dat moment het meest geschikt vinden voor hun organisatie, ook als deze kandidaten geen langdurige financiële achtergrond hebben. DNB en de AFM zullen, om de diversiteit te stimuleren, duidelijker communiceren dat het mogelijk is om kandidaten met andere achtergronden voor te dragen en aangeven welke eisen dit stelt aan een dossier. De efficiëntie van het toetsingsproces zal worden verbeterd door onder meer verdere digitalisering van de aanvraag via een digitaal loket en afhandeling van een toetsing. Ook zal er worden gekeken naar verdere stappen om de verantwoordelijkheid van de instelling voor het voordragen van geschikte kandidaten meer invulling te geven, zoals de commissie ook concludeert. De Commissie beveelt aan dat instellingen een analyse maken van de huidige en toekomstige samenstelling van de raad van bestuur en raad van commissarissen, ingedeeld naar competentie, ervaring en de gewenste aanvullende kennis of ervaring. Ook beveelt de Commissie aan dat instellingen bij iedere voorgestelde benoeming een volledig en juist ingevuld document inleveren bij DNB en de AFM, waaruit blijkt wie de kandidaat is en waarom deze wordt voorgedragen. Wanneer dit compleet en uitputtend is, kan dit het toetsingsproces versnellen en vergemakkelijken en op termijn leiden tot een minder zwaar proces. Internationale ontwikkelingenZoals ook uit het rapport blijkt zullen internationale ontwikkelingen een steeds belangrijkere invloed krijgen. De huidige consultatie van EBA en ESMA over nieuwe richtsnoeren voor de geschiktheidstoets en de consultatie van het SSM laten zien dat de Europese harmonisatie verder toe neemt. DNB en de AFM verwelkomen deze ontwikkeling in Europa. Zoals eerder ook uit een ‘peer review’-rapport van EBA is gebleken , wordt de Nederlandse praktijk als goed voorbeeld gezien en komt het voorgestelde Europese toetsingsproces in belangrijke mate overeen met de huidige Nederlandse aanpak. Lees hier de uitgebreide reactie van AFM en DNB op het rapport van de commissie Ottow. Lees het volledige onderzoeksrapport van de commissie Ottow.

  • Nederlandse beleggingsinstellingen bereiken recordomvang

     

     In het derde kwartaal van 2016 steeg het balanstotaal van beleggingsinstellingen tot het hoogste niveau ooit: EUR 823 miljard. De stijging van het balanstotaal werd grotendeels veroorzaakt door waardestijgingen van beursgenoteerde aandelen. Aandelen- en obligatiefondsen beheren gezamenlijk 69% van het vermogen van de sector en vormen daarmee nog steeds de grootste fondscategorieën. Het snelst groeiende soort fondsen betreft echter de hypotheekfondsen, die in het afgelopen kwartaal hun omvang met 15% zagen toenemen tot EUR 22 miljard. Nederlandse beleggingsinstellingen bereikten in het derde kwartaal van 2016 een nieuw vermogensrecord. Het totale belegd vermogen groeide met 2,2% naar EUR 823 miljard. Aandelen- en obligatiefondsen zijn binnen de sector nog steeds de grootste beleggingscategorieën; zij beheren respectievelijk EUR 285 miljard en EUR 280 miljard aan vermogen. Desondanks is het huidige vermogen van beide typen fondsen lager dan in het eerste kwartaal van 2015, toen het belegd vermogen van beleggingsinstellingen ook een record bereikte. De balanstotalen van deze fondstypen waren indertijd respectievelijk EUR 300 miljard en EUR 283 miljard. Het verschil wordt grotendeels verklaard door de snelle tussentijdse opkomst van hypotheekfondsen, die vooral in woninghypotheken aan Nederlandse huishoudens beleggen en in de statistieken van DNB worden gecategoriseerd in de beleggingscategorie overige fondsen. Zij groeiden sinds het eerste kwartaal van 2015 van EUR 7,5 miljard naar EUR 22,0 miljard. Ook in het afgelopen kwartaal steeg het belegd vermogen van deze fondsen, ditmaal met bijna EUR 3 miljard.  Het stijging van het balanstotaal van beleggingsfondsen in het afgelopen kwartaal is voor het grootste deel te herleiden tot een waardestijging van door fondsen aangehouden beursgenoteerde aandelen, die EUR 13,2 miljard betrof. Daarmee is het rendement van de aandelenfondsen (5,3% kwartaal-op-kwartaal) ook hoger dan bij andere fondsencategorieën (2,6% voor de hele sector). Ook een netto-inleg in aandelenfondsen door beleggers ter waarde van EUR 5,0 miljard droeg bij aan de stijging van het totale vermogen.  De beleggingen van Nederlandse beleggingsfondsen in obligaties bleven in het afgelopen kwartaal redelijk constant op een niveau van ongeveer EUR 259 miljard. Weliswaar daalde het beheerd vermogen van obligatiefondsen met EUR 3 miljard (kwartaal-op-kwartaal), maar dit werd door fondsen voornamelijk opgevangen door andere activa dan obligaties te verkopen. Dit betrof bijvoorbeeld participaties in andere beleggingsinstellingen. Het rendement van obligatiefondsen was met 1,2% kwartaal-op-kwartaal positief.  

  • Lees meer