<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Hi Nat</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">No problem. Essentially many are arguing for (and the Berlin Group standard supports) "institutionalized phishing".</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">I 100% agree that "pass-through" methods prevent banks from using phishing-resistant credentials and that this is a big problem.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The text in PSD2 isn't entirely clear and PSD2 defers to the EBA RTS for definitions and rules on strong customer authentication and secure communication. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">I think banks have a case for not supporting pass-through methods because they lower their security, BUT if it looked like they were only adding phishing-resistant auth methods in order to block pass-through APIs then that could be considered anti-competitive and obstructive. At the moment few banks are using phishing-resistant credentials and hence people like the Berlin Group are designing APIs where one-time codes can be "passed through" the API. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Dave</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 12 October 2017 at 09:56, Nat Sakimura <span dir="ltr"><<a href="mailto:n-sakimura@nri.co.jp" target="_blank">n-sakimura@nri.co.jp</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="JA" link="blue" vlink="purple"><div class="m_-494284048089190419WordSection1"><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d">Sorry to bother you with questions. What is described below begs this question: <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal" style="text-indent:22.0pt"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d">Are the banks allowed to support phishing resistant credentials only? <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d">Any pass-through model will break in this case, as pass-through is an institutionalized phishing. <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d">I do not think that is the case, as it will put too much technical constraint on the security side and put the users at risk. My read of “</span><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">and that <b>they are transmitted by the payment initiation service provider through safe and efficient channels</b>;” </span><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d">is that the paragraph is only talking about the security requirements to the PISP that handles the user credentials and is not the requirements to the banks. We need to have it clarified. <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Noto Sans CJK JP Medium",sans-serif;color:#1f497d">Nat Sakimura <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Noto Sans CJK JP Medium",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Noto Sans CJK JP Medium",sans-serif;color:#1f497d">PLEASE READ :This e-mail is confidential and intended for the named recipient only. If you are not an intended recipient, please notify the sender and delete this e-mail.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Arial",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Openid-specs-fapi [mailto:<a href="mailto:openid-specs-fapi-bounces@lists.openid.net" target="_blank">openid-specs-fapi-<wbr>bounces@lists.openid.net</a>] <b>On Behalf Of </b>Dave Tonge via Openid-specs-fapi<br><b>Sent:</b> Thursday, October 12, 2017 4:52 PM<br><b>To:</b> Nat Sakimura <<a href="mailto:nat@sakimura.org" target="_blank">nat@sakimura.org</a>>; Financial API Working Group List <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>><br><b>Subject:</b> Re: [Openid-specs-fapi] Update on EBA RTS<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">HI Nat<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">Sorry, slight confusion - this information is not from myself but from one of the members of the ERPB PIS group - but I still think this is positive movement as it provides a way for the industry to move beyond screen scraping.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">The conversations are not yet in the public domain, so I don't think I can provide any more details at this point.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">Ths issue that concerns me is the line that is being taken about redirect based APIs.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">CIBA is good as it allows "decoupled" flows and doesn't count as redirection, BUT even with decoupled flows many are arguing for "pass-through" or "embedded" flows as well - where the banking credentials are entered into a third party site and then "passed through" to the bank via API.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">Unfortunately, the text of PSD2 supports their argument:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0mm 0mm 0mm 6.0pt;margin-left:4.8pt;margin-right:0mm"><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">The payment initiation service provider shall:<br>(a) not hold at any time the payer’s funds in connection with the provision of the payment initiation service;<br>(b) ensure that the personalised security credentials of the payment service user are not, with the exception of the user and the issuer of the personalised security credentials, accessible to other parties and that <b>they are transmitted by the payment initiation service provider through safe and efficient channels</b>;<u></u><u></u></span></p></blockquote></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">PSD2 Article 66.3   <u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div><div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">I think we can make an argument that any method that involves banking credentials being entered on a third party site will severely reduce the "Strong Customer Authentication" methods available for that bank to use.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">Dave<u></u><u></u></span></p></div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"><u></u> <u></u></span></p></div></div></div></div><div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><div><div><div class="h5"><p class="MsoNormal"><span lang="EN-US">On 11 October 2017 at 17:59, Nat Sakimura via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>> wrote:<u></u><u></u></span></p></div></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0mm 0mm 0mm 6.0pt;margin-left:4.8pt;margin-right:0mm"><div><div><div class="h5"><p><span lang="EN-US" style="font-family:"Verdana",sans-serif">Thanks, Dave. <u></u><u></u></span></p><p><span lang="EN-US" style="font-family:"Verdana",sans-serif">So, are you saying that ERPB (European) industry group on APIs which you are co-chairing will be vetting the APIs for the compliance? That sounds very positive. <u></u><u></u></span></p><p><span lang="EN-US" style="font-family:"Verdana",sans-serif">On the topic of no-redirections, would something like CIBA counts for redirection? IMHO, it does not make sense from the security point of view to have the user put his bearer token aka password into the TPP apps. With CIBA, redirection is not involved but we can still avoid the above problem. <u></u><u></u></span></p><p><span lang="EN-US" style="font-family:"Verdana",sans-serif">Best, <u></u><u></u></span></p><p><span lang="EN-US" style="font-family:"Verdana",sans-serif"> <u></u><u></u></span></p><div><pre><span lang="EN-US">---<br>Nat Sakimura<u></u><u></u></span></pre><pre><span lang="EN-US">Research Fellow, Nomura Research Institute<u></u><u></u></span></pre><pre><span lang="EN-US">Chairman of the Board, OpenID Foundation<u></u><u></u></span></pre></div><div><div><p><span lang="EN-US" style="font-family:"Verdana",sans-serif">On 2017-10-11 23:21, Dave Tonge via Openid-specs-fapi wrote:<u></u><u></u></span></p></div></div></div></div><blockquote style="border:none;border-left:solid #1010ff 1.5pt;padding:0mm 0mm 0mm 4.0pt;margin-left:3.75pt;margin-top:5.0pt;margin-bottom:5.0pt"><div><div><div><div><div class="h5"><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">Dear FAPI Working Group<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"> <u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif">As discussed on the call, here is the latest information we have on the RTS:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Trebuchet MS",sans-serif"> <u></u><u></u></span></p></div><div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">1.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif;color:#1f497d">       </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">RTS is in the final stages of approval by EC – expected early Nov (effective date likely to be Sept 2019). On screen scraping (known as the fall back option) the draft EC proposal is that PSP firms will be able to seek a regulatory exemption, to be granted by the competent authority, to avoid having to supporting screen scraping at all. To obtain an exception will require a vetting process based upon at least the following criteria:</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph" style="margin-left:72.0pt"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">a.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif;color:#1f497d">       </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">The APIs are technically PSD2/RTS compliant</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph" style="margin-left:72.0pt"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">b.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif;color:#1f497d">      </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">They are available 3 months ahead of implementation</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph" style="margin-left:72.0pt"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">c.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif;color:#1f497d">       </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">They have been market tested</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph" style="margin-left:72.0pt"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">d.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif;color:#1f497d">      </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">They adhere to specific performance criteria</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"> </span><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal" style="margin-left:36.0pt"><span lang="EN-US" style="color:#1f497d">The EC also proposes that the ERPB (European) industry group on APIs, that I established and which I co-chair, could, de facto, become the industry group to ‘vet’ APIs with support and active participation by EC (DG FISMA and DG COMP) and including the national competent authorities (like FCA). This is a very significant and incredibly positive development as the EC is effectively saying that they want to ‘bless’ industry to guide them, the regulators,to get this right.</span><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal" style="margin-left:36.0pt"><span lang="EN-US" style="color:#1f497d"> </span><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal" style="margin-left:36.0pt"><span lang="EN-US" style="color:#1f497d">Therefore, the OB PSD2 APIs would conceivably have to go through this vetting and approval process, which illustrates the importance of aligning our PSD2 roadmap assumptions based on the direction set at European level. This will help to avoid divergence between standards at the national level.    </span><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal" style="margin-left:36.0pt"><span lang="EN-US" style="color:#1f497d"> </span><span lang="EN-US"><u></u><u></u></span></p><p class="m_-494284048089190419m119826132494885966gmail-m5119645816753680022gmail-m7159559134696043123msolistparagraph"><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif">2.</span><span lang="EN-US" style="font-size:7.0pt;font-family:"Arial",sans-serif">       </span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif;color:#1f497d">There have been some questions recently about the redirection model for PSU authorisation and whether it is PSD2 compliant. Directionally, the EC supports the view that “APIs must support all authentication procedures provided by the ASPSP to the PSU, but <u>must not require the TPP to have to use the redirect option</u>”. Strictly speaking, the EC is not banning redirection, but it does support the view that a TPP should not have to be forced to use it. Logically therefore, it cannot be the only option available. The EC also supports the view that the TPP must be “free from constraints to innovate the design of the user interface for the PSU’s consent and authorisation journey for both PIS and AIS”. Within the ERPB API group we agreed yesterday in Brussels to go into detail on this topic to define what is acceptable based on the three methods of redirect, pass-through and embedded. The objective is to set a ‘bar’ of acceptability to be blessed by the EC as a one of the criteria by which to ‘vet’ API standards for conformity with PSD2/RTS.</span><span lang="EN-US" style="font-size:9.5pt;font-family:"Arial",sans-serif"><u></u><u></u></span></p></div></blockquote></div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Verdana",sans-serif"><br clear="all"><u></u><u></u></span></p><div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Verdana",sans-serif"> <u></u><u></u></span></p></div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Verdana",sans-serif">-- <u></u><u></u></span></p></div></div><div><div><div><div><div><div><div><div><div><div><div><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#00a4b7">Dave Tonge<u></u><u></u></span></b></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333">CTO<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835ea5;border:solid windowtext 1.0pt;padding:0mm;text-decoration:none"><img border="0" width="200" height="50" id="m_-494284048089190419_x0000_i1025" src="cid:image001.jpg@01D34382.9B551410" alt="イメージは差出人によって削除されました。 Moneyhub Enterprise"></span></a><u></u><u></u></span></p></div><span class=""><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#00a4b7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g">10 Temple Back, Bristol, BS1 6FL</a></span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></div><p class="MsoNormal"><b><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#00a4b7">t: </span></b><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333">+44 (0)117 280 5120</span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></span></div><span class=""><div><p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#616161"><u></u> <u></u></span></p><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#00a4b7">561538</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#00a4b7">06909772</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333"> </span><span lang="EN-US" style="font-size:7.5pt;font-family:"Arial",sans-serif;color:#222222">©</span><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333"> . Momentum Financial Technology Limited 2016. </span><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></div></div></span></div></div></div></div></div></div></div></div></div></div><p class="MsoNormal"><span lang="EN-US" style="font-family:"Verdana",sans-serif"><u></u> <u></u></span></p></div></div><span class=""><pre><span lang="EN-US">______________________________<wbr>_________________<u></u><u></u></span></pre><pre><span lang="EN-US">Openid-specs-fapi mailing list<u></u><u></u></span></pre><pre><span lang="EN-US"><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.<wbr>openid.net</a><u></u><u></u></span></pre><pre><span lang="EN-US"><a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a><u></u><u></u></span></pre></span></blockquote></div><span class=""><p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US"><br>______________________________<wbr>_________________<br>Openid-specs-fapi mailing list<br><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.<wbr>openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a><u></u><u></u></span></p></span></blockquote></div><p class="MsoNormal"><span lang="EN-US"><br><br clear="all"><u></u><u></u></span></p><div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div><p class="MsoNormal"><span lang="EN-US">-- <u></u><u></u></span></p><div><div><div><div><div><div><div><div><div><div><div><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#00a4b7">Dave Tonge<u></u><u></u></span></b></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333">CTO<u></u><u></u></span></p></div><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" target="_blank"><span style="color:#835ea5;border:solid windowtext 1.0pt;padding:0mm;text-decoration:none"><img border="0" width="200" height="50" id="m_-494284048089190419_x0000_i1026" src="cid:image001.jpg@01D34382.9B551410" alt="イメージは差出人によって削除されました。 Moneyhub Enterprise"></span></a><u></u><u></u></span></p></div><span class=""><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#00a4b7"><a href="https://maps.google.com/?q=10+Temple+Back,+Bristol,+BS1+6FL&entry=gmail&source=g">10 Temple Back, Bristol, BS1 6FL</a></span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></div><p class="MsoNormal"><b><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#00a4b7">t: </span></b><span lang="EN-US" style="font-size:8.5pt;font-family:"Open Sans",serif;color:#333333">+44 (0)117 280 5120</span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></span></div><span class=""><div><p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#616161"><u></u> <u></u></span></p><div><p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register (FRN </span><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#00a4b7">561538</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#00a4b7">06909772</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333"> </span><span lang="EN-US" style="font-size:7.5pt;font-family:"Arial",sans-serif;color:#222222">©</span><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#333333"> . Momentum Financial Technology Limited 2016. </span><span lang="EN-US" style="font-size:8.0pt;font-family:"Open Sans",serif;color:#888888">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span><span lang="EN-US" style="font-size:10.5pt;font-family:"Open Sans",serif;color:#333333"><u></u><u></u></span></p></div></div></span></div></div></div></div></div></div></div></div></div></div></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:'Open Sans';font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165);text-decoration:none" target="_blank"><img alt="Moneyhub Enterprise" height="50" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" title="Moneyhub Enterprise" width="200" style="border:none;padding:0px;border-radius:2px;margin:7px"></a></div><div style="padding:8px 0px"><span style="color:rgb(0,164,183);font-size:11px;background-color:transparent">10 Temple Back, Bristol, BS1 6FL</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold">t: </span><span style="font-size:11px;line-height:15.925px">+44 (0)117 280 5120</span><br></div><div style="color:rgb(97,97,97);font-size:14px;font-weight:normal;font-family:lato,"open sans",arial,sans-serif"><font color="#00a4b7"><span style="font-size:11px;line-height:15.925px"><br></span></font><div style="color:rgb(51,51,51);line-height:1.4"><span style="font-size:0.75em">Moneyhub Enterprise is a trading style of Momentum Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Momentum Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold">561538</span><span style="font-size:0.75em;background-color:transparent">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. Momentum Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent">06909772</span><span style="font-size:0.75em;background-color:transparent"> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent"><font size="1">©</font></span><span style="font-size:0.75em;background-color:transparent"> . </span><span style="background-color:transparent;font-size:0.75em">Momentum Financial Technology Limited 2016. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div></div></div></div></div>
</div>