<div dir="ltr">here is the quoted detail from the UK FCA <a href="https://www.fca.org.uk/consumers/account-information-and-payment-initiation-services">https://www.fca.org.uk/consumers/account-information-and-payment-initiation-services</a><div><br></div><div>you will note that neither the UK govt (FCA) nor the framework itself take any responsibility for even assuring that services are who they say they are, which a EV cert does do.</div><div>That means that an approval of the FCA has less assurance than an EV cert.</div><div>Now tell me how many bank customers are expected to read these stipulations on this site?</div><div><span style="color:rgb(63,63,63);font-family:Verdana,Helvetica,Arial,sans-serif;font-size:2.4rem">Who can provide these services?</span><br></div><div><p style="box-sizing:border-box;margin:0px 0px 1.14rem;color:rgb(63,63,63);font-family:Verdana,Helvetica,Arial,sans-serif;font-size:14px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial">From January 2018, companies that are authorised or registered by the Financial Conduct Authority, or another European regulator, can provide AIS or PIS.</p><p style="box-sizing:border-box;margin:0px 0px 1.14rem;color:rgb(63,63,63);font-family:Verdana,Helvetica,Arial,sans-serif;font-size:14px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial">The FCA and other European Regulators will add AIS and PIS providers to the registers they keep of all authorised businesses. These registers are publically available. You can access the<span> </span><a href="https://register.fca.org.uk/" style="box-sizing:border-box;background-color:transparent;color:rgb(108,29,69);text-decoration:underline">FCA’s register</a> to search for a business or contact our <a href="https://www.fca.org.uk/contact" style="box-sizing:border-box;background-color:transparent;color:rgb(108,29,69);text-decoration:underline">consumer helpline</a>.</p><p style="box-sizing:border-box;margin:0px 0px 1.14rem;color:rgb(63,63,63);font-family:Verdana,Helvetica,Arial,sans-serif;font-size:14px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial">You should be aware that companies that have been providing these services since before 12 January 2016 do not need to be authorised by the FCA until the end of 2019, so may not appear on the FCA’s register until a later date.</p><p style="box-sizing:border-box;margin:0px 0px 1.14rem;color:rgb(63,63,63);font-family:Verdana,Helvetica,Arial,sans-serif;font-size:14px;font-variant-ligatures:normal;font-variant-caps:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial"><i style=""><b>Before you use one of these services be alert, and make sure you are confident that any organisations you share your information with are who they say they are. You should make sure that you understand the service and that you are happy with who will be providing it to you.</b></i></p>

<br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peace ..tom</div></div></div></div>
<br><div class="gmail_quote">On Mon, Feb 26, 2018 at 7:50 AM, Tom Jones <span dir="ltr"><<a href="mailto:thomasclinganjones@gmail.com" target="_blank">thomasclinganjones@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">The gotcha is the determination of what was unauthorized. I recall that during the ATM wars a policeman lost his job solely because he had the temerity to claim that an ATM withdrawal was unauthorized. He turned out to have been correct.<br><br><div id="m_-6499805564721330449AppleMailSignature">..Tom's phone</div><div><div class="h5"><div><br>On Feb 26, 2018, at 8:33 AM, Joseph Heenan via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>> wrote:<br><br></div><blockquote type="cite"><div>Hi Tom,<div><br></div><div>Under the UK OpenBanking model, the bank is required to make immediate refunds for any unauthorised transactions (and if a TPP was involved and negligent, the bank can then try to reclaim that money from the TPP). The only exception is if the bank suspects fraud or negligence by the user. I believe that setup comes from the EU wide PSD2 requirements (but others know that area better than I do).</div><div><br></div><div>How this actually works in practice remains to be seen, as this has only been in place for about 6 weeks.</div><div><br></div><div>Joseph</div><div><br><div><br><blockquote type="cite"><div>On 26 Feb 2018, at 15:02, Tom Jones via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.<wbr>openid.net</a>> wrote:</div><br class="m_-6499805564721330449Apple-interchange-newline"><div><div dir="ltr">the user does not authorize to Zelle. It is just a transport protocol. It can either send or request a payment. All the rest is on the user's account using the web browser or the bank app. Theoretically the user could pre-authorize payment requests, but my banks do not do that. Unlike the ACH where pre-auth is common, but not automated.<div><br></div><div>The fraud problem is that there are 6 parties to such a transaction (consumer, merchant, PISP, bank, UK gov't, attacker). The only party that does not understand the system is the consumer, who is the only one that bears risk of loss in the UK model. Every other party loses no money no matter what happens. This has been tried before in the UK when then ATMs were introduced. It did not go well for the consumer. <a href="http://www.cl.cam.ac.uk/~rja14/banksec.html" target="_blank">http://www.cl.cam.<wbr>ac.uk/~rja14/banksec.html</a> Trust is an illusion.</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="m_-6499805564721330449gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peace ..tom</div></div></div></div>
<br><div class="gmail_quote">On Sun, Feb 25, 2018 at 11:01 PM, Anders Rundgren <span dir="ltr"><<a href="mailto:anders.rundgren.net@gmail.com" target="_blank">anders.rundgren.net@gmail.com</a><wbr>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 2018-02-25 16:11, Tom Jones wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
As near as I can tell Zelle is under user control and ok.<br>
</blockquote>
<br></span>
I'm sure Zelle is just fine, my "techie" question is if the bank gets anything tangible from the user's authorization to Zelle.<span><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The truly evil organization will be the PISP if it is allowed to<br>
operate on the users’ behalf with contracts of adhesion. <br>
</blockquote>
<br></span>
Well, this appears to be the master plan in the UK.  FAPI/OAuth is essentially morphing into an enrollment system for *persistent* business relations between three parties.<br>
<br>
This is not common knowledge and may turn out as a source of non-interoperability (at the policy level).<br>
<br>
Other side effects include something the traditional PSPs didn't have to bother with: Authentication of end users.<span><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Fraud will basically be be legalized.<br>
</blockquote>
<br></span>
The technical capability to perform fraud is more or less a part of most TTPs, be it a CA or a PSP. Trust in services is a combination of regulations, reputation, marketing, and time.<div class="m_-6499805564721330449HOEnZb"><div class="m_-6499805564721330449h5"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The one limiting factor, at least so far as xborder flows go, is government control of “hot money”. There are good articles just now on the linkage between kleptocrats and hot money in the Journal of democracy. I thoroughly recommend them to any thoughtful discussion of this threat. I suspect that the last thing governments want is friction free money flows.<br>
<br>
..Tom's phone<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Feb 25, 2018, at 12:07 AM, Anders Rundgren via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openi<wbr>d.net</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 2018-02-25 03:44, n-sakimura via Openid-specs-fapi wrote:<br>
Could you guys please elaborate a little more?<br>
</blockquote>
<br>
Note: If this list is exclusively intended for discussing pure technical issues with the specification rather than the environment where it is supposed to used, this message has landed in the wrong forum.<br>
<br>
<br>
As far as I understand the decoupled authentication model is indeed used by US TTPs like "Venmo" and "Zelle".<br>
<br>
However, all these systems are proprietary and secret so I'm just guessing here.<br>
<br>
Going back to the UK and EU, the idea is that independent payment providers compete with fees, core features, and user interfaces.  This can only be realized if each of them run a network of their own [1] including authentication of customers.<br>
<br>
This has major implications beyond security.  In theory this concept will foster innovation and competition. In practice it will probably rather lead to fragmentation [2] and after an expected shakeout [3], reduce the number of national players to one or two which is essentially the opposite to the (good) intention.<br>
<br>
The Scandinavian banks separated their Open Banking and Mobile Payment efforts with exceptionally good results (adoption rate) for the latter.<br>
<br>
Cheers,<br>
Anders<br>
<br>
1] "Pass-through" services like PISPs offer limited power and flexibility<br>
2] All "Apps" behave differently making consumers and merchants unhappy<br>
3] The current consolidation among payment providers shows that volume is everything<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Nat Sakimura<br>
このメールには、本来の宛先の方のみに限定された機密情報が含ま<wbr>れている場合がございます。お心あたりのない場合は、送信者にご<wbr>連絡のうえ、このメールを削除してくださいますようお願い申し上<wbr>げます。<br>
PLEASE READ:This e-mail is confidential and intended for the named recipient only. If you are not an intended recipient, please notify the sender and delete this e-mail.<br>
------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>------------------------------<br>
*From:* Openid-specs-fapi <<a href="mailto:openid-specs-fapi-bounces@lists.openid.net" target="_blank">openid-specs-fapi-bounces@lis<wbr>ts.openid.net</a>> on behalf of Tom Jones via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openi<wbr>d.net</a>><br>
*Sent:* Sunday, February 25, 2018 4:24:06 AM<br>
*To:* Financial API Working Group List<br>
*Cc:* Tom Jones<br>
*Subject:* Re: [Openid-specs-fapi] The FAPI Security Model - Under Fire<br>
yeah, that fits the UK business model.<br>
It wont fly in the US however.<br>
Peace ..tom<br>
On Thu, Feb 22, 2018 at 11:53 PM, Anders Rundgren via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openi<wbr>d.net</a> <mailto:<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@list<wbr>s.openid.net</a>>> wrote:<br>
    Hi FAPIers,<br>
    As a curious person I have always wondered how Open Banking/PISP/SCA would combine with Amazon's famous one-click checkout.<br>
    Various LinkedIn and Slack conversations have revealed the (ugly?) truth.<br>
    The intention (at least in the UK), is giving OAuth tokens "eternal life" and rather letting PISPs (Amazon is expected to be a one), deal with payer authorization.  This faithfully emulates the "card-on-file" system that powers most US based super providers.<br>
    Cheers,<br>
    Anders<br>
    ______________________________<wbr>_________________<br>
    Openid-specs-fapi mailing list<br>
    <a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid<wbr>.net</a> <mailto:<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@list<wbr>s.openid.net</a>><br>
    <a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-fapi</a> <<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailm<wbr>an/listinfo/openid-specs-fapi</a>><br>
______________________________<wbr>_________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid<wbr>.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-fapi</a><br>
</blockquote>
<br>
______________________________<wbr>_________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid<wbr>.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailma<wbr>n/listinfo/openid-specs-fapi</a><br>
</blockquote></blockquote>
<br>
</div></div></blockquote></div><br></div>
______________________________<wbr>_________________<br>Openid-specs-fapi mailing list<br><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.<wbr>openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a><br></div></blockquote></div><br></div></div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Openid-specs-fapi mailing list</span><br><span><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.<wbr>openid.net</a></span><br><span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>fapi</a></span><br></div></blockquote></div></div></div></blockquote></div><br></div>