<div dir="ltr">Well, i have spent as much time reviewing and annotating the attached document as i am will to do pro bono.<div>What I don't see is any reason for the user to trust the flow shown.</div><div>So is the net result a debit against the user's account that is the user's liability?</div><div>And does the user have the responsibility to prove that the charge was not authorized by them?</div><div><br></div><div>This is not a service that i personally would be willing to use with a US bank.</div><div>Here is the site where i record by own thought on user consent: <a href="http://tcwiki.azurewebsites.net/index.php?title=User_Consent#Full_Title_or_Meme">http://tcwiki.azurewebsites.net/index.php?title=User_Consent#Full_Title_or_Meme</a></div><div>i am also working with the Kantara CIS group and Mark Lizar by building an OP that uses consent and show some results here: <a href="http://tcwiki.azurewebsites.net/index.php?title=Consent_Receipt_Construction">tcwiki.azurewebsites.net/index.php?title=Consent_Receipt_Construction</a></div><div><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peace ..tom</div></div></div></div>

<br><div class="gmail_quote">On Wed, Aug 15, 2018 at 10:56 AM, Ralph Bragg <span dir="ltr"><<a href="mailto:ralph.bragg@raidiam.com" target="_blank">ralph.bragg@raidiam.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div>

<div style="direction:ltr">

<div>Hi Tom,</div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr">I’m personally really interested in the concerns you’ve raised especially when it comes to the OB part. </div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr">This (below) is the consent guidelines that the OBIE currently have published with an update in train.</div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr">OB would be really interested in your feedback and comments.</div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr">Kind regards,</div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr"><a href="https://www.openbanking.org.uk/wp-content/uploads/Consent-Model-Part-1-Implementation-Guide.pdf" target="_blank">https://www.openbanking.org.<wbr>uk/wp-content/uploads/Consent-<wbr>Model-Part-1-Implementation-<wbr>Guide.pdf</a></div>

<div style="direction:ltr"><br>

</div>

<div style="direction:ltr"><br>

</div>

<div><br>

</div>

<div class="m_-5035734763785135446ms-outlook-ios-signature"></div>

</div>

<div> </div>

<hr style="display:inline-block;width:98%">

<div id="m_-5035734763785135446divRplyFwdMsg" dir="dir="ltr""><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> 32022724200n behalf of

<br>

<b>Sent:</b> Wednesday, August 15, 2018 16:55<br>

<b>To:</b> Financial API Working Group List<br>

<b>Cc:</b> Tom Jones<br>

<b>Subject:</b> [Openid-specs-fapi] i wish to resign from FAPI

<div> </div>

</font></div><div><div class="h5">

<div dir="ltr">Please remove my name from the mailing list and from all future documentation produced by the wg.

<div><br>

</div>

<div>If you care to know why; i thought i would list my reasons (these just relate to the FAPI part):</div>

<div>1. FAPI is being used by the UK OB & PSD2 folk as proof of security compliance but that only applies to the connection between the ASPSP and TPP, the user is not involved.</div>

<div>2. Since this is the Open ID foundation, i believe it is not part of our work to consider any standard where the user is not identified.</div>

<div>3. We have no input on user consent to the process.</div>

<div><br>

</div>

<div>I also have concerns about the damage that will be reflected on the OpenID foundation by association with a group that appears to have no interests in the user or the financial and time loss to the user that will (IMHO) result from user unhappiness with

 the way that their private data and actual assets are put on display without their explicit consent. It seems that the ASPSP has no choice but to accept a payment request initiated by any entity approved by any member state including Malta (with known tolerance

 for Russian oligarchs) or the channel islands which have been used by UK banks to avoid money laundering regulations. I do understand that they can refuse the request, but that action can be challenged by any TPP, which is certain to wear down their fiduciary

 duty to their users. The OP in the cases i have seen is not defined, so the threats cannot be fully known.</div>

<div><br clear="all">

<div>

<div class="m_-5035734763785135446gmail_signature">

<div dir="ltr">

<div>Peace ..tom</div>

</div>

</div>

</div>

</div>

</div>

</div></div></div>

</div>

</blockquote></div><br></div>