<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Hi Tom,</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">I'm sorry to hear about your wish to 'resign' and note your concerns.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">As Ralph said it would be great to try and work through the issues you have as I can assure you that OpenBanking UK has absolutely no desire to put the user at risk - indeed safeguarding the user is very important to OpenBanking UK and there are consumer representatives on the steering committee who play an active role in championing user's rights and protections.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">From a user protection perspective PSD2 is quite helpful:</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - If a user disputes a payment, the ASPSP (bank) has to refund the user within 24 hours</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - The ASPSP then needs to investigate and may ask the PSIP for evidence of consent</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - If the ASPSP is not satisfied it can recover the money from the PISP (the PISP must have adequate insurance to cover this)</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - If the ASPSP is satisfied with the consent evidence provided by the PISP AND they are satisfied with how they (the ASPSP) applied "Strong Customer Authentication" (i.e. 2FA) then they can dispute the users claim and take the money back from them.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Its worth noting that because of the redirect model that OB uses this is not that different from if a user disputes a payment made via online banking. In both cases the bank will have records of how they have applied authentication, and the text that the user approved when confirming the transaction.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">In your first email you seem to assume that the user is not involved in authenticating with the bank and confirming transactions initiated by a dubious PISP from Malta, but this is not the case. The user will have to strongly authenticate to their bank AND (in the OB model) confirm the transaction they are making. If the user is tricked by a dubious PISP they have full recourse to their bank to get a refund. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">>From an AML perspective, ASPSPs have a duty to apply the same checks on a transaction that a user "initiates" from their online banking platform as one that a user "initiates" via a PISP. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">With regards to some of your comments on the PDF:</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - there is no requirement for a TPP to identify or authenticate a user to any level of assurance. Indeed for payments in an e-commerce model a TPP may simply have a record of a user, using a browser, on an IP address who ordered an item and selected to pay with Bank X (but no nothing else about the user). If the payment is later disputed the TPP can provide evidence of the transaction in the same manner that a merchant deals with card charge backs. I agree with you that this "evidence" would be weak and this is why the OB model explicitly redirects the user to the bank where strong authentication can take place AND the user can confirm the amount and payee. In other PSD2 standards such as the Berlin Group embedded mode this is a  much greater problem as the ASPSP has no interaction with the user at all.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"> - partial consent - while possible in OAuth 2, this is not allowed by OpenBanking UK. It is either accept all or deny.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Finally I'd like to stress again that OpenBanking UK is very separate from the FAPI WG at OIDF. There are multiple standards bodies, industry initiatives and vendors that are implementing FAPI as a secure profile of OAuth 2; OpenBanking UK is just one of those.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">I hope this helps and thank you for continuing to push us to consider the protection of the user as we develop these standards.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Dave</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, 16 Aug 2018 at 10:32, Tom Jones via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Well, i have spent as much time reviewing and annotating the attached document as i am will to do pro bono.<div>What I don't see is any reason for the user to trust the flow shown.</div><div>So is the net result a debit against the user's account that is the user's liability?</div><div>And does the user have the responsibility to prove that the charge was not authorized by them?</div><div><br></div><div>This is not a service that i personally would be willing to use with a US bank.</div><div>Here is the site where i record by own thought on user consent: <a href="http://tcwiki.azurewebsites.net/index.php?title=User_Consent#Full_Title_or_Meme" target="_blank">http://tcwiki.azurewebsites.net/index.php?title=User_Consent#Full_Title_or_Meme</a></div><div>i am also working with the Kantara CIS group and Mark Lizar by building an OP that uses consent and show some results here: <a href="http://tcwiki.azurewebsites.net/index.php?title=Consent_Receipt_Construction" target="_blank">tcwiki.azurewebsites.net/index.php?title=Consent_Receipt_Construction</a></div><div><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="m_-8559208860832994185m_2355318165777347081m_-584231779411524940m_3878145780121875545gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peace ..tom</div></div></div></div>
<br><div class="gmail_quote">On Wed, Aug 15, 2018 at 10:56 AM, Ralph Bragg <span dir="ltr"><<a href="mailto:ralph.bragg@raidiam.com" target="_blank">ralph.bragg@raidiam.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div>
<div>


<div style="direction:ltr">
<div>Hi Tom,</div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">I’m personally really interested in the concerns you’ve raised especially when it comes to the OB part. </div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">This (below) is the consent guidelines that the OBIE currently have published with an update in train.</div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">OB would be really interested in your feedback and comments.</div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr">Kind regards,</div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr"><a href="https://www.openbanking.org.uk/wp-content/uploads/Consent-Model-Part-1-Implementation-Guide.pdf" target="_blank">https://www.openbanking.org.uk/wp-content/uploads/Consent-Model-Part-1-Implementation-Guide.pdf</a></div>
<div style="direction:ltr"><br>
</div>
<div style="direction:ltr"><br>
</div>
<div><br>
</div>
<div class="m_-8559208860832994185m_2355318165777347081m_-584231779411524940m_3878145780121875545m_-5035734763785135446ms-outlook-ios-signature"></div>
</div>
<div> </div>
<hr style="display:inline-block;width:98%">
<div id="m_-8559208860832994185m_2355318165777347081m_-584231779411524940m_3878145780121875545m_-5035734763785135446divRplyFwdMsg" dir="dir="ltr""><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> 32022724200n behalf of
<br>
<b>Sent:</b> Wednesday, August 15, 2018 16:55<br>
<b>To:</b> Financial API Working Group List<br>
<b>Cc:</b> Tom Jones<br>
<b>Subject:</b> [Openid-specs-fapi] i wish to resign from FAPI
<div> </div>
</font></div><div><div class="m_-8559208860832994185m_2355318165777347081m_-584231779411524940m_3878145780121875545h5">

<div dir="ltr">Please remove my name from the mailing list and from all future documentation produced by the wg.
<div><br>
</div>
<div>If you care to know why; i thought i would list my reasons (these just relate to the FAPI part):</div>
<div>1. FAPI is being used by the UK OB & PSD2 folk as proof of security compliance but that only applies to the connection between the ASPSP and TPP, the user is not involved.</div>
<div>2. Since this is the Open ID foundation, i believe it is not part of our work to consider any standard where the user is not identified.</div>
<div>3. We have no input on user consent to the process.</div>
<div><br>
</div>
<div>I also have concerns about the damage that will be reflected on the OpenID foundation by association with a group that appears to have no interests in the user or the financial and time loss to the user that will (IMHO) result from user unhappiness with
 the way that their private data and actual assets are put on display without their explicit consent. It seems that the ASPSP has no choice but to accept a payment request initiated by any entity approved by any member state including Malta (with known tolerance
 for Russian oligarchs) or the channel islands which have been used by UK banks to avoid money laundering regulations. I do understand that they can refuse the request, but that action can be challenged by any TPP, which is certain to wear down their fiduciary
 duty to their users. The OP in the cases i have seen is not defined, so the threats cannot be fully known.</div>
<div><br clear="all">
<div>
<div class="m_-8559208860832994185m_2355318165777347081m_-584231779411524940m_3878145780121875545m_-5035734763785135446gmail_signature">
<div dir="ltr">
<div>Peace ..tom</div>
</div>
</div>
</div>
</div>
</div>
</div></div></div>
</div>

</blockquote></div><br></div>
_______________________________________________<br>
Openid-specs-fapi mailing list<br>
<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="m_-8559208860832994185m_2355318165777347081m_-584231779411524940gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:'Open Sans';font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4"><div style="font-weight:400;color:rgb(51,51,51);line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div><div style="font-size:0.8125em;line-height:1.4">CTO</div><div style="font-size:0.8125em;line-height:1.4;margin:0px"><a href="http://www.google.com/url?q=http%3A%2F%2Fmoneyhubenterprise.com%2F&sa=D&sntz=1&usg=AFQjCNGUnR5opJv5S1uZOVg8aISwPKAv3A" style="color:rgb(131,94,165)" target="_blank"><img alt="Moneyhub Enterprise" height="50" src="http://content.moneyhub.co.uk/images/teal_Moneyhub-Ent_logo_200x50.png" title="Moneyhub Enterprise" width="200" style="border:none;padding:0px;border-radius:2px;margin:7px"></a></div><div style="padding:8px 0px"><div style="padding:8px 0px"><span style="color:rgb(0,164,183);font-size:11px">Moneyhub Financial Technology, 2nd Floor, Whitefriars Business Centre, Lewins Mead, Bristol, BS1 2NT</span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold"></span></div><span style="font-size:11px;line-height:15.925px;color:rgb(0,164,183);font-weight:bold">t: </span><span style="font-size:11px;line-height:15.925px">+44 (0)117 280 5120</span><br></div><div style="font-weight:400;color:rgb(97,97,97)"><font color="#00a4b7"><span style="font-size:11px;line-height:15.925px"><br></span></font><div style="color:rgb(51,51,51);line-height:1.4"><span style="font-size:0.75em">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). </span><span style="font-size:10.5px">Moneyhub</span><span style="font-size:0.75em"> Financial Technology is entered on the Financial Services Register </span><span style="font-size:0.75em;background-color:transparent">(FRN </span><span style="font-size:0.75em;background-color:transparent;color:rgb(0,164,183);font-weight:bold">561538</span><span style="font-size:0.75em;background-color:transparent">) at <a href="http://fca.org.uk/register" target="_blank">fca.org.uk/register</a>. </span><span style="font-size:10.5px">Moneyhub</span><span style="font-size:0.75em;background-color:transparent"> Financial Technology is registered in England & Wales, company registration number </span><span style="font-size:0.75em;color:rgb(0,164,183);font-weight:bold;background-color:transparent">06909772</span><span style="font-size:0.75em;background-color:transparent"> </span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;background-color:transparent"><font size="1">©</font></span><span style="font-size:0.75em;background-color:transparent"> . </span><span style="font-size:10.5px">Moneyhub</span><span style="background-color:transparent;font-size:0.75em"> Financial Technology Limited 2018. </span><span style="background-color:transparent;font-size:0.75em;color:rgb(136,136,136)">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Momentum Financial Technology Limited or of any other group company.</span></div></div></div></div></div></div></div></div></div></div></div></div></div></div>