<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Hi all,</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The EBA has published its latest regulatory technical standards:</div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+%28EBA-RTS-2017-02%29.pdf">https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+%28EBA-RTS-2017-02%29.pdf</a></font><br></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">As the FAPI Working Group we responded to the previous draft:</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2?p_p_auth=uy1W7oVC&p_p_id=169&p_p_lifecycle=0&p_p_state=maximized&p_p_col_id=column-2&p_p_col_pos=1&p_p_col_count=2&_169_struts_action=%2Fdynamic_data_list_display%2Fview_record&_169_recordId=1617559">https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2?p_p_auth=uy1W7oVC&p_p_id=169&p_p_lifecycle=0&p_p_state=maximized&p_p_col_id=column-2&p_p_col_pos=1&p_p_col_count=2&_169_struts_action=%2Fdynamic_data_list_display%2Fview_record&_169_recordId=1617559</a><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">Here is a summary of the EBA response to our concerns:</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><b>1. Authentication confused with Authorisation</b></font></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The EBA acknowledged the difference but didn't change anything in the draft - see Comment 1.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><b>2. Ambiguity as to whether dynamic linking / SCA could take place on a single device</b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">See Comment 10 - the EBA provided further clarity around this point. SCA can take place on a single device.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><b>3. Monthly re-authorisation too onerous</b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The EBA have changed the requirement to re-authorise access from 30 to 90 days.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><b>4. ISO20022? </b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The EBA clarified that they are referring to ISO20022 message elements, not data format or transports. <i>"<span style="font-family:arial,sans-serif">Account servicing payment service providers shall also ensure that the dedicated interface uses ISO 20022 elements, components or approved message definitions, for financial messaging.' </span></i><b><br></b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><b>5. Why not OAuth</b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The RTS has strived to be technology neutral and while mention is made of OAuth2 in the comments they have explicitly decided not to refer to any specific technologies or standards beyond ISO20022.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><b>6. How will an ASPSP determine whether a request is "active" or "automated"</b></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">The EBA increased the allowed number of automated requests from 2 to 4 per 24 hours. They made no reference to how an ASPSP will determine the type of request.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Separately from the RTS it is also worth noting that the ERPB (Euro Retail Payments Board at the European Central Bank) has started a working group to look at technical standards for PSD2:</div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><a href="https://www.ecb.europa.eu/paym/retpaym/shared/pdf/6th-ERPB-meeting/Mandate_of_the_working_group_on_payment_initaition_services.pdf?8011ec3d660529b12af514e6e7bc8639">https://www.ecb.europa.eu/paym/retpaym/shared/pdf/6th-ERPB-meeting/Mandate_of_the_working_group_on_payment_initaition_services.pdf?8011ec3d660529b12af514e6e7bc8639</a></font><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="font-size:1em;font-weight:bold;line-height:1.4"><div style="color:rgb(97,97,97);font-family:'Open Sans';font-size:14px;font-weight:normal;line-height:21px"><div style="font-family:Arial,Helvetica,sans-serif;font-size:0.925em;line-height:1.4;color:rgb(220,41,30);font-weight:bold"><div style="font-size:14px;font-weight:normal;color:rgb(51,51,51);font-family:lato,"open sans",arial,sans-serif;line-height:normal"><div style="color:rgb(0,164,183);font-weight:bold;font-size:1em;line-height:1.4">Dave Tonge</div></div></div></div></div></div></div></div></div></div>

</div>