Eurooppa on aina ollut digitalisaation suunnannäyttäjä globaalille yhteisölle ja muille maanosille. Euroopan Unionin direktiivit ja säädökset ovat EU:n tärkein keino, jolla EU pyrkii lisäämään digitalisaatiota, auttamaan eurooppalaisia kuluttajia luovimaan digitaalisissa ympäristöissä ja tuomaan digitalisaation hyödyt kaikkien eurooppalaisten ulottuville. Yksi pitkäkestoisimmista ja tärkeimmistä viime vuosien projekteista on ollut PSD2-direktiivin valmistelu ja lopulta toimeenpaneminen vuoden 2020 päätteeksi. Direktiivin ensimmäisen syntymäpäivän kunniaksi onkin hyvä tutustua siihen, sekä motiiveihin, jotka sen synnyttivät ja sen seurauksiin eurooppalaisten kuluttajien elämään.
Miksi PSD2-direktiivi laadittiin?
2000-luvun aikana internetin voitonmarssi huipentui, ja tuskin kukaan on enää eri mieltä siitä, että se on maailman tärkein työkalu talouden ja muiden yhteiskunnan toimintojen kannalta. Esimerkiksi verkossa tehtävät ostokset ovat elintärkeitä sekä EU:n bruttokansantuotteen, että syrjäseutujen elämänlaadun kannalta. Siksi verkkokaupoista haluttiin direktiivillä tehdä mahdollisimman turvallisia kuluttajille.
Toinen motiivi direktiivin taustalla liittyi EU:n ihanteeseen vapaasta markkinataloudesta sekä yritysten reilusta kilpailusta. Ennen direktiiviä verkkokauppojen ja muiden yritysten mahdollisuudet hyödyntää verkkopankkitunnuksia vahvan tunnistautumisen metodina. Tämä oli ennen rajoitettu mahdollisuus, mikä soti vastaan EU:n periaatetta markkinoiden vapaudesta. Pankkitunnistautumisen mahdollistumisella haluttiin saada aikaan se, että pankkien lisäksi muutkin yritykset voisivat käyttää tasavertaisesti vahvaa tunnistautumista liiketoimintansa edistämiseen. Tästä hyötyvät niin kuluttajat, yritykset kuin koko Euroopan talous. Esimerkiksi sijoittaminen verkon kautta on yhä useammalle houkutteleva vaihtoehto, kun verkossa toimivat sijoituspalvelut voivat tehdä enemmän taatakseen asiakkailleen turvallista palvelua.
Miten direktiivi käytännössä toimii?
Suurten visioiden, motiivien ja lupausten lisäksi tarvitaan kuitenkin konkreettisia tekoja, jotta direktiivistä on täyttämään tarve, jota varten se on luotu. DSP2-direktiivi on Suomessa otettu käyttöön vuonna 2020, kun nykyinen laki maksupalveluista on hyväksytty. Käytännössä direktiivi toimii kuluttajalle yksinkertaisen kaavan mukaan:
- Kun laki maksupalveluista laadittiin, yritysten oli otettava vahva tunnistautuminen käyttöön sähköisten maksutapahtumien yhteydessä.
- Kun yritys haluaa myydä tuotetta verkossa, se käyttää ulkopuolisen palveluntarjoajan palvelua, jonka avulla kuluttaja voi suorittaa vahvan tunnistautumisen yrityksen verkkokaupassa. Ennen mahdollisuus tähän tunnistautumiseen oli rajoitetumpi.
- Kuluttajan on annettava suostumuksensa palveluntarjoajille, että näillä olisi pääsy tämän tilitietoihin ja näin palveluntarjoajat voivat toimia kuluttajan ja yrityksen välisenä välikätenä, ja taata vahvan tunnistautumisen mahdollisuuden.
Suomalaisten kuluttajien näkökulmasta käytännön verkko-ostosten tekeminen muuttui vähemmän kuin monissa muissa Euroopan maissa. Tämä johtui siitä, että Suomessa vahvaa tunnistautumista on käytetty laajemmin ja pidempään, kuin monissa muissa Euroopan maissa.
PSD2-direktiivin riskit
Kuten kaikkeen toimintaan, johon liittyy pankki- ja tilitietoja, myös direktiivin vaatimaan vahvaan tunnistautumiseen liittyy aina teoreettinen tietoturvariski. Koska vahva tunnistautuminen on tulossa yhä kiinteämmäksi työkaluksi, jolla asioita hoidetaan Euroopan Unionissa, myös sen riskit ja uhat on hyvä tietää.
Suurimpana riskinä PSD2-direktiivissä on se, että vahvan tunnistautumisen kautta kuluttajien tietoihin pääsisivät käsiksi tahot, joilla ei ole siihen oikeutta. Tämä on kuitenkin mahdollista välttää siten, että jos epäilee kuluttajan ja yrityksen välisenä siltana toimivan palveluntarjoajan luotettavuutta, tarkistaa aina Finanssivalvonnan rekisteristä, että onko kyseinen palveluntarjoaja saanut sertifikaatin, joka todistaa tarjoajan luotettavuuden.
