Mener KI-agentenes inntog bare har gjort EUs Fida-rammeverk viktigere å få på plass

Europeiske banker og forsikringsselskaper har kjempet hardt mot innføringen av Fida, EUs rammeverk for deling av finansielle data, av frykt for å bli overkjørt av «big tech»-selskapene. Fintech-næringen mener tvert imot at Fida er det som må til for at Europa skal kunne beskytte seg selv, og mener at ChatGPT kan ha bidratt til å snu stemningen.

– Motstanden har handlet om å måtte dele data med «big tech»-selskapene. Men satt på spissen, så trenger ikke «big tech»-næringen Fida. Den har allerede dataene, brukerne og infrastrukturen. Det er vi i Europa som trenger Fida for å kunne beskytte våre data, sier Daniel Isdal Furset, generalsekretær i Fintech Norway.

På Stockholm Fintech Week i forrige uke hadde han et uformelt møte med representanter for fintech-organisasjonene i Sverige, Danmark, Finland og Estland for å finne ut hvordan man sammen kan se til at arbeidet med implementeringen av Fida ikke mister fart eller stopper opp helt.

Massiv forsikringsmotstand

Det har nemlig vært en helt reell fare for at noe slikt ville skje, ifølge Henrik Sjølie, som leder arbeidsgruppen for Fida i Fintech Norway, men ellers er daglig leder i Intellitech, som jobber med dataportabilitet for forsikringsbransjen.

– Til tider har det variert fra uke til uke, om det er helt stopp, fremdrift eller bare forsøk på å blokkere «bigtech»-selskapene fra å få tilgang til dataene, sier Sjølie, som også er «co-chair» i Fida-arbeidsgruppen til European Digital Finance Association (EDFA), som er paraplyorganisasjonen for de nasjonale fintech-organisasjonene.

– Motstanden fra forsikringsbransjen har vært massiv, særlig i Frankrike. Data er enda viktigere i forsikring enn i bank. Tariffer genereres jo basert på store datamengder med historiske data. Den franske assurandørforeningen har utalt at de mener de ikke vil være i stand til å konkurrere med de amerikanske bigtechaktørene dersom Fida innføres med den opprinnelige foreslåtte ordlyden, legger han til.

Sjølie forteller at spesialrådgiver i EU-kommisjonen, Michal Kwiatkowski har uttalt at kommisjonen aldri har opplevd så stor motstand mot et nytt rammeverk som mot Fida.

På den annen side slo den samme Kwiatkowski fast at Fida vil bli innført, selv om det er vanskelig å avgjøre når, det skjedde så sent som i januar i år på en konferanse i Oslo.

Bygger videre på PSD2

Før vi går videre med hvorfor Furset og Sjølie mener stemningen er i ferd med å snu, bør vi kanskje ta et lite tilbakeblikk på den regulatoriske utviklingen.

Betalingstjenestedirektivet PSD2, som ble innført høsten 2019, banet vei for «open banking» i Europa, selv om den prosessen har tatt mye lengre tid enn hva de fleste håpet på – ikke minst her i Norge, der irritasjonen over bankenes manglende vilje til å legge til rette for datadeling var årsaken til at Fintech Norway så dagens lys.

Omtrent siden PSD2 ble innført har det blitt snakket om veien videre fra «open banking» til «open finance». I 2023 kom forslagene som skulle gjøre dette til virkelighet. PSD3 og Payment Services Regulation (PSR) viderefører betalingsreguleringen, men der den nye EU-forordningen PSR skal sørge for at deler av regelverket blir innført direkte uten at hvert land behøver å vedta egne lover.

Fida derimot, er det som i praksis åpner for «open finance». Rammeverket legger til rette for at et bredt utvalg data om bank, forsikring, pensjon og investeringer skal kunne deles, og at dette skal gjøres gjennom standardiserte API-er. Ikke minst skal det være opp til forbrukere og bedrifter å avgjøre med hvem disse dataene skal kunne deles.

Derfor er det flere som har kalt Fida for «et GDPR for finansielle data».

Veien frem mot et endelig forslag for PSD3 og PSR har ikke vært uten friksjon, men det mye tyder på at de endelige forslagene til henholdsvis direktiv og forordning blir lagt frem før sommeren. Det innebærer blant annet at e-pengeforetak og betalingsforetak vil bli regulert på samme måte, og at selskaper som ikke er banker vil kunne få direkte tilgang til betalingssystemer.

Etter Pisp og Aisp kommer Fisp

Det vil også bli mulig for tredjepartsaktører å søke om status som Fisp, Financial Information Service Provider, i tillegg til de fra PSD2 kjente rollene som Pisp og Aisp.

Når det gjelder Fida har veien vært vanskeligere. Det har ikke bare å gjøre med frykten for «big tech». Forslaget som ble lagt frem i 2023 stilte rimelig heftige krav på hva som skulle deles. Alle forbrukere og bedrifter skulle inkluderes, uansett om de var aktive kunder eller ikke, og dataene som måtte deles skulle strekke seg syv år tilbake i tid.

– Nå ser det ut til at historiske data begrenses til fem år, det er bare aktive kunder som kan kreve data utlevert og data om de største bedriftene vil bli unntatt deling, forklarer Sjølie.

Et annet viktig prinsipp er «skjemaene» eller avtaleverket i Fida. Disse bestemmer hvordan dataene skal utleveres via standardiserte API-er og hvordan «data holders», altså bedriftene som sitter på dataene, skal kompenseres for datadelingen. Det var en av lærdommene fra PSD2, at dem som deler data må oppleve at delingen ikke bare fremstår som en kostnad eller ulempe.

– Det er fortsatt mye som er uklart her. Minst 25 prosent av et marked må velge et «schema» for at det skal være gyldig i et marked, slik at man kan få opp til fire ulike. Men om et marked er et land eller hele EU er litt flytende, og når det gjelder forsikring er det ikke avklart om man må ha egne «skjema» for bilforsikring, boligforsikring og så videre, sier Sjølie.

– Burde det ikke ligge i EUs interesse å forenkle dette så mye som mulig?

– Jeg vet det jobbes mye med standardisering av dette, blant annet i Tyskland, så jeg gjetter på at dette til slutt blir strammet opp, slik at for eksempel alle privatforsikringer vil bruke samme API-oppsett og regler.