Afgelopen week nodigde Erik Reissenweber Maurice Jongmans uit voor de podcast 'Compliance Advises'. Maurice sprak over Online Payment Platform, fraude, compliance en PSD2. Een interessante kijk achter de schermen bij Online Payment Platform over alle extra maatregelen die bedoeld zijn om handel op platforms en marktplaatsen veiliger en zekerder te maken. 

Wat doe je precies?
Online Payment Platform (OPP) is een betalingsdienstverlener voor platforms en marktplaatsen: deze brengen veel verkopers samen met kopers. Ons team bestaat uit 32 medewerkers die zijn gevestigd in een monumentaal pand in Delft. Het is een prettige werkomgeving. Naast Marktplaats (je kent ons misschien van de escrowservice Gelijk Oversteken), faciliteren we meer dan 100 andere platforms. 

We zijn een gelicentieerde betalingsdienstverlener (PSP) bij de DNB (De Nederlandsche Bank), en sinds vorig jaar zijn we de eerste betalingsdienstverlener in Nederland met betalingsdiensten 7 & 8. 

Hoe is je Compliance-structuur?
Een onafhankelijke compliance-officer werkt bij OPP (2e lijn). In het bestuur heb ik zelf de ultieme verantwoordelijkheid voor compliance. De 1e lijn compliance-vraagstukken liggen bij het supportteam.

OPP heeft 3 soorten klanten: het platform, zijn gebruikers (verkopers) en de kopers. Dit vereist 3 niveaus klantbeoordelingen, wat is hoe we het hebben ontworpen. Op platformniveau: welke risico's heeft dit platform? Welke limieten passen we toe en welke stappen zijn nodig voor onboarding van kopers en verkopers.

De kopers worden geonboard en vervolgens kunnen we normaal gebruikersgedrag monitoren op basis van transactieverwachtingen. Onze database bevat meer dan 4 miljoen gebruikers waarvan we de transactiegeschiedenis kunnen gebruiken voor risicoanalyses en fraudedetectie.

We geloven dat geverifieerde en gecontroleerde gebruikers een meerwaarde zijn voor het platform.

''Wij faciliteren de betaling, anders moeten de platforms een vergunning voor betalingsdiensten hebben. De individuele gebruiker maakt gebruik van onze dienst om een juridische betaling via het platform uit te voeren.''

Wat zijn je belangrijke integriteitsrisico's?
We bieden de veiligste manier om elkaar te betalen, met een hoog niveau van controle en beveiliging. Echter, je kunt problemen en fraude nooit volledig uitsluiten. Er zullen altijd onvermijdelijke situaties zijn: een pakket gaat verloren, een gebruiker reageert niet, met het effect dat betalingen mogelijk worden uitgesteld of uitgevoerd. Dit kan resulteren in een negatieve gebruikerservaring en deze risico's zijn essentieel voor ons waar we de uiterste aandacht aan besteden.

Online reviews zijn ook een risico voor ons. Ontevreden mensen schrijven gemakkelijk reviews, tevreden klanten daarentegen hebben geen behoefte om een review te schrijven. Hierdoor is het voor ons essentieel om een reagerend bericht achter te laten en tevreden gebruikers te motiveren om een positieve review te schrijven. Op de lange termijn kunnen te veel negatieve reviews het imago van het bedrijf beschadigen.

Gelijk Oversteken heeft geen garantie? Als het misgaat, gaat het mis?
Het is soms niet mogelijk om te bepalen of de verkoper of de koper een fout heeft gemaakt. Maar beide partijen krijgen een vlag achter hun naam. Dit kan potentiële nadelen voor de toekomst inhouden. Deze gebruikers kunnen hetzelfde telefoonnummer, bankrekening of ID niet gebruiken bij het aanmaken van een nieuw account. Met een tweede vlag achter je naam kan het zijn dat je wordt afgesloten en geblokkeerd van alle platforms die we faciliteren. We hebben een verschil gemaakt in het aantal fraudegevallen op Marktplaats, deels dankzij onze systemen. Onze systemen kunnen fraude detecteren, betalingen bevriezen en daarmee fraude voorkomen.

Wat is het primaire doel van de PSD2-regulering? 
PSD2 reguleert veel verschillende dingen: vooral de realisatie van een professionele betalingsomgeving in Europa. De beveiliging van rekeningen met Sterke Klantauthenticatie (SCA) is toegenomen. Dit betekent ook dat meerdere partijen in de wetgeving zijn opgenomen. Als een platform betalingen uitvoert die via hun eigen rekeningen verlopen, zijn ze verplicht een vergunning aan te vragen. Deze platforms moeten op zoek naar een PSP met een focus op platforms en marktplaatsen (platform-PSP). Omdat er niet veel bestaan, komen deze platforms naar ons toe. Onze klanten hebben het vrij goed opgelost, alle betalingen voor platforms verlopen via onze vergunning. Dit is de belangrijkste reden waarom ze onze klant worden. 

Daarnaast is er toegang tot de rekening, wat betekent dat banken en andere partijen die online rekeningen aanbieden toegang moeten verlenen tot consumentrekeningen aan gelicentieerde derden. Deze gelicentieerde derden kunnen vervolgens de volgende twee diensten implementeren: betalingsinitiaties (een betaling uitvoeren) en rekeninginformatie (inzichten in accountinformatie).

Wat zijn de belangrijkste uitdagingen met betrekking tot PSD2 voor OPP? 
Voor ons is het de beschikbaarheid en kwaliteit van bankverbindingen (API), die vaak ontoereikend is. In Nederland zijn we verbonden met de zes belangrijkste banken, wat resulteert in een brede bereik. Als je naar de Duitse markt kijkt, zijn er meer dan 2000 banken. Dit zou betekenen dat je 2000 verbindingen zou moeten maken om alle banken aan te sluiten. Dit is beter gereguleerd in Engeland met slechts één systeem. In Europa kon iedereen hun eigen systemen reguleren. Er is geen gedwongen standaard voor API's, dit veroorzaakt grote verschillen.''

Zullen deze standaarden ontstaan?
De Berlijngroepstandaard is de grootste in Europa, enkele banken hebben deze standaard geaccepteerd, inclusief enkele Nederlandse banken. Iedereen zou tevreden zijn als deze standaard de belangrijkste zou worden. Of banken hier voordeel in zien en 'de stroom volgen', blijft de vraag. Dit zal sterk variëren tussen verschillende banken.

Heb je al een vergunning voor rekeninginformatie, ontvang je momenteel deze data?
Ja, we hebben de vergunning. We gebruiken dit voor het koppelen van je bankrekening. Momenteel is het proces om 1 cent over te maken. Dit is niet de beste manier om het te doen, als ik het zelf mag zeggen. Je misbruikt de betaling voor een ander doel. We zouden alleen persoonlijke gegevens opvragen als onze dienst daarom vraagt. Niet om rekeninginformatie geschiedenis terug te lezen. Dat is niet waar ons doel ligt.

Banken zouden ons eigenlijk de mogelijkheid moeten geven om beperkte informatie en toegang aan te vragen. Momenteel wordt alle informatie verstrekt, terwijl ik alleen het IBAN-nummer nodig heb. Ik denk dat dit een goede interactie met de gebruiker zou zijn. Hij of zij zou dan begrijpen welke informatie wordt gevraagd. Ik kan me voorstellen dat een applicatie die bedoeld is om te helpen met budgetteren meer details en informatie nodig heeft. Ik heb puur informatie nodig om een bankrekening te koppelen.

Welke andere ontwikkelingen veroorzaakt door PSD2 zie je momenteel?
Opkomende nieuwe partijen die ernaar streven het probleem van de 2000 Duitse banken op te lossen door een standaardverbinding te creëren, een soort technische aggregatie. Er zijn verschillende partijen, maar geen met 100% dekking in Duitsland. Ik verwacht ook meer diensten in het buitenland. iDEAL-achtige oplossingen, maar dat zal waarschijnlijk nog enige tijd duren. Een van de zaken die altijd opduiken bij PSD2 zijn de 'Big Tech' partijen. Er is Apple Pay, ze zijn nog niet erg aanwezig op het gebied van PSD2, maar ze hebben wel een grote sprong gemaakt in Nederland. Maar toch is er nog niet veel beweging in het eCommerce-betalingslandschap.

Specifiek standpunt van VBIN met betrekking tot het werkveld van PSD2
De Verenigde Betaalinstellingen Nederland (VBIN) richt zich nu op de kwaliteit en beschikbaarheid van de API's, het feit dat banken moeten voldoen en wat we kunnen verwachten van de specificaties van deze API's.

Advies van Maurice met betrekking tot compliance
Bij alles wat je doet op het gebied van compliance, kun je niet stoppen met nadenken over je acties en de onderliggende geest en gedachte van de regelgeving. Ik heb enkele voorbeelden gezien die hebben geholpen veel betere oplossingen te bouwen. Je moet ook nadenken over de toegevoegde waarde van de compliance-afdeling van je organisatie. Voor ons is het een toegevoegde waarde. Zoals het met velen is, geloof ik.''