Kravene til API’erne er reguleret i EU-lovgivningen. I praksis har det dog vist sig, at der løbende opstår udfordringer, som ikke er direkte håndteret i lovgivningen. Finanstilsynet etablerede derfor i 2021 et API-Forum, hvor pengeinstitutter og tredjepartsudbydere i fællesskab kunne drøfte og finde løsninger på de udfordringer.
Lov om betalinger pålægger pengeinstitutterne at gøre det muligt for deres kunder at anvende tredjepartsbetalingstjenesteudbydere. Tredjepartsbetalingstjenesteudbydere kan med en kundes udtrykkelige samtykke indhente oplysninger og iværksætte betalinger fra en kundes betalingskonto i et pengeinstitut. For at dette kan ske sikkert og effektivt skal pengeinstitutterne stille API’er til rådighed for tredjepartsbetalingstjenesteudbyderne. Reglerne for hvordan disse API’er skal indrettes er fastsat i Kommissionens delegerede forordning (EU) 2018/389 om stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation. I tillæg hertil har den fælles europæiske banktilsynsmyndighed, EBA, publiceret en række udtalelser, vejledninger og Q&As om forståelsen af indholdet i forordningen.
På trods af de supplerende fortolkningsbidrag, opstår der løbende fortolkningsspørgsmål og uafklarede problemstillinger mellem dem, der udstiller API’er, og dem, som anvender dem. Finanstilsynet nedsatte derfor API Forum, hvor alle relevante parter kan mødes, og sammen finde en god praksis for håndtering af udfordringer, der ikke var direkte regulerede.
Forummet består af to pengeinstitutter, tre datacentraler, otte tredjepartstjenesteudbydere samt Finans Danmark og Forsikring & Pension. Forummet har i fællesskab udarbejdet God praksis for PSD2-API’er, der indeholder konklusioner på fire af de emner, som er blevet behandlet i API Forum.
God Praksis for PSD2-API’ers primære målgruppe er aktører, som enten udstiller eller benytter API’erne. Det kan være pengeinstitutter, datacentraler, tredjepartsbetalingstjenesteudbydere, eller forbrugere, som gerne vil benytte tredjepartstjenesterne. Papiret er udtryk for en gensidig forståelse mellem deltagerne i API Forum. Der er således ikke tale om formelle krav, der følger af lovgivningen.
Indholdet af God Praksis for PSD2-API’er vil dermed ikke indgå som element i Finanstilsynets løbende tilsynsaktivitet, men Finanstilsynet forventer, at alle deltagere i API Forum vil gøre deres bedste for at leve op til anbefalingerne, da disse er udarbejdet i fællesskab mellem alle deltagerne i forummet.
Læs notatet om god praksis for PSD2-API'er
API Forum er blevet enige om en liste af de mest nødvendige informationer som tredjepartstjenesteudbydere bør medsende. Formålet med skabelonerne er at danne et ensartet udgangspunkt for efterfølgende dialog mellem den kontoførende betalingstjenesteudbyder og tredjepartstjenesteudbyderen. Skabelonen er tilgængelig i både en dansk- og engelsksproget version.