Amsterdam, 18 juni 2013 – Mr. Frank Elderson, directeur van De Nederlandsche Bank, verantwoordelijk voor onder meer het betalingsverkeer, heeft vandaag in Hotel Mercure aan de Amstel een keynote speech gehouden ter gelegenheid van het Congres De Toekomst van het Betalingsverkeer. Hij besteedde daarin aandacht aan de veiligheid van het betalingsverkeer, aan de ‘governance’, ofwel het besturen, van het betalingsverkeer en aan SEPA, de gezamenlijk Europese betaalmarkt, waardoor wij straks in de eurozone overal op de zelfde manier kunnen betalen. De volledige speech: SPEECH FRANK E LDERSON VOOR HET CONGRES TOEKOMST VAN HET BETALINGSVERKEER
18 JUNI 2013 Dames en heren, Zoals u allen weet, streeft De Nederlandsche Bank onder meer naar een veilig, betrouwbaar en efficiënt betalingsverkeer. Een goed werkend betalingsverkeer waar we op kunnen rekenen. Dit is het moment van de metafoor. De geijkte vergelijking met het water. Dat ook altijd stromen moet. En de rivieren die moeten worden gekanaliseerd. En de dijken die moeten worden gebouwd. Maar ik heb besloten: ik dóe het niet meer. Het is tijd dat ze op watercongressen zichzelf vergelijken met het betalingsverkeer, dat het altijd moet doen, en veilig, betrouwbaar en efficiënt moet zijn. Dames en heren, Ik wil het met u hebben over drie dingen, namelijk: (1) over de veiligheid van het betalingsverkeer. En die veiligheid gaat wat mij betreft een groter accent krijgen. (2) Over wat we noemen de ‘governance’. Hoe besturen we het betalingsverkeer eigenlijk. En (3), om te beginnen, de nabije toekomst, namelijk SEPA.
1
I
Ik denk dat iedereen in deze zaal heel veel met de introductie van SEPA te maken heeft. Ik hoef u dus niet te vertellen dat dit een complex project is. En zoals dat gaat met complexe projecten, doen zich voortdurend allerlei problemen voor. En gelukkig ook succesjes. Want laten we onze zegeningen tellen. Het internetbankieren gaat relatief geruisloos over op SEPA. Veel bedrijven hebben het hele proces al achter de rug. De consument lijkt IBAN vrij moeiteloos te aanvaarden. En bijvoorbeeld de belastingdienst genereert inmiddels al elke maand grote volumes aan SEPA-betalingen. Zelfs de volleybalvereniging Emmer Compascuum, altijd diligent, is al geheel over. Echt waar. De tennisvereniging hier om de hoek, in Amstelveen, daarentegen - sowieso een zorgenkind - kijkt het nog even aan, weet ik uit zeer betrouwbare bron. Iets serieuzer: op dit moment merken we dat de introductie van de Europese incasso met heel wat hobbels te kampen heeft. Weliswaar werkt het bij veel bedrijven al naar behoren. Maar vooral grote bedrijven kampen met ‘bugs’ in ofwel hun eigen systemen, ofwel in de communicatie met de bank, ofwel bij de bank zelf. En vooral grote volumes met incasso’s lopen nog niet overal vlekkeloos. Ik ben ervan overtuigd dat al die problemen opgelost gaan worden. De feiten wijzen dat tot nu toe ook uit. Maar wat wel reden tot zorg is, is dat de tijd tot aan 1 februari kort is. Nog 161 werkdagen, om precies te zijn. Maar gelukkig zijn er nog 228 kalenderdagen. Ik denk dat die gaan samenvallen bij een aantal van ons. En ook al heeft een bedrijf misschien gecalculeerd dat die tijd voldoende is, er dreigen files te ontstaan. Bij veel bedrijven en bij banken zelf zijn de projecten vertraagd. En dat betekent dat er meer bedrijven geholpen moeten worden in de komende periode dan waarop was gerekend.
2
Wat te doen? Het is bijna overbodig te zeggen dat SEPA bij u allen topprioriteit verdient. Ik neem aan dat SEPA dat al heeft. Voor zover u namens een bedrijf in de zaal zit en nog niet zou zijn begonnen. Tja, dan vrees ik dat u de weekenden tot februari ook tot werkdagen zult moeten bombarderen. Ik wil hier nog wel één ding aan toevoegen. Ik weet dat in sommige andere landen men wat minder bezorgd is over de deadline van 1 februari. Dat kan komen door een opgeruimder inborst van de bevolking in die landen. Maar ik zie ook twee andere redenen. In de eerste plaats is de moeilijkste opgave van SEPA, de Europese incasso. Die wordt in veel andere landen een stuk minder gebruikt. In de tweede plaats maken andere landen veel ruimer gebruik van de zogenoemde conversiediensten. Die diensten stellen bedrijven in staat om met veel beperktere aanpassingen, en via die conversie, toch SEPA-compliant hun betalingsverkeer aan banken te kunnen aanbieden. In Nederland heeft het gebruik van conversiediensten nooit op heel erg veel sympathie kunnen rekenen. Uiteindelijk bereik je met conversiediensten niet het echte SEPA. Maar als tussenoplossing kan het wel degelijk nuttig zijn om de deadline van 1 februari te halen. Begrijp me goed. Ik houd hier niet een pleidooi om vooral conversiediensten te gaan gebruiken in plaats van een echte overgang op SEPA. Wat ik wel wil zeggen, is: overweeg of je het nodig hebt om de deadline te halen. Overweeg ook dat op tijd. Want ook conversiediensten zijn niet zonder meer een druk op de knop en, hup, je bent SEPA-compliant. Met name voor de incasso zal ook daar een zekere voorbereiding nodig zijn. Ik hoop dus dat in de gesprekken tussen banken en hun klanten die dreigen de deadline te missen, dat de conversiedienst zeker onderwerp van gesprek wordt. 3
Als overbrugging, als noodverband, als oplossing, vult u het maar in. Een laatste opmerking over conversiediensten. Wat zijn dat eigenlijk? Als ik een betaling in het oude format nu gewoon in mijn payments-engine omzet in een SEPA-betaling, is het dan een conversiedienst? Het antwoord is: neen. Een conversiedienst is een aparte dienst, die los staat van de payments engine van de bank. Een dienst die je afzonderlijk kunt afnemen. Ofwel bij een bank ofwel bij een andere leverancier. Het zou heel normaal zijn als je daar ook een fee voor moet betalen. In eerdere discussies is wel gezegd dat een conversiedienst moet worden aangeboden door een aparte juridische entiteit. Maakt u zich geen zorgen. Dat is niet nodig. Ik zeg dat laatste in mijn rol als ‘Overseer’ op SEPA. Daarmee ben ik aangekomen bij mijn tweede thema, de governance van het betalingsverkeer. Om het nog even bij SEPA te houden: DNB heeft daar twee petten opgezet gekregen door het ministerie van Financiën. Die van Overseer en die van Katalysator. DNB de Overseer. Met die pet op kijk ik streng. DNB als Overseer ziet erop toe dat de bancaire partijen zich aan de wet houden. Dat betekent dat we er bovenop zitten en de teugels nog strakker aantrekken de komende tijd. We zullen soms indringende gesprekken moeten voeren. En als het niet goed genoeg is, volgen er sancties. Eventuele sancties kunnen we pas na 1 februari volgend jaar toepassen. Dat is misschien een beetje gek, want dan is het in elk geval te laat. Dus bij het bepalen of sancties van toepassing zijn, zullen we volgend jaar ook kijken hoe de partijen nu geopereerd hebben. “Hoe strikt gaat DNB precies zijn volgend jaar?” wordt mij wel eens gevraagd. Mijn antwoord daarop is simpel: “Strikt”. 4
“Maar zijn jullie wel zorgvuldig?” Ook daarop is mijn antwoord simpel: “Natuurlijk”. Als ik mijn andere pet opzet, die van Katalysator, kijk ik op een poldermanier. Ik ben dan als het om SEPA gaat de voorzitter van het NFS, het Nationaal Forum voor de SEPA-migratie. In die rol polderen we alle belangen bij elkaar om tot optimale oplossingen voor iedereen te komen. Ook daar moet geregeld streng worden gekeken. Dus die Oversight-pet komt goed van pas. Want ook in de polder moeten knopen worden doorgehakt. En niet al die knopen zijn voor elke partij even plezierig. Het NFS is de SEPA-variant van wat we breder doen in het Maatschappelijk Overleg Betalingsverkeer, het MOB. Ik leg vaak buitenlandse collega’s uit dat wij in Nederland samenwerken op basis van gelijkwaardig overleg in het MOB. En dan doe ik hier tóch een uitstapje naar water, althans waterbeheer: vóór wij aan een bouwkundig project beginnen, zoals een waterkering, zetten we een keet neer voor de koffie. Die koffiekeet is niet onze hoofdtaak, maar we zouden hem niet willen missen, daar worden immers de werkafspraken gemaakt. Een model dat ook in Europa goede diensten zou kunnen bewijzen. Zoals u wellicht weet is er op Europese schaal een SEPA-council. Ook daaraan heb ik nu enkele malen deelgenomen. Maar de SEPA-council heeft nog te weinig slagkracht om echt iets te betekenen. Toch, met al het goede dat het poldermodel in zich heeft, moeten we ook onder ogen zien dat in de huidige tijdgeest niet alles alleen maar in goed overleg kan. Niet alles kan vrijwillig. Het Oversight van DNB – met uitzondering van onze nieuwe SEPA-taak – stoelt nog steeds op vrijwilligheid. En dat is niet meer van deze tijd. Het betalingsverkeer is te zeer een cruciale component in onze samenleving geworden om het oversight op de relevante spelers vrijblijvend te houden. Daar moet echt wetgeving voor komen. Voor een deel komt die eraan.
5
Met de komst van de Wet Financieel Toezicht voor Afwikkelondernemingen zou er volgend jaar een juridische basis voor het Oversight komen. Maar die wet dicht nog niet alle gaten. Bij een partij als IDeal kunnen we dan bijvoorbeeld nog steeds geen maatregelen afdwingen. En ik hoef u niet te vertellen hoe tolerant de maatschappij is voor verstoringen in IDeal. Voor een veilig, betrouwbaar en efficiënt betalingsverkeer in brede zin, wil DNB beschikken over een Betalingsverkeerwet waarin alles op dat terrein geregeld is. Daarover zijn we in gesprek met het ministerie van Financiën. Ik hoop dat we daarin slagen. Want het betalingsverkeer is te belangrijk om met de huidige juridische lappendeken tevreden te zijn. Wij moeten op alle schakels in de horizontale betalingsverkeerketen met één consistent kader aan bevoegdheden toezicht kunnen houden. Momenteel ontbreekt dit ene kader, en dat is niet meer van deze tijd. Ik kom aan mijn derde en laatste punt: de veiligheid van het betalingsverkeer. In april werden meerdere Nederlandse banken in Nederland getroffen door DDOS aanvallen. De zorg over deze aanvallen is groot bij De Nederlandsche Bank. Bij ons staat het bestrijden van cybercrime en de daarmee gepaard gaande digitale verstoringen hoog op de agenda. Vorige maand was er een ronde-tafelgesprek in de Tweede Kamer waar ik heb uitgelegd hoe ik tegen deze zaken aankijk. Door het steeds grotere gebruik van on-line betaalproducten en door de toegenomen verwachting bij consumenten dat het betalingsverkeer het altijd doet, is de tolerantie voor verstoringen afgenomen. Voor ons is dat een gegeven. Toch is het belangrijk om onder ogen te zien dat 100% beschikbaarheid een illusie is. Dat kan echt niet. Wat kan dan wel? We moeten aan drie dingen werken: 1.
preventie,
2.
beperking van de effecten áls het misgaat,
3.
en communicatie. 6
Wat de preventie betreft denk ik dat we als gehele sector meer accent op veiligheid en beschikbaarheid moeten gaan leggen. Ja, dat kan betekenen dat systemen soms minder efficiënt moeten zijn. Harmonisatie van systemen en van technologieën hebben duidelijke efficiencyvoordelen. Maar zij creëren ook SPOFs, single points of failure. Daar worden we kwetsbaar van. En daarmee worden we een nog aantrekkelijker doelwit voor cybercriminelen. En hoewel ik altijd uitstekend slaap, van cybercriminaliteit ga ik wel eens later naar bed. Er wordt door veel partijen ontzettend veel gedaan om de cybercrimineel van het lijf te houden. Maar we kunnen nooit op onze lauweren rusten. Het is een wedloop. De vijand slaapt nooit. Eén aspect wil ik hier specifiek onder de aandacht brengen: en dat is het zorgen voor diversiteit, het zorgen voor alternatieven. Als IDeal niet beschikbaar is, maar er is een eenvoudig alternatief wèl voor handen, dan zou dat prima zijn. Daarvoor is uiteraard wel nodig dat het alternatief niet afhankelijk is van dezelfde technologie als IDeal. Diversiteit in technologie is belangrijk. Dat is ook zo bij het pinnen in de winkel. Als de pin-terminal het niet doet, zou je op een andere manier moeten kunnen betalen die niet afhankelijk is van de pin-technologie. Er wordt nu nagedacht over zulke alternatieven. En misschien gaat de mobilisering van de samenleving daar bij helpen. Met mobilisering bedoel ik in dit geval dat de technologie mobiel is geworden. Mobiel internetbankieren heeft al een enorme vlucht genomen en mobiel betalen gaat eraan komen. Dus het verschil tussen een point-of-sale betaling en een remote-betaling is aan het vervagen. En misschien verdwijnt het wel helemaal.
7
Als die technieken straks even snel worden, maakt het echt niet meer uit of je straks een mobiele betaling – noem het maar een pinbetaling – met je telefoon doet, of een Internetbankierbetaling, dus een overschrijving, met je telefoon. Maar met mijn veiligheidspet op zeg ik dan: wel graag twee verschillende technologieën, die er niet door één oorzaak beide tegelijkertijd uit kunnen liggen. Dit is deels nog toekomst. Maar het geldt ook voor het oude vertrouwde alternatief, cash. Doet het pinsysteem het niet, dan moeten we er wel voor zorgen dat je cash uit de geldautomaat kunt krijgen. En dat kan gelukkig meestal, want haal je geld uit de GEA van je eigen bank, dan is dat een apart systeem, dat los staat van de pinketen. Ook daar is technische diversiteit dus van belang. Even terug: onze weerbaarheid voor cybercriminaliteit is dus afhankelijk van goede preventie en goede mitigerende maatregelen als het toch mis mocht gaan. Maar ook communicatie is belangrijk. Daar hebben we in het MOB, het Maatschappelijk Overleg Betalingsverkeer, op 15 april in een extra vergadering ook over gesproken. En we hebben er goede afspraken over gemaakt. Dat betekent dat we heel snel moeten communiceren. Snel betekent wel dat in het begin de communicatie vaak beperkt moet worden tot proces-informatie. En we gaan beter communiceren. Ook daarover zijn afspraken gemaakt: wie communiceert wat onder welke omstandigheden. In eerste instantie zal dat de bank die wordt getroffen, zelf communiceren. Is het een breder probleem dan zal de NVB namens de sector communiceren. Pas als het betalingsverkeer als zodanig in het geding is, zal DNB communiceren.
8
Of preciezer gezegd: het Tripartiete Crisis Overleg, het TCO, dat DNB voorzit en waaraan de AFM en Financiën deelnemen, zal dan communiceren. DNB of het TCO fungeren dan als ‘communicator of last resort’. Een rol die bij ons past. Zal dit alles in de toekomst verstoringen kunnen voorkomen? Nee. Niemand kan hierover garanties afgeven. De risicoloze samenleving bestaat niet. Ik wil ten slotte nog één blik vooruit werpen. Na 1 februari 2014 is SEPA niet af, maar staan we eigenlijk nog maar aan het begin. Er zullen nog elektronische mandaten gaan komen. Het mobiel betalen zal waarschijnlijk een vlucht nemen. Door tijd en gebruikerservaring zullen betaalproducten worden verfijnd en afgesteld. En DNB kijkt met interesse naar onze oosterburen en hun kortere levertijden van de SEPA Direct Debit. Met de komst van SEPA verandert ook het speelveld voor de betaaldienstaanbieders en banken. Innovatieve partijen zullen hun kansen grijpen. Eén van die innovaties zal zijn dat partijen toegang willen hebben tot de betaalrekening om zo nieuwe diensten te kunnen aanbieden. De Nederlandse betaalgemeenschap heeft daarover een position paper gemaakt en dat naar Europa gestuurd. Op één punt ziet het ernaar uit dat we misschien niet onze zin gaan krijgen. Dat is de Dual Consent approach. Wat is dat ook alweer? Als een derde partij toegang wil krijgen tot de betaalrekening van een persoon om bijvoorbeeld een betaling te kunnen doen of om het saldo te checken, dan brengt dat risico’s met zich mee. Die risico’s zijn wat mij betreft alleen acceptabel als zowel de consument als de bank instemmen met die rol van de derde partij. Dan kan het goed geregeld worden. Beiden moeten dus instemmen. Dual Consent. Onze Europese collega’s vrezen dat banken zulke derde partijen feitelijk niet zullen toelaten. En dat daardoor innovatie wordt tegengehouden. Daarom ontbreekt tot nu toe voldoende steun voor de Dual Consent approach. De Nederlandse markt is er wel voor. Ik daag u daarom uit. Voor zover hier payment service providers en banken in de zaal zitten: laat zien dat het kan. Niemand belet ons in Nederland om een Dual Consent approach feitelijk toe te passen. Ik zou dat toejuichen. 9
En het is veilig bovendien. En veiligheid, u zult het me niet kwalijk nemen, staat op nummer 1 bij mij. En ik denk dat dat uiteindelijk ook geldt voor u en de rest van de maatschappij. Innovatie is goed, heel goed. Maar als je banksaldo plotseling weggeïnnoveerd is, zou je toch graag hebben gehad dat de veiligheid op nummer één had gestaan. Mensen moeten erop kunnen vertrouwen dat hun overboekingen tijdig aankomen op de juiste plek. De routes van die geldstromen moeten voorspelbaar en bekend zijn. Dames en heren, Nu vereist de retorica, leest u er Quintillianus er maar op na, dat ik nu terugkeer naar de metafoor. De metafoor die ik overboord heb gegooid. De metafoor op grond waarvan ik SEPA zou afschilderen als een prachtige nieuwer waterweg, met strak gevoegde kademuren en efficiënte sluizenstelsels. Maar ik doe het niet. Ik verwijs u naar een interessant Congres over waterbeheer, morgen in Rotterdam. Ik dank u voor uw aandacht.
10