Mener KI-agentenes inntog bare har gjort EUs Fida-rammeverk viktigere å få på plass

– Motstanden har handlet om å måtte dele data med «big tech»-selskapene. Men satt på spissen, så trenger ikke «big tech»-næringen Fida. Den har allerede dataene, brukerne og infrastrukturen. Det er vi i Europa som trenger Fida for å kunne beskytte våre data, sier Daniel Isdal Furset, generalsekretær i Fintech Norway.

På Stockholm Fintech Week i forrige uke hadde han et uformelt møte med representanter for fintech-organisasjonene i Sverige, Danmark, Finland og Estland for å finne ut hvordan man sammen kan se til at arbeidet med implementeringen av Fida ikke mister fart eller stopper opp helt.

Det har nemlig vært en helt reell fare for at noe slikt ville skje, ifølge Henrik Sjølie, som leder arbeidsgruppen for Fida i Fintech Norway, men ellers er daglig leder i Intellitech, som jobber med dataportabilitet for forsikringsbransjen.

– Til tider har det variert fra uke til uke, om det er helt stopp, fremdrift eller bare forsøk på å blokkere «bigtech»-selskapene fra å få tilgang til dataene, sier Sjølie, som også er «co-chair» i Fida-arbeidsgruppen til European Digital Finance Association (EDFA), som er paraplyorganisasjonen for de nasjonale fintech-organisasjonene.

– Motstanden fra forsikringsbransjen har vært massiv, særlig i Frankrike. Data er enda viktigere i forsikring enn i bank. Tariffer genereres jo basert på store datamengder med historiske data. Den franske assurandørforeningen har utalt at de mener de ikke vil være i stand til å konkurrere med de amerikanske bigtechaktørene dersom Fida innføres med den opprinnelige foreslåtte ordlyden, legger han til.

Sjølie forteller at spesialrådgiver i EU-kommisjonen, Michal Kwiatkowski har uttalt at kommisjonen aldri har opplevd så stor motstand mot et nytt rammeverk som mot Fida.

På den annen side slo den samme Kwiatkowski fast at Fida vil bli innført, selv om det er vanskelig å avgjøre når, det skjedde så sent som i januar i år på en konferanse i Oslo.

Før vi går videre med hvorfor Furset og Sjølie mener stemningen er i ferd med å snu, bør vi kanskje ta et lite tilbakeblikk på den regulatoriske utviklingen.

Betalingstjenestedirektivet PSD2, som ble innført høsten 2019, banet vei for «open banking» i Europa, selv om den prosessen har tatt mye lengre tid enn hva de fleste håpet på – ikke minst her i Norge, der irritasjonen over bankenes manglende vilje til å legge til rette for datadeling var årsaken til at Fintech Norway så dagens lys.

Omtrent siden PSD2 ble innført har det blitt snakket om veien videre fra «open banking» til «open finance». I 2023 kom forslagene som skulle gjøre dette til virkelighet. PSD3 og Payment Services Regulation (PSR) viderefører betalingsreguleringen, men der den nye EU-forordningen PSR skal sørge for at deler av regelverket blir innført direkte uten at hvert land behøver å vedta egne lover.

Fida derimot, er det som i praksis åpner for «open finance». Rammeverket legger til rette for at et bredt utvalg data om bank, forsikring, pensjon og investeringer skal kunne deles, og at dette skal gjøres gjennom standardiserte API-er. Ikke minst skal det være opp til forbrukere og bedrifter å avgjøre med hvem disse dataene skal kunne deles.

Derfor er det flere som har kalt Fida for «et GDPR for finansielle data».

Veien frem mot et endelig forslag for PSD3 og PSR har ikke vært uten friksjon, men det mye tyder på at de endelige forslagene til henholdsvis direktiv og forordning blir lagt frem før sommeren. Det innebærer blant annet at e-pengeforetak og betalingsforetak vil bli regulert på samme måte, og at selskaper som ikke er banker vil kunne få direkte tilgang til betalingssystemer.

Det vil også bli mulig for tredjepartsaktører å søke om status som Fisp, Financial Information Service Provider, i tillegg til de fra PSD2 kjente rollene som Pisp og Aisp.

Når det gjelder Fida har veien vært vanskeligere. Det har ikke bare å gjøre med frykten for «big tech». Forslaget som ble lagt frem i 2023 stilte rimelig heftige krav på hva som skulle deles. Alle forbrukere og bedrifter skulle inkluderes, uansett om de var aktive kunder eller ikke, og dataene som måtte deles skulle strekke seg syv år tilbake i tid.

– Nå ser det ut til at historiske data begrenses til fem år, det er bare aktive kunder som kan kreve data utlevert og data om de største bedriftene vil bli unntatt deling, forklarer Sjølie.

Et annet viktig prinsipp er «skjemaene» eller avtaleverket i Fida. Disse bestemmer hvordan dataene skal utleveres via standardiserte API-er og hvordan «data holders», altså bedriftene som sitter på dataene, skal kompenseres for datadelingen. Det var en av lærdommene fra PSD2, at dem som deler data må oppleve at delingen ikke bare fremstår som en kostnad eller ulempe.

– Det er fortsatt mye som er uklart her. Minst 25 prosent av et marked må velge et «schema» for at det skal være gyldig i et marked, slik at man kan få opp til fire ulike. Men om et marked er et land eller hele EU er litt flytende, og når det gjelder forsikring er det ikke avklart om man må ha egne «skjema» for bilforsikring, boligforsikring og så videre, sier Sjølie.

– Burde det ikke ligge i EUs interesse å forenkle dette så mye som mulig?

– Jeg vet det jobbes mye med standardisering av dette, blant annet i Tyskland, så jeg gjetter på at dette til slutt blir strammet opp, slik at for eksempel alle privatforsikringer vil bruke samme API-oppsett og regler.

Men hva er det så som har ført til at Fintech Norway-duoen mener at også de store europeiske aktørene kan være i ferd med å gå fra Fida-frykt til Fida-støtte.

I august i fjor mottok EIOPA, det europeiske tilsynsorganet for forsikring, et spørsmål om en KI-bot skal bli regnes som forsikringsdistributør i europeisk øyemed. Dette etter at ChatGPT var blitt brukt til å fremforhandle et forsikringstilbud.

Spørsmålet ble nylig videresendt til EU-kommisjonen som nå må ta stilling til om KI-agenter allerede har tatt en rolle som aktør i Europa.

– Personlig tror jeg dette vil føre til at både banker og forsikringsselskaper innser hvorfor regulering er viktig og at det med KI-agentenes inntog faktisk handler minst like mye om beskyttelse som økt konkurranse, sier Sjølie.

– Fordi dette også utfordrer hele ideen med en API-basert infrastruktur?

– Definitivt. Hvis det ikke kommer en regulering nå, vil det jo være fritt frem for de amerikanske KI-agentene å plukke hvilke data de ønsker, uten at aktørene har kontroll over hvem som henter hvilke data. «Data holders» vil da heller ikke få kompensasjon for datadelingen, noe som er foreslått at de skal få i Fida. Plutselig er det data Meta, Alphabet og Open AI som sitter med markedets beste tariffer. Det er en utvikling ingen i bransjen ønsker seg. Samtidig vet vi at forbrukers kontroll over egne data når de havner i hendene på amerikanske bigtech-selskaper er svært begrenset.

– Så når det kommer til Fida, er det egentlig slik at finansnæringen og fintech-selskapene faktisk har felles interesser?

– Ja, jeg mener KI agentenes inntog har snudd bildet opp ned. Datadeling skjer allerede i dag i stor utstrekning, men forventningen er at KI-agenter vil gjøre at aktiviteten øker betraktelig. De som vil tjene på at deling av data ikke reguleres er de store, amerikanske selskapene, mens etablert næring sitter igjen med svekket kontroll og ingen kostnadsdekning, samtidig som fintechs har begrensede muligheter til å innovere.