Aturan ‘perbankan terbuka’ CFPB adalah solusi dalam mencari masalah

Untuk memahami semua yang salah dengan CFPB yang baru aturan berbagi data keuangan konsumenyang diberi label “perbankan terbuka” Aturannya, penting untuk memahaminya keadaan saat ini.

Saat ini, jutaan nasabah bank secara rutin dan aman mentransfer data dari bank mereka ke fintech dan penyedia layanan lainnya dengan cara yang aman melalui antarmuka pemrograman aplikasi, atau API. Terdapat lebih dari 120 agregator data yang saat ini menghubungkan data bank ke penyedia layanan keuangan lainnya. Plaid, penyedia API terkemuka, terhubung dengan lebih dari 200 juta rekening bank. Financial Data Exchange, sebuah badan penetapan standar nirlaba yang dibentuk sebagai kemitraan antara bank dan fintech, memiliki API mapan yang menghubungkan 94 juta rekening bank dengan aman.

Hasil ini dicapai melalui negosiasi bertahun-tahun antara bank dan pengguna data lainnya. Mereka sebagian besar telah menggantikan screen scraping, dimana pihak ketiga memperoleh nama pengguna dan kata sandi pelanggan dan hanya menyedot data dari bank — dalam banyak kasus secara konstan dan mengalir dengan tujuan mengumpulkan dan menjual data tersebut. Bank telah berupaya untuk memastikan bahwa data dikirimkan dengan aman dan kepada pengguna yang berwenang, dan bank memiliki pengaruh karena mereka dapat mematikan aliran data jika terjadi praktik keamanan data yang buruk atau perilaku penipuan di pihak ketiga. Di sisi lain, bank juga ingin menyenangkan nasabahnya yang merasa keberatan jika data tidak ditransfer ke tempat yang diinginkannya. Hasilnya adalah keseimbangan yang wajar ketika bank mentransfer data atas permintaan nasabah namun tetap memiliki kemampuan untuk mencegah penipuan dan menjamin keamanan data tersebut.

Hasilnya, nasabah bank-bank terbesar di AS menerima berbagai layanan dari fintech, dengan aliran data yang konstan melalui API. Pelanggan mengelola keuangan mereka, melakukan pembayaran peer-to-peer melalui layanan seperti Venmo, membayar pajak, dan memantau kesehatan keuangan mereka secara keseluruhan — semuanya berhasil memanfaatkan data bank mereka. Satu-satunya kesenjangan dalam sistem ini adalah bank-bank kecil, yang dalam banyak kasus kekurangan sumber daya untuk bernegosiasi dan menerapkan API.

Khususnya, seluruh ekosistem ini tercipta dan berkembang tanpa campur tangan pemerintah. Namun, CFPB saat ini – yang belum pernah menemukan solusi berbasis pasar seperti yang mereka inginkan – telah memutuskan untuk membatalkan kebijakan yang menguntungkan ini. Aturannya mengganggu keseimbangan dan mengharuskan bank mengabaikan masalah privasi dan keamanan dan hanya membuka keran data pelanggan.

Hal yang paling luar biasa tentang peraturan CFPB adalah bahwa peraturan tersebut tidak mengakui dengan cara apa pun bahwa peraturan tersebut dikeluarkan pada saat terjadi penipuan online yang masif dan sedang berlangsung. Data dari Pusat Sumber Pencurian Identitas menemukan bahwa pelanggaran data berada pada titik tertinggi sepanjang masa dan mengalami peningkatan signifikan dari tahun ke tahun. Data dari berpengalaman juga menunjukkan bahwa lebih dari 70 juta konsumen terkena dampak pelanggaran data secara global pada tahun 2023, meningkat 30% dari tahun 2022.

Sebagai gambaran, bayangkan jika seseorang masuk ke cabang bank Anda dengan membawa koper dan meminta untuk menarik tunai semua yang ada di rekening giro dan tabungan Anda. Sebelum menyerahkan uang tunai, pihak bank tentu akan meminta identitas, menanyakan pertanyaan keamanan, menanyakan alasan penarikan, dan mungkin melakukan penyelidikan lebih lanjut. Aturan CFPB, di dunia online, menghambat kemampuan bank untuk melakukan hal-hal tersebut. Selama pihak ketiga menunjukkan otorisasi pelanggan, suatu formulir yang menunjukkan bahwa pelanggan ingin pihak ketiga mendapatkan datanya dari bank, peraturan CFPB mengharuskan bank untuk membagikan data pelanggan dengan kemampuan terbatas untuk menyimpannya demi alasan keamanan.

Demikian pula, meskipun tidak ada penipuan, bayangkan sebuah perusahaan baru yang memiliki praktik keamanan data yang buruk dan tidak tunduk pada peraturan pemerintah apa pun. Departemen Keuangan mengeluarkan laporan pada tahun 2022 menemukan bahwa “… hampir tidak ada pengawasan peraturan terhadap penyimpanan agregator data atas informasi keuangan konsumen yang serupa dengan pengawasan keamanan data (bank).” Meskipun terdapat banyak komentar yang meminta mereka melakukan hal tersebut, CFPB gagal untuk membebankan kewajiban apapun pada perusahaan tersebut. Aturannya tidak mencakup persyaratan keamanan, tidak ada persyaratan privasi, dan tidak ada kewajiban untuk menyediakan layanan pelanggan (daripada meminta pelanggan menelepon — tentu saja — banknya). Yang paling penting, CFPB menolak seruan untuk menetapkan bahwa tanggung jawab mengikuti data dan bahwa fintech atau perusahaan lain yang diretas bertanggung jawab atas kerugian pelanggan. CFPB menyerahkan urusan ini kepada bank – satu-satunya bank yang akan menjawab telepon – untuk membereskan kekacauan ini.

Selain semua kesalahan dalam pelaksanaannya, terdapat satu kelalaian yang luar biasa dan sewenang-wenang dalam aturan CFPB. CFPB mengacu pada peraturannya sebagai peraturan “perbankan terbuka”, sebuah istilah yang dipopulerkan di Inggris ketika peraturan tersebut bertujuan untuk mendorong transfer data bank. Namun UE dan Inggris telah mengambil langkah signifikan untuk melarang screen scraping dan sebagai gantinya mewajibkan penggunaan API. Survei yang dilakukan oleh The Clearing House menemukan sekitar 80% responden konsumen tidak menyadari bahwa penyedia aplikasi pihak ketiga mengumpulkan data keuangan pengguna; 73% tidak menyadari bahwa aplikasi fintech memiliki akses terhadap informasi nama pengguna dan kata sandi; dan 78% tidak menyadari bahwa agregator memiliki akses ke data pribadi meskipun aplikasi ditutup atau dihapus. Meskipun demikian, CFPB, sekali lagi mengabaikan komentar yang diterima mengenai usulan peraturannya, telah menolak untuk melarang screen scraping. Sementara Direktur CFPB Chopra secara terbuka mengklaim bahwa aturan tersebut akan “menghentikan” screen scraping. Aturan terakhir tidak melarang praktik ini secara hukum – aturan ini hanya menyatakan bahwa CFPB bisa melarangnya menyingkirkannya di masa depan di bawah otoritas yang ada.

Oh, dan ingat bagaimana bank-bank kecil berada pada tahap terakhir, yang umumnya kekurangan sumber daya untuk mengatur API. Itu CFPB mengecualikan mereka dari peraturan tersebut — semua bank di bawah $850 juta, yang mencakup sekitar 3.500 bank, atau hampir 84% bank yang beroperasi di AS. Dengan demikian, CFPB berupaya untuk mengatur hanya bank-bank yang sudah melakukan apa yang mereka inginkan.

Dalam hal ini, kepentingan industri perbankan sepenuhnya selaras dengan kepentingan nasabahnya. Mereka tidak ingin menjadi korban penipuan; mereka ingin menjaga privasi; mereka ingin menghindari biaya bank yang lebih tinggi yang akan timbul jika bank memerangi tingkat penipuan yang lebih tinggi dan menjalankan tugas CFPB, yang seharusnya mengawasi fintech.

Catatan Editor: Institut Kebijakan Bank adalah saat ini menantang aturan perbankan terbuka Biro Perlindungan Keuangan Konsumen di pengadilan.