FiDA 2025: läget nu och vad som faktiskt är på bordet

Skrivet av Sofie Kulling

Efter rykten om tillbakadragande i början av 2025 går FiDA (EU:s ramverk för ”open finance”) vidare i trilogförhandlingar — men i en förenklad riktning. Fokus skiftar mot individers och SME:s data, Big Tech riskerar att stängas ute som licensierade aktörer och äldre/avslutade data föreslås lämnas utanför scope. För banker, försäkringsbolag och fintechs betyder det att förbereda styrning, processer och UX kring kundstyrd datadelning snarare än att pausa arbetet.

1) Vad är FiDA – kort bakgrund

Kommissionens förslag lades den 28 juni 2023 för att skapa ett rättsligt ramverk för ansvarsfull åtkomst och delning av kunddata inom finanssektorn (”open finance”). Målet är att ge kunder kontroll över sin data och att standardisera roller, gränssnitt och skyddsvallar mellan datahållare och dataanvändare. Europaparlamentet antog sin förhandlingsposition den 18 april 2024, och ministerrådet enades om sin inriktning den 4 december 2024.

2) Var står processen 1 september 2025?

Efter en turbulent vinter med uppgifter om att FiDA kunde hamna på återtagningslistan i kommissionens arbetsprogram, bekräftades att filen ligger kvar och trilogerna återstartade i juni 2025. Bedömningen i flera analyser är att ett kompromisspaket kan bli klart mot slutet av 2025, men osäkerheten är reell tills sluttexten är på plats.

Tidslinje (kort):

  • 28 juni 2023: Kommissionens förslag.

  • 18 april 2024: Parlamentets position.

  • 4 december 2024: Rådets allmänna inriktning.

  • Februari–mars 2025: Läckta utkast om möjlig återtagning → skapar osäkerhet.

  • Juni 2025: Triloger återupptas; arbete fortsätter under hösten.

3) Förenklingsspåret 2025 – vad pekas ut?

Det informella non-paper som cirkulerade i maj 2025 pekar ut flera förändringar som nu präglar förhandlingarna:

  • Gatekeepers (DMA) utesluts från FISP-licensiering. Stora onlineplattformar som klassas som DMA-gatekeepers ska inte kunna bli Financial Information Service Providers (FISP), för att undvika intressekonflikter och datapositioner.

  • Snävare kundomfång. Förslagen fokuserar på individer och SME; stora företag pekas i flera analyser utanför det primära scopet.

  • Dataminimering över tid. Transaktionsdata äldre än ~10 år och data från avslutade avtal föreslås utanför scope.

  • Autentisering. EU Digital Identity Wallet (EUDI) lyfts som standard för stark kundautentisering och beviskedja, i takt med att den rullas ut i medlemsstaterna.

  • Tidsfönster. Flera branschbedömningar förordar längre införande (ca 24–30 månader, snarare än 18) efter antagande, men exakta övergångsregler avgörs i sluttexten.

Viktig rättelse: Det är inte en expansionslinje som gör stora onlineplattformar till centrala FiDA-aktörer — tvärtom diskuteras att utesluta DMA-gatekeepers från FISP-rollen.

4) Roller, skyldigheter och tillsyn – kärnan som ligger fast

Även med förenklingar kvarstår huvudkomponenterna:

  • Datahållare (t.ex. banker/försäkring) får delningsskyldigheter via standardiserade gränssnitt för definierade datakategorier; kunderna ska kunna ge, se, ändra och återkalla behörigheter i en permission-/samtyckes-dashboard.

  • Dataanvändare behöver auktorisation som FISP med krav på styrning, säkerhet, klagomålshantering m.m. (inkl. program of operations och security-policy).

  • DORA-koppling. FiDA innebär att FISP kommer in under DORA (digital operativ resiliens), vilket drar med sig krav på IKT-riskstyrning, incidentrapportering och tredjepartsstyrning.

5) Vad betyder detta i praktiken de närmaste 6–18 månaderna?

Sluta gissa, börja avgränsa. Utgå från att scope blir smalare än 2023-förslaget. Kartlägg vilka datakategorier ni har i räckvidd (per affärsområde), märk upp >10 år/avslutade och dokumentera var dessa ligger. Resultatet styr integrationer, riskbedömningar och prioriteringar.

Designa samtyckesupplevelsen. Skissa dashboard-flöden som uppfyller kraven på ”proof-of-permission”: tydlig giltighetstid, enkel återkallelse, loggbar spårbarhet och — när EUDI blir tillgänglig — stöd för den identitetsnivå som krävs.

Välj väg för FISP. Bedöm om ni behöver egen licens (produktstrategi, kontroll, P&L) eller kan arbeta via partnerskap. Säkerställ att er DORA-styrning räcker om ni själva blir dataanvändare (krav på kontroller, leverantörer och incidentprocesser).

Var tydliga internt. Förklara att FiDA inte är skrotat men omformas. Det reducerar ”vänta-och-se”-risken och påskyndar förberedelser som oavsett utfall är nyttiga (datakataloger, behörighetsstyrning, loggning).

6) FAQ – tre snabba klarlägganden

Är Big Tech en primär vinnare i FiDA? Inte enligt förenklingsspåret — DMA-gatekeepers kan hindras från att bli FISP.

Kommer all historisk data omfattas? Nej, förslag pekar mot tidsgräns (ca 10 år) och att avslutade avtal hamnar utanför.

När kan vi behöva vara klara? Exakta datum avgörs i sluttexten, men flera bedömningar pekar på antagande sent 2025 och 24–30 mån införande. Planera för det spannet, inte för snabbaste möjliga.

Relaterad läsning:

Så stärker du AML-kompetensen i praktiken

Från passiv regelefterlevnad till aktiv riskhantering

Källor:

arthurcox.foleon.comOsborne Clarke FintechAxway Blog

FinanceEuropaparlamentetConsilium

riskandcompliance.freshfields.comtechnologyquotient.freshfields.comEuropean Commissionarthurcox.foleon.comtaylorwessing.com

Finance

Europaparlamentet

Consilium

arthurcox.foleon.comOsborne Clarke Fintech

CCIA

Axway Blog

taylorwessing.comsimmons-simmons.comadesso.ch

adesso.chEuropean Commission

Axway Blog

Loyens & Loeff

taylorwessing.comsimmons-simmons.com

Finance

Sofie Kulling
Föregående

När lyxvillan blir beviset: Därför måste fastighetsmäklarföretag ta AML-kraven på allvar
Nästa

Fastighetsmäklarbranschen & AML 2025: från dokument till fungerande efterlevnad