Kohderyhmille · Rahoituslaitokset

Saavutettavuus pankeille, finteceille ja maksuyhtiöille — rakennettu säänneltyihin ympäristöihin.

Pankit kohtaavat saavutettavuusriskin kahdella akselilla: ADA Title III, jonka rahoituspalveluiden kanta on yksi tiheimmistä Yhdysvaltain digitaalisen saavutettavuuden oikeudenkäynneissä, ja eurooppalainen esteettömyysdirektiivi (EAA), joka sisällyttää kuluttajien pankkipalvelut nimenomaisesti soveltamisalaan 2 artiklan 2 kohdan e alakohdan nojalla. Mobiilisovellukset, kaksivaiheisen tunnistautumisen prosessit, PDF-tiliotteet ja IVR vaativat huolellista käsittelyä. Tämä sivu sisältää 30-kohtaisen WCAG 2.2 AA -tarkistuslistan ja alustakohtaiset huomiot erityisesti säännellyissä ympäristöissä toimivien rahoituslaitosten insinööritiimeille.

Suorita ilmainen WCAG 2.2 -skanneri → Siirry 30-kohtaiseen tarkistuslistaan

Miksi rahoituslaitokset ovat saavutettavuuden ensisijainen kohde

Kaksi valvontaviranomaista, yksi digitaalisen saavutettavuuden tiheimmistä kanteista.

Yhdysvalloissa rahoituspalvelut ovat kuuluneet viiden suurimman sektorin joukkoon ADA Title III:n digitaalisen saavutettavuuden kanteissa joka vuosi siitä lähtien, kun kantaa alettiin seurata laajamittaisesti. Pankit ovat sovitelleet julkisuutta saaneita ryhmäkanteita saavuttamattomista mobiilisovelluksista, merkitsemättömistä PDF-tiliotteista ja IVR-järjestelmistä, jotka eivät tarjonneet ruudunlukijaa käyttäville pääsyä ihmisagenttien luo. "Ei fyysistä yhteyttä" -puolustus — ei koskaan vahva vähittäispankkitoiminnalle, jolla on konttoreita — on heikentynyt entisestään pelkästään verkossa toimivien neopankkien kasvaessa; useat piirikunnat ovat hylänneet sen suoraan, ja rinnakkaiset kannetilanteet Kalifornian Unruh-lain ja New Yorkin osavaltion ihmisoikeuslain nojalla ovat kasvattaneet kokonaisaltistumista myös silloin, kun liittovaltion vaatimukset kaatuvat.

Euroopan unionissa eurooppalainen esteettömyysdirektiivi (EAA) mainitsee nimenomaisesti "kuluttajien pankkipalvelut" 2 artiklan 2 kohdan e alakohdassa — kattaen henkilöasiakkaiden käyttö- ja säästötilit, kuluttajalainat, asuntolainat sekä niiden toimittamiseen käytettävät digitaaliset kanavat. Julkisen sektorin pankkeja sitoi jo saavutettavuusdirektiivi (WAD) vuodesta 2018 lähtien; EAA tuo mukaan yksityisen sektorin ja kuluttajiin suuntautuvan fintech-kerroksen. Mikroyrityspoikkeus ei realistisesti vapauta yhtään todellista pankkia tai lisensöityä maksuinstituutiota, ja EN 301 549 — johon EAA viittaa teknisen vaatimustenmukaisuuden osalta — perustuu WCAG 2.2:n onnistumiskriteereihin.

Tuotekohtaiset riskipinnat keskittyvät viidelle alueelle. Ensinnäkin kaksivaiheisen tunnistautumisen prosessit, joissa käytetään aggressiivisia 30–60 sekunnin SMS-OTP-aikarajoituksia ja kuuden kentän koodipaneeleita ilman oikeaa aria-merkintää. Toiseksi PDF-tiliotearkaistot ja verolomakkeiden toimittaminen — yksikin merkitsemätön, PDF/UA-vaatimustenmukaisuudesta poikkeava PDF riittää tukemaan vaatimuskirjettä. Kolmanneksi IVR-järjestelmät ilman varhaista "paina 0 saadaksesi agentti" -uloskäyntiä käyttäjille, jotka eivät voi navigoida valikkorakenteita kuuntelemalla. Neljänneksi allekirjoitusalustat ja henkilöllisyyden varmistusprosessit, jotka edellyttävät vain hiirellä toimivaa raahaamista tai merkitsemättömiä allekirjoituswidgettejä. Viidenneksi mobiilipankkisovellusten pinnat — VoiceOver / TalkBack -merkintä, biometristen kehotteiden saavutettavuus ja lukitusnäytön widgetit, kukin erillinen auditointipinta kullakin alustalla.

Toimettomuuden hinta on konkreettinen ja osuu kahteen paikkaan samanaikaisesti: oikeudelliseen altistumiseen ja maineeseen kohdistuvaan riskiin. Yhdysvaltain pankkeja vastaan sovitellut ADA-kanteet ovat tyypillisesti olennaisesti korkeampia kuin puhtaassa verkkokaupassa havaittu 20 000–50 000 dollarin ensimääräinen perustaso, koska kantajien puolen asianajajat tietävät valvontakerroksen olevan tiheämpi — reilun pankkitoiminnan näkökulma, CFPB-suostumusmääräyksen mahdollisuus, OCC:n valvontakysymys — ja hinnoittelevat sen mukaisesti. EU:ssa EAA-sakkojen aikataulu on asetettu jäsenvaltiatasolla ja vaihtelee matalista viisitahtisista summista joissain lainkäyttöalueissa merkittävään prosenttiosuuteen liikevaihdosta toisissa; Saksa, Ranska, Italia, Espanja ja Alankomaat perustivat täytäntöönpanotiimit vuonna 2025 ja aloittivat ensimmäisten sakkojen antamisen vuonna 2026. Mainevahinko kasvaa: yksikin kuvakaappaus saavuttamattomasta mobiilipankkisovelluksen näytöstä, jonka asiakas laajoja vammaisyhteisöjä seuraavana jakaa, on liikuttanut osakkeen hintaa ainakin yhdessä suuressa yhdysvaltalaisessa pankissa viimeisen viiden vuoden aikana.

Hyvä uutinen on, että rahoituslaitosten saavutettavuudella on tunnistettava muoto. Samat tusinan verran vikatiloja toistuvat käytännössä jokaisessa vähittäispankin, neopankin tai maksusovellustuotteen auditoinnissa, ja useimmat ovat korjattavissa muotoilutoken-muutoksilla, jaetuissa komponenttikirjastoissa tai kohdennetussa insinöörisprintissä — ei täydellisessä uudelleenrakentamisessa. Alla oleva tarkistuslista on se, jonka annamme rahoituslaitosten insinööri- ja vaatimustenmukaisuustiimeille, kun he kysyvät "mistä me oikeasti aloitamme?" — kuusi pintaa, viisi konkreettista tarkistusta pintaa kohden, kaikki ankkuroituina WCAG 2.2 AA:han ja EN 301 549:n toiminnallisiin suorituskykyvaatimuksiin, joihin EAA teknisesti viittaa.

30-kohtainen tarkistuslista FI-tuotteille

Kuusi pintaa × viisi tarkistusta. Tulosta, merkitse, auditoi.

  1. 01 Tili ja rekisteröityminen

  2. 02 Tunnistautuminen ja 2FA

  3. 03 Tapahtumat ja maksut

  4. 04 Tiliotteet ja asiakirjat

  5. 05 Mobiilisovelluksen pinnat

  6. 06 Asiakastuki

Alustakohtaiset toteutushuomiot

Missä tarkistuslista toteutuu koodissa, alustoittain joita FI-tiimit oikeasti käyttävät.

Temenos, FIS, Finastra — ydinjärjestelmien vuokraus

Kolme suurinta ydinpankkijärjestelmätoimittajaa toimittaa asiakassuuntautuneet verkkopankin käyttöliittymät vuokralaiskonfiguroitavina mallipohjina alustakoteloin päällä. Alusta tarjoaa peruslinjan, mutta jokainen mukautus — brändivärisi, mukautetut widgetisi, CSR/agentti-siirtymäsi — lisää riskin, josta sinä vastaat, ei toimittaja. Pyydä Temenos / FIS / Finestralta heidän ajantasainen VPAT tai EN 301 549 -vaatimustenmukaisuusraportti juuri siitä tuoteversioista, jota käytät, ja auditoi sen jälkeen oma mukautuskerroksesi erikseen. Toistuva vikatila on mukautetut tapahtumawidgetit, jotka on lisätty muutoin vaatimustenmukaiseen kotelorakenteeseen ilman, että ne perivät kotelon näppäimistö- ja ruudunlukijankäsittelyn.

Plaid, Yodlee, MX — dataaggregaattoreiden upotukset

Tilien linkittäminen on yksi nykyaikaisen fintechin käytetyimmistä prosesseista ja toimitetaan lähes poikkeuksetta kolmannen osapuolen upotettuna iframena. Plaid Link, Yodlee FastLink ja MX Connect toimittavat saavutettavuustietoisia widgettejä, mutta iframe-raja rikkoo kohdistuksenhallinnan sisään- ja ulostulon yhteydessä — kohdistus putoaa usein <body>-elementille modaalin sulkeutuessa, ja ruudunlukijat menettävät "linkitetty onnistuneesti" -ilmoituksen. Kääri upotus omaan aria-live-alueeseen, palauta kohdistus tunnettuun ankkuripisteeseen sulkemisen yhteydessä ja testaa vikapolut (instituutio ei saatavilla, MFA-haaste) nimenomaisesti avustavalla teknologialla.

Stripe, Adyen — maksuelementin saavutettavuus

Stripe Payment Element ja Adyen Drop-in ovat molemmat olennaisesti parempia kuin vanha "kortti-iframe"-sukupolvi, mutta kumpikin toimitetaan iframessa, jolla on oma kohdistuksen- ja live-alueenhallintansa. Yleisin vika on, että pääsivun lähetyspainike ei odota iframen kohdistustilan vakiintumista — mikä johtaa hiljaisiin lähetysvirheisiin, joita ruudunlukija ei koskaan ilmoita. Kytke iframe-onReady / onChange -tapahtumat pääsivutason aria-live-tilusalueeseen äläkä koskaan poista lähetyspainiketta käytöstä ilman tekstuaalista syytä, joka ilmoitetaan aria-describedby-määritteen kautta.

DocuSign, Adobe Sign — sähköisen allekirjoituksen prosessi

Sähköisen allekirjoituksen prosessit ovat yksi eniten mainituista oikeudenkäyntipinnoista Yhdysvaltain ADA-pankkikanteissa, koska allekirjoituswidgetti on usein portinvartijana lainasopimuksessa, asuntolainan tiedonannossa tai kortinhakemusasiakirjassa. DocuSign ja Adobe Sign toimittavat molemmat saavutettavuusominaisuuksia (näppäimistöallekirjoitus, ruudunlukijan ilmoittamat kentät), mutta kumpikin edellyttää, että sinä konfiguroit kirjelähetysmallin omalta puoleltasi — alustan oletukset eivät tee sitä. Konfiguroi kirjekuoripohjat eksplisiittisillä kenttäetiketeillä, saavutettavalla lukemisjärjestyksellä ja ei-kuvallisella allekirjoitusvaihtoehdolla (kirjoitettu nimikirjoitus) ennen tuotantokirjekuoren lähettämistä.

Bloomberg Terminal -tyyppiset kaupankäyntirajapinnat

Erikoistuneet pöytäkone- ja verkkokaupankäyntirajapinnat ovat tunnettu saavutettavuuden aukko, sillä useimmat alustat on optimoitu näkevien tehokäyttäjien näppäimistönopeudelle — ei ruudunlukijaa käyttäville. Jos rakennat mukautetun kaupankäynti- tai kassarajapinnan, käsittele jokaista tarkkailulistasi / tilauskirjasi solua merkittynä maamerkkialueena, julkaise päivitykset aria-live-alueella rajoituksella (muutoin tulvit avustavan teknologian jonon), ja toimita ei-reaaliaikainen vain luku -tila käyttäjille, joiden avustava teknologia ei pysy alle sekunnin päivitysten perässä. Bloomberg-tyyppinen tiheys on saavutettavissa saavutettavasti, mutta vain tarkoituksellisella insinöörityöllä — se ei ole ilmaista eikä se ole mitä alustasi oletukset antavat sinulle.

Natiivit iOS / Android -pankkisovellukset

Mobiilipankkisovellus on suurimman liikenteen pinta useimmille vähittäispankeille ja tiheimmän oikeudenkäyntikohteen pinta Yhdysvaltain ADA-mobiilikanteissa. iOS:ssä jokaisen interaktiivisen elementin on kannettava saavutettavuusnimi, oikein asetetut saavutettavuusmääreet (button vs. header vs. adjustable) ja looginen saavutettavuuselementtijärjestys, joka ei ohita aktiivista tilivalitsinta tai siirtosummaa. Androidilla rinnakkaisvaatimukset ovat content-description jokaiselle klikattavalle näkymälle, oikea importantForAccessibility koristeellisille näkymille ja TalkBack-järjestys, joka on varmennettu manuaalisesti — ei vain johdettu asettelusta. Suorita XCUITest- ja Espresso-saavutettavuusväitteet CI:ssä turvaverkkona, mutta älä koskaan korvausvaihtoehtona todelliselle avustavan teknologian tarkistukselle jokaisessa julkaisukandidaatissa.

Seuranta- ja auditointisykli

Kertaluonteinen auditointi ei selviä yhdestäkään pankkisprintistä.

Pankit ja fintech-yritykset ottavat käyttöön yhtä tiheästi kuin mikä tahansa moderni ohjelmistotiimi. Markkinointi vaihtaa korttikuvan tiistaina, lainatiimi toimittaa uuden esiqualification-prosessin torstaina, kolmannen osapuolen widget päivittyy viikonlopun aikana. Kertaluonteinen saavutettavuuskorjaus kestää suunnilleen seuraavaan sprinttiin asti — minkä vuoksi FI-tiimeille toimiva malli on kolme kerrosta, ei yksi. Jokainen kerros havaitsee erilaisia vikoja, eivätkä kerrokset ole toistensa korvikkeita.

Ensinnäkin, suorita ilmainen WCAG 2.2 -skanneri julkista markkinointisivustoa ja verkkopankin aloitussivuja vastaan tänään, peruslinjan määrittämiseksi. Toiseksi, kytke jatkuva automaattinen seuranta jokaista esiversiokäyttöönottoa ja jokaista tuotantokäyttöönottoa vastaan — tämä on kerros, joka havaitsee regressiot ennen asiakasta, ja ainoa kerros, joka skaalautuu todellisen pankin käyttöönottotahtiin. Kolmanneksi, tilaa vammaisten testaajien tekemä manuaalinen auditointi vähintään vuosittain, ja jokaisen suuren uudelleensuunnittelun, alustan vaihdon tai uuden tuotteen julkaisun jälkeen — automaattiset työkalut eivät koskaan havaitse ruudunlukijan luettavuutta tapahtumavahvistuksessa, kohdistuksen järjestyksen tarkoitusta 2FA-prosessissa tai onko rekisteröitymisprosessi käytännössä käytettävissä alusta loppuun. Tiliotearkaistot tarvitsevat erityistä manuaalista testausta; katso saavutettavat PDF-tiedostot alusta loppuun PDF/UA-työnkulkua varten.

Seuranta- ja manuaalisen auditoinnin siirtymää koskevaa spesifisesti, meidän seurannan ostajan oppaamme kattaa alustat, jotka hoitavat skannauksesta auditointiin -työnkulun alusta loppuun — Qualibooth, axe Monitor, Siteimprove ja Level Access. Valitse kolmen FI-kohtaisen kriteerin perusteella: integraatiosopivuus CI:n ja muutoksenhallintaprosessisi kanssa; sisältääkö alustan manuaalinen auditointiverkko todella testaajia, joilla on asiakkaidesi vammoja (kognitiiviset, motoriset, heikkonäköiset, sokeat, kuurot ja kuulovammaiset — ei vain sokeita käyttäjiä); ja vastaako alustan raportointi sääntelyviranomaisia varten tarvittavaa artefaktia, jota vaatimustenmukaisuustiimisi tarvitsee (VPAT/ACR, EN 301 549 -vaatimustenmukaisuusraportti, saavutettavuusseloste). Kaikki eivät tee.

Yksi FI-kohtainen huomio hallinnosta: seurantakerroksen on oltava osana muutoksenhallintaprosessia, jota pankkisi tai lisensöity fintech-yrityksesi jo käyttää tuotantomuutoksiin. Jos julkaisuprosessisi edellyttää turvallisuustiimin hyväksyntää, saavutettavuusportti sijaitsee samassa kohdassa — tyypillisesti CI-tarkistuksena käyttöönottoprosessissa sekä neljännesvuosittaisessa katsauksessa samassa foorumissa, joka käsittelee SOC 2:n, PCI-DSS:n ja ISO 27001:n todisteet. Saavutettavuuden käsitteleminen erillisenä vaatimustenmukaisuussiilona on tapa, jolla se katoaa; sen käsitteleminen yhtenä lisäriskienhallinnan kohteena muiden tiimin jo hallinnoimien rinnalla on tapa, jolla se jää pysyväksi.

UKK

Kysymykset, joita rahoituslaitosten insinööri- ja vaatimustenmukaisuustiimit esittävät ennen sitoutumistaan.

Kuuluvatko pankkisovellukset eurooppalaisen esteettömyysdirektiivin soveltamisalaan?

Kyllä. EAA mainitsee nimenomaisesti "kuluttajien pankkipalvelut" 2 artiklan 2 kohdan e alakohdassa, joka kattaa henkilöasiakkaiden käyttö- ja säästötilit, henkilökohtaiset lainat, asuntolainat sekä niiden toimittamiseen käytettävät digitaaliset kanavat — verkkosivustot, mobiilisovellukset, pankkiautomaatit ja itsepalvelupäätteet. Yritysten välinen pankkitoiminta jää suurelta osin EAA:n soveltamisalan ulkopuolelle, mutta jokainen tuote, jonka EU:n kuluttaja voi avata ja käyttää verkossa, kuuluu sen piiriin. Mikroyrityspoikkeus (alle 10 työntekijää JA alle 2 miljoonan euron liikevaihto) ei realistisesti vapauta yhtään EU:n lisensöityä pankkia.

Lasketaanko PDF-tiliotteet "pankkipalveluksi" saavutettavuuden näkökulmasta?

Kyllä, ja tämä on yksi eniten riidellyistä pinnoista Yhdysvaltain ADA-kanteissa pankkeja vastaan. Kuukausitiliotos toimitettuna PDF/UA-vaatimustenmukaisuudesta poikkeavana PDF-tiedostona on toiminnallisesti saavuttamaton monille ruudunlukijaa käyttäville — EAA käsittelee sitä osana soveltamisalaan kuuluvaa palvelua, ja Yhdysvaltain tuomioistuimet ovat johdonmukaisesti todenneet, että tiliotteen toimittaminen on erottamaton osa pankkisuhdetta. Toimita PDF/UA-vaatimustenmukaisia PDF-tiedostoja ja tarjoa HTML- tai CSV-vaihtoehto tapahtumahistorialle.

Miten 2FA käytännössä toimii ruudunlukijaa käyttävälle?

Se riippuu kanavasta. SMS-OTP on laajasti saavutettava, mutta aikaikkunat ovat aggressiivisia — useimmat pankit käyttävät 30–60 sekunnin vanhenemisaikaa, joka ei täytä WCAG 2.2.1:n Timing Adjustable -vaatimusta. Tunnistautumissovellusten koodit toimivat hyvin, jos kenttä hyväksyy liittämisen; ne kaatuvat, kun pankit jakavat kuusi numeroa kuuteen erilliseen kenttään ilman oikeaa aria-merkintää. Laiteavaimet ja passkeyt ovat yhä useammin saavutettavin vaihtoehto, koska käyttäjän vuorovaikutusprimitiivi (laitteen kosketus, biometrinen kehote) on käyttöjärjestelmänatiivi ja hyvin ilmoitettu — mutta varatoimi käyttäjille, joilla ei ole avainta, on pakollinen.

Onko olemassa rahoituspalveluille erityistä saavutettavuussertifiointia?

Pankkikohtaista EN 301 549:n vastinetta ei ole — samat standardit koskevat kuin mitä tahansa digitaalista palvelua. FI-kohtaista on valvontakerros: Yhdysvalloissa CFPB ja OCC ovat julkaisseet ohjeistusta, joka viittaa saavutettavuuteen reilun pankkitoiminnan velvoitteiden puitteissa, ja EAA:n täytäntöönpano EU:ssa toteutetaan jäsenvaltiatasolla samojen viranomaisten kautta, jotka valvovat kuluttajapankkitoimintaa. Pankit tilaavat tyypillisesti VPAT/ACR:n WCAG 2.2 AA:ta vastaan ja rinnakkaisen EN 301 549 -vaatimustenmukaisuusraportin.

Millainen oikeudellinen altistuminen liittyy saavuttamattomaan mobiilipankkisovellukseen?

Yhdysvalloissa mobiilipankkisovellukset ovat yksi tiheimmistä kanteen kohteista ADA Title III:n nojalla, ja useat suuret pankit ovat sovitelleet ryhmäkanteita korkeiden kuusinumeroisten tai matalien seitsennumeroisten summien alueella. DOJ on virallisesti todennut, että julkisten tilojen palvelujen on oltava saavutettavia, ja 11. ja 9. piirikunnan tuomioistuinten kannat "fyysisen yhteyden" puolustuksesta ovat heikentyneet siinä määrin, että pelkästään verkossa toimiva neopankki ei ole turvallisempi kuin perinteinen pankki, jolla on konttoreita. EU:ssa EAA-sakkoja alettiin antaa vuonna 2026 useissa jäsenvaltioissa.

Voiko ruudunlukijaa käyttävä varmistaa tapahtuman ilman näkevän henkilön apua?

Heidän pitäisi pystyä siihen — ja hyvin rakennetussa pankkituotteessa he voivat. Vähimmäisvaatimukset ovat: tapahtuman vahvistusnäyttö lukee summan, valuutan, saajan ja päivämäärän yhtenäisenä lauseena; vahvistuspainike on yksiselitteisesti merkitty (ei vain "Vahvista" vaan "Vahvista 250 €:n siirto Matti Mattilalle"); onnistumistila ilmoitetaan aria-live-alueella; ja syntynyt kuitti on saatavilla valittavana tekstinä, ei kuvana. Jos jokin näistä puuttuu, käyttäjä ei voi itsenäisesti varmistaa, mitä hän on juuri valtuuttanut — mikä on reilun pankkitoiminnan kysymys yhtä lailla kuin saavutettavuuskysymys.

Kuinka usein pankin tai fintechin tulisi auditoida digitaaliset pintansa?

Automaattinen skannaus tulisi suorittaa jokaisessa käyttöönotossa. Jatkuvan seurannan tulisi kohdistua tuotantoympäristöön päivittäin. Vammaisten testaajien tekemä manuaalinen saavutettavuusauditointi tulisi tilata vähintään vuosittain vakiintuneille tuotteille sekä jokaisen suuren uudelleensuunnittelun, alustan vaihdon tai viranomaisten edellyttämän muutoksen jälkeen. Pankit muuttuvat tiheästi — markkinointikuva vaihtuu tiistaina, 2FA-muutos tehdään perjantaina — eikä kerran vuodessa tehty auditointi selviä yhdestäkään sprintistä.

Kolme seuraavaa askelta

Valitse se, joka vastaa tiimisi nykyistä tilannetta.

  1. Suorita skanneri

    Reaaliaikainen ilmainen WCAG 2.2 -skanneri mitä tahansa julkista URL-osoitetta vastaan. Powered by Qualibooth, avautuu uudessa välilehdessä. Paras aloituspiste, jos sinulla ei ole nykyistä peruslinjaa verkkopankkisi tai markkinointipinnoillesi.

    Avaa skanneri →

  2. Lue seurannan ostajan opas

    Meidän seurannan ostajan oppaamme kattaa alustat, jotka hoitavat skannauksesta auditointiin -prosessin alusta loppuun — FI-kohtaisilla kriteereillä (CI-integraatio, sääntelyviranomaisten mukainen raportointi, todelliset testaajien verkostot), jotka todella ratkaisevat pankeille ja lisensöidyille fintech-yrityksille.

    Lue opas →

  3. Pyydä auditointitarjous

    Lue oppaamme vammaisten testaajien tekemän manuaalisen auditoinnin tilaamisesta — mitä pyytää, mihin budjetoida FI-toimeksiannossa ja mitkä alustat sisältävät todellisen testaajien verkoston verrattuna niihin, jotka ulkoistavat sen.

    Lue opas →