14 września kończy się ostatni okres vacatio legis, przewidziany dyrektywą PSD2. Dyrektywa ta porządkuje zasady, na jakich firmy nie będące bankami, mogą uzyskać dostęp do informacji o rachunkach klientów banków oraz inicjować transakcje. Większość prognoz zakłada bezpowrotny koniec monopolu banków na usługi, które do tej pory były ich niemal wyłączną domeną.
Z formalnego punktu widzenia ten monopol w dużej mierze jest oczywiście przełamywany. Co prawda dyrektywie PSD2 daleko od pełnego wdrożenia „otwartej bankowości”, ale z pewnością jest to spory krok w jej kierunku. Jednak faktycznie zmagania branży Fintech z sektorem finansowym mogą nie przynieść tak dużej przebudowy rynku, jak spodziewa się większość ekspertów. Nowoczesne i otwarte na zmianę banki mogą się okazać jednymi z największych – może nawet największymi – beneficjentami PSD2.
Licencja TPP
W Polsce już kilka największych banków otrzymało licencję TPP (third party provider), umożliwiającą im „podglądanie” – oczywiście za zgodą samego klienta – danych zgromadzonych na jego rachunku w innych bankach. To o te właśnie licencje występują także firmy z branży FinTech. Banki mają jednak nad nimi przewagę w jednym, kluczowym aspekcie: cieszą się, mimo wszystko, dużo większym zaufaniem klientów. Dobrze zarządzane banki z pewnością z tej szansy skorzystają. Zresztą w Polsce sektor bankowy niejednokrotnie dawał dowody tego, że „rozumie” Internet.
Tym niemniej, dane pozostające do tej pory w wyłącznej dyspozycji banków, będą mogły – bez żadnych kontrowersji co do zgodności tego procesu z bankowymi regulaminami – trafić do firm z branży FinTech. PSD2 z pewnością daje tym firmom dodatkowy atut w postaci objęcia ich nadzorem finansowych regulatorów (w Polsce jest to oczywiście KNF). W ten sposób ewentualne obawy klientów o powierzanie wrażliwych informacji są w dużej mierze neutralizowane. „W dużej mierze”, ale nie do końca – i na tym polega przewaga banków.
Wśród przegranych, i to na własne życzenie, mogą się natomiast pojawić TFI i firmy asset management. Możliwość wglądu w rachunki bankowe swoich klientów pozwoliłaby im m.in. na prezentowanie oferty dokładnie dopasowanej do profilu inwestycyjnego klienta. Póki co nie widać jednak, by gracze z tego sektora byli zainteresowani uzyskiwaniem licencji TPP.
PSD – ograniczenia prywatności
PSD2 to jednak nie tylko zmiany w krajobrazie biznesowym, to także pewne zmiany w funkcjonalności usług bankowych. Wprowadzenie tzw. silnego uwierzytelnienia klienta (SCA – strong customer authentication) oznacza nie tylko to, że transakcje online będą podlegały dwustopniowej autoryzacji: to także wysłanie na zasłużoną (?) emeryturę kart-zdrapek czy tokenów.
Jednak być może najdalej idące konsekwencje będzie miało to, że dalszemu ograniczeniu ulega nasza prywatność. Oczywiście, klienci muszą wyrazić zgodę na udostępnianie swoich danych, ale ich udostępnienie będzie warunkiem skorzystania z niektórych usług finansowych. Klienci, którzy będą zazdrośnie strzec swoich tajemnic, muszą się liczyć z tym, że z niektórych ofert – zapewne tych najbardziej atrakcyjnych – po prostu nie będą mogli skorzystać.
I rzeczywiście, jest czego strzec. Historia rachunku bankowego to nie tylko możliwość oszacowania zamożności klienta, wysokości jego dochodów i wydatków. To także potencjalnie informacja o inwestycjach, jakich dokonuje klient czy kredytach, jakie spłaca. A jeśli dodatkowo korzysta z karty powiązanej z rachunkiem, także przebogate informacje o jego zakupach: kwotach, sklepach, miejscowościach, krajach. Dzięki PSD2, firmy z licencją TPP będą mogły dowiedzieć się, gdzie, kiedy i jak często wyjeżdżamy na wakacje, nawet jeśli nie chwalimy się tym na Facebooku.
Komentuje Aleksander Widera, prezes Kredytmarket – firmy udzielającej kredytów dla działalności gospodarczych przez Internet.
Tutaj pobierzesz zdjęcia do tekstu (kliknij). Pod tekstem znajduje się przycisk do pobrania komentarza w formacie .docx. Więcej informacji prasowych znajdziesz w zakładce Marketing i Newsroom
Jakie zmiany wchodzą 14.09.2019?
Pigułka informacyjna
14.09.2019 kończy się vacatio legis przewidziane dla PSD2. Na rynku usług finansowych nastąpi szereg zmian, a najważniejsze to:
- nakładany na banki obowiązek współpracy – na poziomie technologicznym – z zewnętrznymi dostawcami usług (TPP – Third Party Providers),
- wprowadzenie silniejszych zabezpieczeń dla płatności w Internecie: tzw. SCA (Strong Customer Authentication, silne uwierzytelnienie klienta),
- wprowadzenie silniejszych zabezpieczeń dla płatności kartami zbliżeniowym,
- skrócenie czasu reklamacji transakcji/
Zasady dostępu TPP do systemów bankowych i danych klientów
Dostęp do danych bankowych będą miały tylko wskazane przez danego klienta firmy i tylko do jego danych.
Przykładowe sposoby, w jakie TPP będzie miał dostęp do danych:
- w czasie korzystania z usług danego TPP (np. korzystając z aplikacji mobilnej TPP), klient zostaje przekierowany na stronę banku, gdzie zaloguje się do systemu bankowości elektronicznej,
- w czasie korzystania z usług TPP, TPP wysyła do banku żądanie dostępu, a ten w odpowiedzi wysyła klientowi kod dostępu; wprowadzenie tego kodu i przesłanie go do banku, uwierzytelnia klienta.
Logując się do serwisu banku lub podając kod dostępu, klient potwierdza wobec banku swoją tożsamość oraz wolę udostępnienia danych TPP.
Warto podkreślić, że dostęp jest jednorazowy – TPP nie zyskuje stałego dostępu do danych klienta, ale jedynie na czas jego „sesji” z usługą TPP (np. dopóki nie zamknie aplikacji mobilnej TPP).
TPP i zakres ich usług
- TPP mogą realizować nast. usługi:AIS (Account Information Service) – dostęp do informacji na rachunku; TPP tylko odczytuje informacje z rachunku,
- PIS (Payment Initiation Service) – inicjowanie transakcji; TPP może zlecić operację na rachunku klienta,
- CAF (Confirmation of Availability of Funds) – sprawdzenie dostępności środków na rachunku.
Nadzór nad TPP
O ile przed wprowadzeniem PDS2, działalność ujęta obecnie jako podmiotów typu TPP była nieregulowana, o tyle obecnie tego typu firmy są objęte nadzorem krajowych regulatorów finansowych (w Polsce: KNF). Pewnym wyjątkiem są tzw. Małe Instytucje Płatnicze (MIP).
Banki jako TPP
„Zewnętrznych dostawców usług” zwykliśmy kojarzyć z firmami FinTech, ale licencję TPP mogą otrzymać także banki. Wydaje się zresztą, że banki masowo się na to zdecydują; licencję dostały już m.in. mBank, Alior i Santander.
Silne uwierzytelnienie klienta (SCA)
Silne uwierzytelnienie klienta zakłada uwierzytelnienie za pomocą elementów należących do co najmniej dwóch z trzech grup:
- wiedzy klienta (np. login, hasło)
- przedmiotów posiadanych przez klienta (np. smartfon: SMS lub kod autoryzacyjny z aplikacji)
- cech klienta (np. biometria: odcisk palca)
Eksperci zwracają uwagę problematyczne z punktu widzenia bezpieczeństwa SMSy. W porównaniu do innych metod, SMS jest stosunkowo łatwy do przechwycenia, np. poprzez instalację wirusa na smartfonie klienta.
Warto jednak podkreślić, że mimo że obowiązek stosowania SCA wprowadza właśnie PSD2, to – na przykład – spora część banków już wcześniej stosowała zabezpieczenia mieszczące się w definicji SCA. Tym niemniej, część klientów może nie być przygotowana na konieczność stosowania dodatkowych zabezpieczeń.
Czy jest ryzyko, że pełna implementacja PSD2 się opóźni?
Z technologicznego punktu widzenia, termin 14.09 nie powinien być w Polsce zagrożony. Banki dopełniły obowiązku udostępnienia, z półrocznym wyprzedzeniem (14.03), testowych środowisk API (Application Programming Interface – interfejs programowania aplikacji który pozwala na komunikowanie się aplikacji między sobą), niezbędnego do dostępu do ich systemów. Nie wydaje się, by miał wystąpić problem z udostępnieniem produkcyjnych API.
Czy oznacza to, że PSD2 wejdzie w życie 14 września? Niekoniecznie. Niektóre europejskie branżowe organizacje zrzeszające e-commerce obawiają się, że rynek – handlowcy i konsumenci – nie są przygotowani na zmianę związaną z SCA i będzie ona często skutkować przerywaniem procesu zakupu już na etapie płatności. Przykładowo, nieprzygotowany na to klient, nie będzie wiedział, że potwierdzając transakcję w sklepie internetowym, będzie musiał podać kod otrzymany w SMS.
Postulat opóźnienia wejścia w życie PSD2 o co najmniej 18 miesięcy zgłosiła np. European Association of Payment Service Providers For Merchants (EPSM) oraz polska Izba Gospodarki Elektronicznej.
Dodatkowo, polskie banki od początku były niechętne idei otwartej bankowości. Argumentowały, że TPP nie będą gotowi, by zapewnić operacjom i bazom danych odpowiednio wysoki poziom bezpieczeństwa, a branżę zacznie trapić plaga wycieków danych.
Jak na ironię, analiza API udostępnionych przez banki, także ujawniła szereg podatności na ewentualny atak.
Podsumowanie
Polskie banki od początku były niechętne idei otwartej bankowości. Argumentowały, że TPP nie będą gotowi, by zapewnić operacjom i bazom danych odpowiednio wysoki poziom bezpieczeństwa, a branżę zacznie trapić plaga wycieków danych. Ataki hakerów zdarzały się już wcześniej – rok temu mBank informował na przykład o pojawieniu się aplikacji, dostępnej w oficjalnym „sklepie” z aplikacjami Google Play, wykrajdającej dane do logowania do tego banku. Ryzyko podobnych i innych ataków będzie rosło w wraz ze wzrostem liczby aplikacji mających dostęp do systemów bankowych, ich rosnącą popularnością oraz rozszerzeniem się grona ich twórców na firmy, które mogą mieć mniejsze doświadczenie i wiedzę w zakresie bezpieczeństwa transakcji i danych.
Jednak, jak na ironię, analiza API udostępnionych przez banki, także ujawniła szereg podatności na ewentualny atak.
Zalety wdrożenia PSD2
- przełamanie monopolu banków na informacje o klientach, a tym samym: zwiększenie konkurencyjności rynku usług finansowych. Do tej pory, bank prowadzący rachunek był jedyną instytucją, która mogła analizować zgromadzone na nim informacje (a są one szalenie bogate: od stanu zamożności, po – wynikające z transakcji kartowych – informacje o rodzaju dokonywanych zakupów, ich geografii, czy nawet stanie zdrowia klienta czy sposobie spędzania wolnego czasu). W konsekwencji, tylko bank mógł zaoferować odpowiednio dopasowany do specyfiki danego klienta produkt. Oczywiście ten swoisty monopol oznaczał możliwość pobierania premii cenowej. Teraz klient będzie mógł decydować o tym, czy udzielić innemu podmiotowi zgody na dostęp do tych danych, co powinno zaowocować większą konkurencją i niższymi cenami produktów finansowych.
- objęcie nadzorem fiansowym (w Polsce: realizowanym przez KNF) nieregulowanej do tej pory działalności FinTechów. Poza obowiązkiem certyfikowania swojej działalności, będą one musiały składać wobec regulatorów finansowych raporty ze swojej działalności, a w razie konieczności – poddać się ich kontroli.
- możliwość oferowania innowacyjnych bardziej wygodnych dla klientów rozwiązań (np. integracja dostępu do wielu kont w ramach jednej aplikacji)
Niebezpieczeństwa związane z PSD2 i wady
- większa liczba instytucji dysponujących danymi klientów to – siłą rzeczy – niższy poziom bezpieczeństwa tych danych oraz dalsze ograniczenie sfery prywatności (na szczęście kwestia decyzji pozostaje w gestii klienta)
- dane trafiają do instytucji nie dysponujących tak dużymi możliwościami zapewnienia ich bezpieczeństwa, jak banki
- wbrew hasłom jej towarzyszącym, PSD2 nie wprowadza „otwartej bankowości”. Jest to oczywiście krok w jej kierunku, ale póki co w dość ograniczonej sferze, obejmującej jedynie transakcje płatnicze, a nie – na przykład – produkty kredytowe czy inwestycyjne (co jednak nie zmienia faktu, że będzie ona miała wpływ także na takie produkty, gdyż na podstawie historii rachunku w wielu przypadkach można stworzyć np. bardzo dokładny profil kredytowy czy inwestycyjny klienta czy zidentyfikować produktu i usługi, z których korzysta). Także w zakresie usług dostępu do rachunku, PSD2 ma swoje ograniczenia..