Redakcja Asseco News
e-mail: [email protected]
18 stycznia 2018 roku zacznie obowiązywać nowa dyrektywa unijna PSD 2 (Payments Services Directive 2), która zastąpi stosowane aktualnie przepisy dotyczące obsługi rachunków płatniczych. Celem planowanych zmian jest wzmocnienie i wsparcie rozwoju e-gospodarki poprzez obniżenie kosztów oraz podniesienie bezpieczeństwa transakcji. Nowe prawo jest też szansą dla Fintechów, ponieważ PSD 2 otwiera im rynek usług, które dotychczas zarezerwowane były tylko dla banków. O głównych założeniach dyrektywy PSD 2 i jej wpływie na sektor bankowy mówi Paweł Rola, Ekspert w Pionie Banków Komercyjnych Asseco Poland.
Jakie kluczowe zmiany wprowadza nowa dyrektywa PDS 2?
Nowa dyrektywa wprowadza dwie główne zmiany. Pierwszą z nich jest wdrożenie silnego uwierzytelnienia klienta (SCA – Strong Customer Authentication), którego celem jest podniesienie ochrony poufności danych. Polega ono na wymogu identyfikacji użytkownika i autoryzacji transakcji za pomocą co najmniej dwóch niezależnych elementów należących do trzech kategorii. Pierwsza z nich to wiedza — czyli coś, co wie wyłącznie użytkownik, np. hasło, kod PIN. Kolejna to posiadanie — czyli coś, co posiada wyłącznie użytkownik jak np. token, karta mikroprocesorowa czy telefon. Trzecia kategoria to cechy klienta, czyli elementy odróżniające go od innych osób. W tym obszarze znajdują się m.in. dane biometryczne np. odcisk linii papilarnych. Dodatkowym wymaganiem SCA, który będzie obowiązywał w przypadku inicjowania elektronicznej transakcji płatniczej, jest dynamicznie łączenie jej danymi. Oznacza to na przykład autoryzację za pośrednictwem komunikatu SMS, w którym klient poza kodem dostaje informację o kwocie i odbiorcy autoryzowanego zlecenia.
Kolejny obszar zakłada obowiązek udzielenie przez bank dostępu do danych klientów instytucjom zewnętrznym. Wymóg ten obniża bariery wejścia dla podmiotów niezależnych od banku — czyli tzw. strony trzeciej (TPP – ang. Third Party Providers), zapewniając im dostęp na żądanie klienta, do informacji o rachunkach (AIS -Account Information Service), oraz możliwość składania w imieniu klienta zleceń płatniczych (PIS – Payment Initiation Service).
Jaki jest cel wprowadzonych zmian? Jak wpłyną one na polski sektor finansowy?
Dyrektywa porządkuje stan regulacji prawnych rynku usług płatniczych na poziomie unijnym. Jej wymagania zostaną dodatkowo zaimplementowane do prawa krajowego członków Unii Europejskiej. Zmiany te są odpowiedzią na wyzwania technologiczne oraz rosnącą popularność finansowych usług online. Nowe regulacje mają nie tylko wspierać konkurencyjność, innowacyjność i bezpieczeństwo w obszarze płatności, ale również doprowadzić do liberalizacji dostępu do świadczenia usług finansowych. Zakładaną korzyścią dla konsumentów będzie obniżenie kosztów oraz podniesienie wygody i szybkości transakcji realizowanych w całej Unii Europejskiej. Dodatkowo na polskim rynku, wprowadzenie PIS uporządkuje problem, jaki m.in. Komisja Nadzoru Finansowego miała z dostawcami usług płatniczych, które oferowały pośredniczenie w płatnościach, posługując się identyfikatorem i hasłem klienta (np. Soford, Trustly). To działanie KNF uznało za niebezpieczne, niezgodne z prawem i próbowało wyeliminować. Nie do końca się to jednak udało, ponieważ podmioty te nie podlegają nadzorowi KNF i działają na rynku polskim na podstawie uprawnień uzyskanych w innym kraju członkowskim.
Czy banki są przygotowane na nadchodzące zmiany pod względem technologicznym?
Banki nie miały dotychczas obowiązku udostępniania w sposób zautomatyzowany informacji stronie trzeciej, dlatego w większości nie dysponują niezbędnymi rozwiązaniami informatycznymi. Dotyczy to także przyjmowania zleceń płatniczych od instytucji trzecich. Niezbędne będzie więc zaprojektowanie odpowiednich usług, które pozwolą na korzystanie z danych dotyczących rachunków wszystkim uprawnionym do tego podmiotom. Ich udostępnianie wiąże się z koniecznością zachowania wysokiego poziomu bezpieczeństwa informacji, któremu banki będą musiały stawić czoła.
Wymagania dotyczące SCA powodują również, że wymogów dyrektywy nie będzie spełniało wiele z obecnie istniejących narzędzi uwierzytelniających. Dotyczy to m.in. logowania przy użyciu samego identyfikatora i hasła, lub autoryzacji transakcji kodem z karty TAN.
W jaki sposób będzie odbywała się komunikacja pomiędzy podmiotami?
Komunikacja w tym zakresie będzie wymagała stworzenia odpowiedniego interfejsu umożliwiającego stronie trzeciej komunikację z bankami. W Polsce prace nad Polish Open API (Application Programming Interface) prowadzone są obecnie przy Związku Banków Polskich, w specjalnie do tego powołanym zespole. Dodatkowo Europejski Urząd Nadzoru Bankowego przy współpracy z Europejskim Bankiem Centralnym pracują nad stworzeniem standardów technicznych (RTS/ITS), w których zostaną opisane szczegóły związane zarówno z mechanizmami SCA, jak i komunikacją TPP z instytucjami płatniczymi. Od ustaleń powyższych instytucji zależał będzie finalny kształt wymagań w tym zakresie.
Co zmiany odznaczają dla nowych graczy na rynku usług płatniczych?
Powyższe zmiany otwierają m.in. dla FinTechów, rynek usług, który dotychczas zarezerwowany były tylko dla banków oraz wąskiego grona instytucji płatniczych. W Polsce rynek ten był hermetyczny, ale w innych krajach Unii Europejskiej banki już od pewnego czasu umożliwiają dostęp aplikacji zewnętrznych do rachunków klienta (np. Fidor Bank). Poprzednia dyrektywa z 2007 roku nie uwzględniała podmiotów trzecich, głównie dlatego, że w tamtym czasie tego typu rozwiązania dopiero się kształtowały. Jednak ich dynamiczny rozwój i rosnąca popularność spowodowały konieczność modyfikacji istniejących regulacji oraz dostosowania ich do nowej rzeczywistości. Tak więc zmiany na pewno spowodują, że pojawi się więcej instytucji oferujących usługi związane z obsługa płatności.
Czy nowe przepisy mogą w negatywny sposób wpłynąć na działalność banków?
Nie ulega wątpliwości, że planowane zmiany budzą obawy przedstawicieli sektora bankowego. Nie chodzi tylko o wyzwania związane z zapewnieniem wysokiego poziomu bezpieczeństwa wynikające z dopuszczenia większej ilości instytucji do informacji bankowych, ale także o możliwość zmarginalizowania pozycji banku do tak zwanego procesora, który prowadzi tylko corową obsługę rachunków, a cały front jest realizowany przez instytucje zewnętrzne korzystające z Open API. Jednak czy tak się stanie, w dużym stopniu będzie zależało od samych banków. Od tego, czy będą w stanie sprostać rosnącym wymaganiom swoich klientów, powstrzymując ich w ten sposób przed poszukiwaniem innych bardziej interesujących rozwiązań.
Czy pomimo pojawienia się na rynku nowych graczy, banki mają szansę zyskać na zmianach?
Powyższe zmiany stanowią duże wyzwanie, ale także i szansę dla banków. O ile implementacja wymagań związanych z SCA będzie w większości kosztem, który poza poprawą bezpieczeństwa nie przyniesie im większych korzyści, o tyle wejście w życie wymagań w zakresie dostępu do informacji i składania zleceń płatniczych umożliwi rozszerzenie zakresu usług. Bank z definicji jest instytucją, która z Open API będzie mogła korzystać zarówno pasywnie, jak i aktywnie. Pozwoli to na konkurowanie ze sobą poprzez udostępnianie bardziej funkcjonalnych i atrakcyjnych kanałów dostępu. Banki mogą też wykorzystywać nową funkcjonalność do weryfikacji zdolności finansowej klienta poprzez bezpośrednie sprawdzenie jego wyciągu w innym banku lub umożliwić mu spłatę kredytu wykorzystując ulokowane tam środki. Możliwości jest wiele i podobnie jak w przypadku FinTechów, w inwencji twórczej banku i dostawców oprogramowania dla nich należy upatrywać kierunku, w jakim będą się rozwijały nowoczesne elektroniczne kanały dostępu.
Jeżeli kluczem do sukcesu jest klient, to co w powinny zrobić banki, żeby spełnić jego oczekiwania?
Bankowość wchodzi w erę użytkownika, która zmienia sposób funkcjonowania banków pod względem pozyskiwania, obsługi i utrzymania klientów. Aby spełnić ich oczekiwania konieczna jest budowa środowiska omnikanałowego, które zapewnia spójną i jednolitą obsługę niezależnie od kanału, w jakim realizowana jest usługa. Przykładem takiego rozwiązania jest Asseco Omnichannel Platform (Asseco OCP), które integruje wszystkie kanały komunikacji z klientem w spójne środowisko. Zapewnia jednolite i przenikające się procesy obsługi, które mogą być kontynuowane na dowolnym urządzeniu. Nie ma znaczenia, w którym zostały rozpoczęte, ponieważ są one natychmiast widoczne zarówno dla pracowników jak i klienta banku.
W jaki sposób banki powinny przygotować do nowych wymogów unijnych?
Aby umożliwić bankom szybkie wdrożenie wymogów PSD 2 w zakresie pasywnego Open API oraz korzystanie z możliwości, jakie daje aktywne jego wykorzystanie, proponujemy wdrożenie nowych funkcjonalności implementowanych na platformie Asseco OCP. Rozwiązanie to zapewnia kompleksową obsługę pasywnego Open API, wraz z zapewnieniem wysokiego poziomu bezpieczeństwa, oraz narzędziami administracyjnymi i modułem sprawozdawczo-statystycznym umożliwiającym między innymi weryfikację generowanego obciążenia. Dodatkowo integruje wewnętrze systemy, do których wymagany jest dostęp z Open API.
Jednak dużo ciekawsza jest część rozwiązania dotycząca aktywnego wykorzystania przez bank możliwości Open API. Narzędzia implementowane w Asseco OCP pozwolą na zarządzanie dostępem do funkcji API wystawionych przez inne banki i udostępnienie ich możliwości systemom funkcjonującym w banku. Ponadto charakterystyka platformy Asseco OCP, umożliwiająca rozbudowanie jej o nowe aplikacje powoduje, że bank będzie posiadał możliwość tworzenia własnych funkcjonalności, lub podłączania aplikacji innych dostawców, wykorzystując rozwiązanie, które daje dostęp do informacji o rachunkach w innych bankach, oraz opcję składania dla nich zleceń płatniczych.