IT@BANK 2017: Dyrektywa jak dopalacz

BANK 2017/11

Regulacja PSD2 wprowadza istotne zmiany na rynku płatności, które mogą stanowić zagrożenie dla funkcjonujących na nim podmiotów oraz szanse biznesowe dla nowych graczy – zapowiadają eksperci. W Polsce nowe przepisy mogą podziałać jako katalizator współpracy, na której skorzystają i banki, i fintechy, i klienci.

Ewa Kadys

Państwa członkowskie Unii Europejskiej mają czas do 13 stycznia 2018 r. na wdrożenie Dyrektywy z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (tzw. PSD2, Payment Services Directive). Zastąpi ona stosowane dotychczas przepisy dyrektywy PSD, a jej implementacja wymagać będzie wprowadzenia istotnych korekt do ustawy o usługach płatniczych.

Najważniejsze zmiany, które wprowadzi PSD2 to:

  1. Wejście na rynek płatności nowej kategorii podmiotów – dostawców usług płatniczych, będących osobami trzecimi (TPP – ang. third party provider), którzy zrewolucjonizują kształt rynku.
  2. Wprowadzenie nowej usługi tzw. inicjowania płatności (PIS – ang. payment initiation services) polegającej na udzieleniu dostępu do rachunku płatniczego online w celu sprawdzenia dostępności środków i wykonania płatności.
  3. Wprowadzenie nowej usługi tzw. informacji o rachunku (AIS – ang. account information services), polegającej na zapewnieniu użytkownikowi zagregowanych informacji online o jego rachunkach płatniczych posiadanych u różnych dostawców usług płatniczych.
  4. Wprowadzenie tzw. zasady „access to the account” („XS2A”), zgodnie z którą użytkownik usług płatniczych będzie miał prawo do korzystania z usług umożliwiających dostęp do informacji o rachunku oraz skorzystania z usługi inicjowania płatności.
  5. Wprowadzenie tzw. silnego uwierzytelniania (SCA – ang. strong customer authentication) przy dostępie oraz realizacji zleceń z wykorzystaniem kanałów online. SCA oznacza uwierzytelnianie oparte na zastosowaniu elementów z co najmniej dwóch z trzech kategorii: (I) wiedza; (II) posiadanie; (III) cechy klienta.

Wyzwanie dla banków

W opinii autorów raportu PwC „Sektor finansowy coraz bardziej #fintech”, PSD2 stanowi ogromne wyzwanie dla sektora usług finansowych. Dyrektywa wprowadza m.in. na rynek płatności nową kategorię instytucji, czyli dostawców usług płatniczych, funkcjonujących jako trzecia strona (TPP – ang. third party provider). W praktyce oznacza to pojawienie się zupełnie nowych usługodawców, którzy obecne standardy dokonywania płatności przewrócą całkiem do góry nogami. W nowym modelu podmioty pośredniczące będą realizować płatności z wykorzystaniem infrastruktury banków i wrażliwych informacji, które te ostatnie będą zobligowane im udostępnić. Będą też oferować usługi planowania wydatków i pozyskiwania finansowania.

– Sektor finansowy należy do najsilniej regulowanych przepisami. I to właśnie zmiany w otoczeniu regulacyjnym są czynnikiem mocno oddziałującym na banki. Można powiedzieć, że obecnie mamy do czynienia z rewolucją i relacją zwrotną – z jednej strony rozwój nowych technologii wymusza ciągłe dostosowywanie przepisów prawnych, z drugiej obserwujemy zmiany w przepisach (głównie PSD2 i MiFID2), które stwarzają zupełnie nowe możliwości rozwoju w sektorze finansowym – zauważa Przemysław Paprotny, partner w zespole ds. usług doradczych dla sektora finansowego w PwC.

Standardy techniczne dla unijnej dyrektywy, nad którymi dwa lata pracował Europejski Urząd Nadzoru Bankowego (EBA), ujrzały światło dzienne na początku 2017 r. Ich pierwsza propozycja pojawiła się w grudniu 2015 r., a konsultacyjna w sierpniu 2016 r. W międzyczasie intensywnie dyskutowano nad tym, jak w praktyce ma wyglądać wdrożenie nowych przepisów, zwłaszcza w przypadku tak istotnych kwestii, jak zabezpieczenie transakcji czy ochrona danych osobowych.

W rezultacie wersja standardów technicznych przedstawiona przez EBA w lutym 2017 r. kładzie zdecydowanie większy nacisk na kwestie bezpieczeństwa. Dokument postuluje między innymi wprowadzenie silnego, dwustopniowego uwierzytelnienia transakcji oraz ściśle określa zasady dostępu do wrażliwych danych dla „trzeciej strony”.

Łączenie przeciwieństw

– Prace nad uzgodnieniem stanowiska przyniosły wiele wyzwań związanych z implementacją. Kilka celów dyrektywy jest potencjalnie sprzecznych i konkuruje ze sobą – przyznał szef EBA Andrea Enria.

W czasie konsultacji napłynęło około 250 opinii, a EBA musiała pogodzić wiele przeciwstawnych celów. W sumie odnotowano kilkaset kwestii spornych, które podzielono na trzy grupy:

  • neutralności technologicznej wprowadzanych wymagań
  • zwolnień od wymaganego silnego uwierzytelnienia dla progów kwotowych transakcji,
  • zwolnień przedmiotowych i o niskim ryzyku oraz kwestii związanych z dostępem strony trzeciej do rachunku bankowego.

Kolejna odsłona wersji RTS pojawiła się w połowie roku. W maju swoje poprawki do propozycji EBA przedstawiła Komisja Europejska.

Pierwsza wprowadzała obowiązek przeprowadzania zewnętrznego audytu metodologii oceny ryzyka, modeli ryzyka oraz analizy zgłoszonych oszustw przez PISP, którzy mogą korzystać z wyłączenia od silnej autentykacji.

Druga postulowała wyłączenie silnego uwierzytelniania dla niektórych płatności korporacyjnych. EBA uważa, że jest to możliwe w przypadku konkretnych, specyficznych transakcji, jeśli analiza ryzyka pokaże, że fraudy nie przekraczają progowego odsetka.

Trzecia poprawka Komisji Europejskiej postulowała, by dokumentacja metodologii, modeli wykorzystywanych przez PISP (Payment Initiation Service Provider) oraz danych o samych oszustwach była dostarczana nie tylko krajowym nadzorom, ale również do EBA.

Czwarta poprawka w opinii europejskiej nadzoru dopuszczała screen scraping, czyi dokonywanie transakcji w systemie bankowym w imieniu klienta (bank nie jest w stanie zidentyfikować, czy operację przeprowadza jego klient, czy firma w jego imieniu).

Komisja wprowadziła poprawkę, która głosi, że jeśli podczas łączenia się z interfejsem API nie jest on dostępny przez ponad 30 sekund, PISP i AISP (Account Information Service Providers) powinny mieć dostęp do interfejsów zapasowych, działających online. A to oznacza, że bank powinien mieć „zapasowe” otwarte API na wypadek awarii. EBA stanowczo przeciw temu protestuje; w jej opinii naraża to banki na koszty, bo te musiałyby zbudować kolejne otwarte API, zapewniające dostęp TPP do systemów transakcyjnych i rachunków klientów.

29 czerwca 2017 r. Europejski Urząd Nadzoru Bankowego opublikował opinię na temat projektu regulacyjnych standardów technicznych (RTS), odnosząc się do poprawek zgłoszonych w maju 2017 r. przez Komisję Europejską.

EBA skrytykowała rozwiązania zaproponowane przez Komisję Europejską, w szczególności tzw. fall back option w postaci alternatywnego dostępu za pomocą screen scrappingu, jeśli dostęp przez dedykowany interfejs nie jest dostępny bądź nie działa prawidłowo.

EBA zwróciła uwagę na:

  • niezgodność z postanowieniami PSD2, zwłaszcza w kwestii zapewnienia bezpieczeństwa transakcji;
  • brak transparentności przepisów proponowanych przez KE;
  • wzrost kosztów dla banków prowadzących rachunki płatnicze, gdyż będą zmuszone zawsze utrzymywać funkcjonujące dwa systemy dostępu;
  • nierównowagę kompetencyjna pomiędzy poszczególnymi uczestnikami rynku;
  • wątpliwości co do możliwości efektywnego monitoringu przez nadzorców sektora bankowego przepisów proponowanych przez KE;
  • trudności przy ocenie kiedy TPP może stosować dostęp bezpośredni, a kiedy nie;
  • możliwy brak zrozumienia przez konsumenta, w jaki sposób TPP uzyska dostęp do rachunku.

Przedstawiona w czerwcu opinia nie jest dla KE wiążąca. Ma jednak zostać uwzględniona przez Parlament i Radę UE, gdy Komisja Europejska prześle im ostateczną wersję RTS.

Dopalacz do współpracy

Eksperci zwracają uwagę, że bez względu na ostateczny kształt RTS, dyrektywa skłoni banki do poszukania najkorzystniejszego trybu współdziałania z fintechami. PSD2 stworzy bankom szansę wyboru strategii w zależności od chęci otwartości na współdzielenie się danymi oraz budowania i dostarczania usług o wartości dodanej – uważają autorzy raportu „Banki i fintechy – małżeństwo z rozsądku”.

Partner PwC Łukasz Bystrzyński przekonuje, że między innymi dlatego banki nie powinny traktować fintechów jak zagrożenie. – Pomiędzy nimi istnieje szeroki potencjał współpracy w budowie wspólnych innowacyjnych rozwiązań. Skorzystać mogą na tym banki, fintechy i klienci. Innowacje i przyszłość to jednak nie tylko nowe technologie, ale również nowe umiejętności i kompetencje, np. oczyszczanie danych, zaawansowane modelowanie, biznesowa interpretacja wyników oraz oczywiście praca w trybie agile i wykorzystanie design thinking. Tu również z pomocą mogą przyjść fintechy, bo same banki nie będą w stanie wystarczająco szybko zmienić swojego DNA i przyciągnąć tych myślących inaczej – uważa Łukasz Bystrzyński.

Dla polskich banków najważniejsze jest obecnie wzmacnianie relacji biznesowych z klientami poprzez aplikacje mobilne, wykorzystanie data analytics, cyberbezpieczeństwo oraz efektywność operacyjna (robotyka).

W opinii autorów opracowania „Banki i fintechy – małżeństwo z rozsądku”, inwestycje w nowe technologie na świecie są długoterminowe, dlatego znacząca część nakładów jest przeznaczana dodatkowo na rozwiązania wykorzystujące sztuczną inteligencję. Ciągle poza radarem sektora finansowego znajduje się natomiast blockchain – 35% respondentów z Polski i 17% na świecie nie wie, czym jest ta technologia i jakie może mieć znaczenie dla całej branży. Aż 57% banków w naszym kraju nie uwzględnia nawet blockchain w swoich strategiach (38% globalnie).

Choć skala tego typu rozwiązań jest na razie bardzo ograniczona, to blockchain jest technologią przyszłości. Przełomem mogłoby być jej zastosowanie w systemach transakcyjnych (np. BLIK), do zawierania transakcji giełdowych czy prowadzenia ksiąg wieczystych.

Nowe technologie wymuszą zmianę kompetencji pracowników. Banki walczą o przyciągnięcie i zatrzymanie osób o specyficznych, nowych kompetencjach, takich jak analityka danych big data, realizacja działań w internecie czy robotyka.

„Kompetencje te banki mogą budować wewnętrznie poprzez programy innowacyjne oraz akceleracyjne lub rozwijać we współpracy z innymi podmiotami na rynku, czyli fintechami. Zadbanie o nowe umiejętności będzie stanowiło istotną przewagę konkurencyjną dla banków” – wskazują autorzy analizy „Banki i fintechy – małżeństwo z rozsądku”.

Oceniając potencjalne zagrożenia płynące ze współpracy z fintechami, respondenci wskazują przede wszystkim na bezpieczeństwo IT, regulacje prawne oraz różnice kulturowe.

– Odsetek instytucji finansowych zaangażowanych we współpracę z fintechami rośnie i będzie rósł nadal. Z perspektywy czasu jedynie takie rozwiązanie wydaje się rozsądne. Obie strony chcą czegoś, co ma ta druga – fintechy posiadają inteligentne i innowacyjne technologie, a banki – pieniądze – podsumowuje starszy menedżer w zespole usług doradczych dla sektora finansowego w PwC Marek Chlebicki.