IT@BANK 2017: PSD2 nie osłabi bezpieczeństwa rachunków bankowych

BANK 2017/11

Z dr. Pawłem Widawskim, dyrektorem Zespołu Systemów Płatniczych, Bankowości Elektronicznej i Bezpieczeństwa Banków w Związku Banków Polskich i wiceprezesem Fundacji Polska Bezgotówkowa, rozmawiał Karol Jerzy Mórawski.

Od implementacji postanowień dyrektywy PSD2 do prawa krajowego dzielą nas dosłownie miesiące. Czy już dziś możemy powiedzieć, z jakimi nowymi obciążeniami natury organizacyjnej i technologicznej będą musiały zmierzyć się polskie banki wskutek wejścia w życie nowych regulacji?

– W obecnym stanie prac legislacyjnych trudno dokonywać skutków oceny wprowadzenia nowej dyrektywy o usługach płatniczych dla sektora bankowego w Polsce. Zakres zmian o charakterze biznesowym i technologicznym, a przynajmniej sporej ich części, będzie wynikać z tego, jak zostanie ukształtowana finalna wersja regulacyjnych standardów technicznych w obszarze bezpiecznej komunikacji i silnego uwierzytelnienia klienta. Tymczasem ten akt prawa wspólnotowego nie jest bynajmniej gotowy. Według posiadanej przez nas wiedzy, standardy zostaną ogłoszone przez Komisję Europejską dopiero pod koniec listopada br., następnie należy jeszcze doliczyć czas na ich zatwierdzenie przez radę i parlament. Niepewność prawna w tym obszarze jest wręcz porażająca: wszak wejście w życie dyrektywy w sensie formalnym już nastąpiło, z kolei wdrożenie jej postanowień do prawa polskiego i wejście w życie stosownych przepisów planowane jest na styczeń nadchodzącego roku. Nawet jeśli uwzględnimy okres przejściowy, czasu na adaptację pozostanie bardzo niewiele, ponieważ to regulacyjne standardy techniczne de facto określą, w jaki sposób banki powinny udostępniać podmiotom trzecim informacje znajdujące się na rachunku oraz możliwość inicjacji transakcji płatniczych. Już dziś w tym obszarze pojawia się bardzo wiele różnego rodzaju niepewności czy wręcz zastrzeżeń. Powstają chociażby pytania, czy banki, które wystawią interfejs, będą musiały również udostępniać interfejs konsumencki czy nie, a także w jakim tempie interfejs ów będzie musiał być użyczony. Obecnie na te wszystkie pytania trudno udzielić wiążącej odpowiedzi. Dopiero kiedy poznamy ostateczny kształt wspomnianych standardów, będziemy mogli określić stosowne wymogi natury technologicznej.

Pojawiają się obawy, jakoby wdrożenie PSD2 mogło skutkować dostępem do rachunków bankowych przez podmioty nienadzorowane. Na ile to ryzyko może się zrealizować?

– Dostęp do rachunku – czy to w celu inicjacji płatności, czy też pozyskania informacji – będą miały wyłącznie podmioty w ten czy inny sposób regulowane. Przypomnę, że przedsiębiorca dokonujący inicjacji transakcji płatniczej zgodnie z przepisami dyrektywy będzie musiał być podmiotem licencjonowanym. Prawdopodobnie w większości przypadków będą to instytucje płatnicze, które są objęte odpowiednimi wymogami nadzorczymi. Taki podmiot musi uzyskać w danym państwie członkowskim stosowne zezwolenie na prowadzenie działalności jako instytucja płatnicza, czego nie da się osiągnąć w okresie jednego miesiąca. Nieco inaczej sytuacja będzie wyglądała w przypadku dostawców specjalizujących się w dostępie do informacji. Tu wystarczającym narzędziem będzie zgłoszenie prowadzonej działalności gospodarczej do odpowiedniego rejestru. Jednak i w tym przypadku trudno mówić, iż działalność takiego podmiotu pozostaje całkowicie poza sferą regulowaną, gdyż ona też będzie podlegać stosownym regulacjom. Kwestią odrębną jest oczywiście to, czy poziom regulacji i nadzoru nad tym podmiotem będzie wystarczający, by zapewnić bezpieczeństwo całemu systemowi. Szczególne wątpliwości dotyczą tego, czy podmioty działające na podstawie rejestracji powinny mieć możliwość działalności na podstawie paszportu europejskiego. Dzisiaj dyrektywa PSD na to nie zezwala, PSD2 już tak – w odniesieniu do podmiotów trzecich świadczących usługę AIS.

Jak zatem przekonać statystycznego Kowalskiego, że PSD2 nie jest obniżeniem standardów bezpieczeństwa środków lokowanych w instytucjach finansowych?

– Obecnie trudno mówić o przygotowywaniu konkretnego modelu komunikacji, gdyż z uwagi na brak ostatecznych rozwiązań prawnych tak naprawdę nie wiemy, jakie treści będziemy musieli i mogli przekazywać. Bez względu jednak na to, jak prawodawca europejski finalnie zaprojektuje proces dostępu należy pamiętać, iż ta zmiana będzie wymagała bardzo dużej uwagi nie tylko na poziomie regulacyjnym, ale i komunikacyjnym. My w Polsce wytworzyliśmy bardzo bezpieczną kulturę płatniczą, której filarem jest bezpieczeństwo klienta. W tej kulturze klient nie podaje nikomu swojego loginu i hasła do usług bankowości elektronicznej. Dzisiaj rzeczywiście istnieje duże ryzyko, że w tej nowej rzeczywistości wykreowanej na poziomie europejskim, gdzie być może inne kultury płatnicze innych państw zdominowały proces legislacyjny, będziemy musieli zaadoptować kulturę płatniczą innych krajów. Będzie to bardzo duże wyzwanie, by to zadanie komunikacyjnie zrealizować. Jak wytłumaczyć klientom, że inne kultury, procesy, zwyczaje dotychczas nieakceptowane w Polsce mają być akceptowane, a być może również promowane? To faktycznie jest ambitne zadanie.

Mechanizmy pozwalające na wykorzystanie interfejsu bankowego do dokonywania płatności przez podmioty trzecie funkcjonują na polskim rynku już od pewnego czasu. Czy wdrożenie PSD2 wpłynie na sytuację w tym obszarze?

Polskie API stanowi rozwiązanie optymalne nie tylko dla poszcze­gólnych banków czy nawet całego sektora, ale przede wszystkim dla całego ekosystemu płatności. Dzięki wprowadzeniu standardu obniżeniu ulegną nie tylko koszty wystawie­nia interfejsu po stronie banków, ale również wydatki ponoszone przez podmioty trzecie w związku z dostępem do kanału bankowego.

– Faktycznie, polskie banki otworzyły się na podmioty trzecie jeszcze na długo przez rozpoczęciem prac nad dyrektywą PSD2. Dominującą metodą płatności internetowych w Polsce są tzw. pay-by-linki, a przecież to klasyczny przykład produktu wytworzonego przez podmioty trzecie wspólnie z bankami. Dlatego po implementacji PSD2 nie powinniśmy mówić o otwarciu polskiego sektora bankowego na podmioty trzecie, zmieni się tylko model jego otwarcia w obszarze płatności. Jesteśmy faktycznie w owej bardzo delikatnej fazie zmiany modelu, nie wiemy jeszcze, jak do końca będzie ten model wyglądał, bo nie znamy wszystkich parametrów, jakie będą zawarte w regulacjach, jednak kluczowe jest to, by w nowym modelu otwarcia zagwarantować bezpieczeństwo klienta i całego systemu. O to wszyscy powinni zabiegać i powinien być to cel zasadniczy wszystkich uczestników tej gry rynkowej.

Jednym z kluczowych instrumentów związanych z wdrażaniem PSD2 będzie polskie API – projekt realizowany przez ZBP. W jaki sposób to rozwiązanie wspomoże banki w realizacji obowiązków wynikających z dyrektywy?

– Polskie API stanowi rozwiązanie optymalne nie tylko dla poszczególnych banków czy nawet całego sektora, ale przede wszystkim dla całego ekosystemu płatności. Dzięki wprowadzeniu standardu obniżeniu ulegną nie tylko koszty wystawienia interfejsu po stronie banków, ale również wydatki ponoszone przez podmioty trzecie w związku z dostępem do kanału bankowego. Dzięki polskiemu API nieduży podmiot świadczący usługi płatnicze nie będzie musiał integrować się z każdym bankiem indywidualnie, tylko skorzysta z opcji łatwiejszej integracji z większą ilością instytucji finansowych z zastosowaniem zuniformizowanego interfejsu. Pod tym względem projekt realizowany przez ZBP będzie de facto wspierać małe podmioty trzecie, wśród których najpewniej znajdą się startupy fintechowe, które nie dysponują takimi zasobami finansowymi, technologicznymi i ludzkimi, by w prosty sposób dokonać integracji z poszczególnymi bankami. Interfejs jednolity, zaopatrzony w odpowiednie rozwiązania techniczne jest również rozwiązaniem optymalnym z punktu widzenia bezpieczeństwa całego systemu finansowego. Cyberbezpieczeństwo jest absolutnym priorytetem dla ZBP, w tym obszarze nie uznajemy żadnych kompromisów, dlatego wspólne działanie ma na celu zagwarantowanie odpowiedniego poziomu bezpieczeństwa wszystkim uczestnikom rynku – zarówno bankom, podmiotom trzecim, jak i klientom.

Niemal w tym samym czasie co PSD2 zaczyna być stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO), gdzie również mamy silny nacisk na przenoszenie danych. Czy te dwa akty prawne mają charakter komplementarny?

– Zarówno RODO, jak i dyrektywa o usługach płatniczych będą miały olbrzymi wpływ na funkcjonowanie banków i podmiotów trzecich. W ramach naszych prac nad polskim API dużą uwagę przywiązujemy do aspektów prawnych. Powołaliśmy grupę prawną, która zajmuje się analizowaniem kwestii regulacyjnych, więc również badaniem, w jakim zakresie na ten projekt będzie oddziaływać regulacja RODO. Jesteśmy przekonani, że uda nam się rozwiązać wszystkie wątpliwości do czasu, kiedy obydwa akty prawne zaczną obowiązywać, a Polish API uzyska gotowość do działania.

Ostatnia sprawa: czy PSD2 może wspomóc promowanie bezgotówkowych form płatności w Polsce?

– Popularyzacja obrotu bezgotówkowego i budowa pewnych przyzwyczajeń u konsumentów jest procesem długotrwałym i złożonym. Trudno jest jednoznacznie wskazać jeden element, który szybko spowodowałby zmianę takich przyzwyczajeń. Musi to być bardzo zorganizowany zespół czynników, które będą wpływały długoterminowo na klientów, aby zmieniali swe przyzwyczajenia, by odchodzili od gotówki na rzecz kart czy innych form płatności elektronicznych. Służą temu różne działania, od czysto komunikacyjnych i marketingowych, poprzez edukacyjne, aż po zmiany w prawie, na przykład zobowiązanie przedsiębiorców do akceptacji kart, by dać klientom możliwość wyboru formy płatności. Często jest tak, że klienci chcą zapłacić kartą lub innym instrumentem płatniczym, ale nie mają takiej możliwości w danym punkcie usługowo–handlowym. Musimy zrównać prawo klienta w zakresie płatności zarówno gotówką, jak i za pomocą płatności elektronicznych.