Logika Polish API do skopiowania przez inne kraje

Aktualności / Multimedia

O planach Krajowej Izby Rozliczeniowej, związanych z Polish API, w wywiadzie dla aleBank.pl, mówi Piotr Alicki prezes KIR.

Piotr Alicki, prezes, Krajowa Izba Rozliczeniowa: Dyskusja w Europie o aspektach bezpieczeństwa w kontekście regulacji #PSD2, jest spowodowana stanowiskiem polskich podmiotów powiązanych z realizacją usług płatniczych w naszym kraju. #PiotrAlicki #KIR

Robert Lidke – aleBank.pl: Panie Prezesie, czy standard Polish API może być polskim produktem eksportowym?

Piotr Alicki – Prezes Krajowej Izby Rozliczeniowej: To ciekawe pytanie. Z punktu widzenia technicznego niekoniecznie – nie są to nasze aspiracje. Natomiast z punktu widzenia standardu realizacji koncepcji Open Banking, czy też standardu implementacji PSD2 – z zachowaniem wszelkich wymogów bezpieczeństwa, dobrych praktyk w tym zakresie i ochroną naszych klientów – jak najbardziej tak. Dyskusja, która w tej chwili trwa w Europie, jeśli chodzi o aspekty bezpieczeństwa w zakresie wdrażania regulacji PSD2, jest też spowodowana stanowiskiem polskich podmiotów – nie tylko banków, ale wszystkich podmiotów, które uczestniczą w realizacji płatności lub też są powiązane z realizacją usług płatniczych w Polsce.

Zobacz i posłuchaj rozmowy na naszym kanale aleBankTV na YouTube albo na końcu artykułu

Czy to oznacza, że w innych krajach, np. Europy Środkowej, ten standard mógłby być stosowany przez sektor bankowy, finansowy?

Żebyśmy się dobrze rozumieli – niekoniecznie dokładnie ten standard techniczny w szczególności, ale ta logika jak najbardziej. Zasady, które odnoszą się w szczególności do wymogów  bezpieczeństwa, czyli nie dopuszczają Credential Sharing, czy też Screen Scraping.

Co to są Credentiale?

Są to narzędzia uwierzytelniania i autentykacji oferowane przez banki. Mówiąc potocznie to login, hasło w powiązaniu z kodem smsowym lub chociażby kod Blik, który na polskim rynku jest pewnym standardem.

Czyli są to najbardziej wrażliwe informacje, które polski sektor bankowy, proponując Polish API, chce chronić.

Chce chronić, to znaczy chce zachować dzisiejsze zasady wykorzystywania narzędzi przez klienta,
które opierają się na tym, że używa ich na stronach, czy w aplikacjach dostarczanych przez bank,
natomiast nie udostępnia tych informacji stronom trzecim. To jest fundamentalna zasada,
której chcemy się trzymać.

Rozumiem, że klienci sektora bankowego będą się czuli bezpiecznie, ale wróćmy do Krajowej Izby Rozliczeniowej. Jaka będzie rola KIRu przy wprowadzaniu standardu Polish API?

Krajowa Izba Rozliczeniowa jest spółką infrastrukturalną sektora bankowego. Jej udziałowcami w tej czy w innej formie są wszystkie banki. Naszą misją i jednym z podstawowych zadań  jest dostarczanie usług sektorowi, w szczególności w obszarze usług płatniczych oraz usług związanych z cyberbezpieczeństwem. Od niedawna wchodzimy na pole pośredniczenia w dostarczaniu usług identyfikacyjnych – słyszał pan na pewno o inicjatywie Moje ID.

Wszystkie te działania wiążą się z bezpiecznym dostępem i wykorzystywaniem uwierzytelnień bankowych w tej czy innej formule dostępu do rachunku bankowego. KIR zamierza zaoferować platformę, na której Polish API, jako standard, zostanie osadzone i będzie umożliwiać dostarczanie szeregu  firmom, w szczególności spoza sektora – usług takich jak  dostęp do rachunku, inicjowanie płatności tak, jak tego wymaga dyrektywa PSD2 w sposób bezpieczny, z zachowaniem standardów, o których wspomniałem wcześniej.

Zatem można powiedzieć, że firma zewnętrzna, podmiot trzeci, który chciałby się dostać do informacji bankowych o kliencie, będzie musiał „zapukać do drzwi” KIRu?

Niekoniecznie będzie musiał – nie ma monopolu, ani przymusu. Prawdopodobnie logika, efektywność i bezpieczeństwo rozwiązań spowoduje, że pośrednictwo Krajowej Izby Rozliczeniowej będzie pożądane zarówno przez podmioty „pukające” po taką usługę, jak również przez banki, które podniosą swoją efektywność ekonomiczną i zwiększą swoje bezpieczeństwo jeżeli standard, który będą realizowały, będzie standardem operacyjnym.

Jeszcze raz podkreślę, że to nie jest przymus, ale prawdopodobnie taki wybór będzie dokonywany.

Wyobraźmy sobie taką sytuację, że banki korzystają z tej możliwości, strony trzecie także, wykorzystując Krajową Izbę Rozliczeniową. Kraje sąsiednie myślą o tym, aby przyjąć  podobny standard jak Polish API. I rodzi się pytanie – czy podmioty finansowe działające w tych krajach – Rumunii, Bułgarii, Czechach – mogłyby korzystać z usług KIRu?

Nie jest to oczywiście wykluczone. Na razie jednak patrzymy na bliższą przyszłość, wychodząc z założenia, że inna może być rozmowa o rozszerzeniu – w tym również geograficznym – zakresu naszych usług jeżeli będziemy mówili o istniejącym rozwiązaniu, które jest wypraktykowane i zdobędzie odpowiedni poziom popularności zastosowania na rynku rodzimym.

Póki co patrzymy na rynek polski, natomiast nie wykluczamy zaoferowania szerszej gamy usług poza granicami Polski. Sądzę, że porozmawiamy o tym za rok.