Bankowość Spółdzielcza | Regulacje | PSD2: szansa czy zagrożenie?

BANK 2020/07

Fot. peshkov/stock.adobe.com

Banki w Europie Środkowej można podzielić na dwie grupy: instytucje podejmujące wyzwanie i minimalistów. Taki wniosek płynie z badania przeprowadzonego przez Deloitte, a dotyczącego stopnia dostosowania poszczególnych banków do wymogów dyrektywy PSD2.

Analizy objęły 90 banków, z czego 73% stanowiły instytucje finansowe z Europy Środkowej. W przypadku Polski było to siedem podmiotów, które odpowiadają za ponad połowę ogólnej sumy aktywów w naszym kraju.

– Analiza wyników pozwoliła nam wyodrębnić grupę banków podejmujących wyzwanie, które będą się starać aktywnie wykorzystać powstałe możliwości, zarówno jeżeli chodzi o dostosowanie się do nowych przepisów, jak również podejście strategiczne. Jest także grupa minimalistów, która skupia się jedynie na wymaganiach regulacyjnych. Pierwsza kategoria to przede wszystkim duże banki, do drugiej należy zaliczyć średnich i mniejszych graczy – informuje Grzegorz Cimochowski, partner, lider sektora instytucji finansowych w Polsce, Deloitte.

Przepisy unijnej dyrektywy PSD2 (ang. Payment Services Directive) weszły w życie 14 września ub.r. Zmieniły niektóre zasady korzystania z usług i produktów bankowych i wprowadziły obowiązek silnego uwierzytelniania. Chodziło o zwiększenie bezpieczeństwo transakcji oraz określenie na nowo zasad zarządzania dostępem klientów banków do ich rachunków. Ale nie tylko, celem wdrożenia nowych regulacji było także wyrównanie szans na rynku finansowym i otworzenie go na podmioty niebankowe. Nic dziwnego, że pojawiły się głosy ostrzegające przed zmianami w bankowości elektronicznej, powrotem screen scrapingu czy zdominowaniem rynku przez podmioty GAFA (Google, Amazon, Facebook, Apple). Zjawiska te miałyby stanowić bezpośrednie, negatywne konsekwencje przyjętych uregulowań.

Nowe warunki

Dyrektywa PSD2 znacząco zmieniła sposób poruszania się w bankowości elektronicznej, wprowadzając obowiązek tzw. silnego uwierzytelnienia logującego się użytkownika. Ma ono opierać się na zastosowaniu kombinacji trzech elementów: wiedzy (np. hasło znane tylko i wyłącznie użytkownikowi), posiadania (tę rolę spełniać będzie mógł osobisty numer użytkownika, na który wysłany zostanie kod autoryzujący) oraz obecności (np. numer klienta bankowości elektronicznej). W praktyce oznacza to, że każdy użytkownik oprócz loginu i hasła będzie musiał podać przesłany SMS-em kod lub dokonać autoryzacji mobilnej. Ponadto, z uwagi na niespełnianie wymogów silnego uwierzytelniania, do autoryzacji transakcji elektronicznych nie będzie można stosować kart kodów jednorazowych oraz tokenów.

Zaostrzenie przepisów, o czym wspomniałem, zwiększy poziom ochrony klientów. W ostatnim czasie często słyszeliśmy o atakach phishingowych, podczas których sprawcy podszywali się pod banki, by wyłudzić dane ich klientów i dokonywać za pomocą ich konta bezprawnych operacji finansowych. Odgórne narzucenie dodatkowej formy autoryzacji pozwoli, przynajmniej czasowo, na ograniczenie skali tego procederu. Z drugiej jednak strony nie brak opinii jakoby PSD2 przywróciła możliwość stosowania niektórych ryzykownych modeli działania, jak choćby zakazany dotychczas przez KNF screen scraping. Faktycznie, zainicjowany przez dyrektywę wymóg udostępnienia przez banki istniejących już interfejsów użytkowników stwarza szansę na jego powrót w nowej, zmodyfikowanej formie.

Równocześnie jednak liczne obostrzenia wprowadzone przez nowe regulacje pozwalają zneutralizować wady, dyskwalifikujące technikę, dzięki której dane z serwisów transakcyjnych poszczególnych klientów mogą być odczytywane automatycznie, przynajmniej w dotychczasowej postaci. Obowiązek silnego uwierzytelniania faktycznie uniemożliwi bowiem dostawcom zewnętrznym podanie się za posiadacza konkretnego rachunku, co z kolei skutecznie uchroni użytkowników przed niechcianym profilowaniem i poddawaniem analizie ich preferencji zakupowych czy stylu korzystania ze środków finansowych. Technicznie nie jest więc możliwy powrót screen scrapingu w formie kwestionowanej przez nadzór.

Otwarcie rynku finansowego na podmioty niebankowe powodowało powstanie niszy, którą mogą zapełniać tak zwane podmioty trzecie. Wśród bankowców pojawiła się obawa, że szansę tę wykorzystają wielkie korporacje spod szyldu GAFA, tworząc własne instrumenty finansowe, pomagające im w budowaniu monopolu na rynku. Aż 53% przedstawicieli sektora uważa taki scenariusz za realne zagrożenie. Polskie społeczeństwo nie wydaje się jednak aż tak podatne na te radykalne zmiany. Zdecydowana większość z nas w sferze finansowej nie ufa potentatom GAFA, zwłaszcza w tak drażliwych kwestiach, jak podawanie danych.

Szansa w wyścigu

Czy unijna dyrektywa PSD2 wpłynęła i wpłynie na działalność banków spółdzielczych? Pojawiają się głosy, że instytucje, które nie skorzystają z okazji zostaną „dawcami informacji o swoich klientach”. Dlatego pojawiła się inicjatywa wykorzystania nowych przepisów do rozwoju narzędzi, umożliwiających spółdzielczości oferowanie usług finansowych kanałami elektronicznymi. Podczas branżowych spotkań mówiono, że dyrektywa jest szansą, którą należy wykorzystać, aby spółdzielczość mogła „dogonić komercję”, nie tracąc jednocześnie nic ze swojego dotychczasowego dorobku.

PSD2 pozwala spółdzielcom dostarczać rozwiązania, które nie będą odbiegały od oczekiwań klientów i trendów rynkowych. Te zaś jednoznacznie zmierzają w kierunku kanałów zdalnych. W tym kontekście lokalny sektor finansowy zyskuje całkiem nową szansę. Usługi dostępu do rachunku banki spółdzielcze mogą z powodzeniem świadczyć samodzielnie lub też za pośrednictwem wyspecjalizowanej instytucji, którą może być centrum usług wspólnych. Cel jest jeden: dostosować się do potrzeb klienta, sprostać jego wymaganiom, a w konsekwencji zyskać jego lojalność.

Wg badania KPMG i ZBP 61% konsumentów nie przekaże innym podmiotom swojej historii transakcji, nawet w zamian za korzystniejszą ofertę finansową, a wg Deloitte 43% nie czułoby się komfortowo, dzieląc się z zewnętrznymi podmiotami danymi na temat swojego konta.

Udostępniając taką usługę, banki zyskają dostęp do informacji o historii operacji, dokonywanych przez klienta w innych instytucjach. A to oznacza bardziej precyzyjny scoring, bazujący na dużo większej ilości informacji niż obecnie posiadane. To zaś umożliwia lepsze dostosowanie oferty do potrzeb i możliwości klienta. Za pomocą takiego rozwiązania można, wspólnie z sieciami handlowymi czy też innymi kontrahentami, oferować programy lojalnościowe, zbierając jednocześnie informacje o preferencjach zakupowych użytkownika.

Doskonałym przykładem ilustrującym rolę i miejsce bankowości spółdzielczej w rynku po wdrożeniu zapisów PSD2 są słowa Jarosława Grochowskiego, prezesa Centrum Rozwoju Usług Zrzeszeniowych. – Internet zmienia wszystko, jeszcze nie tak dawno chodziliśmy do wypożyczalni filmów. Wypożyczaliśmy najpierw kasety VHS, które zostały wyparte przez DVD i BlueRay. Teraz wypożyczalnie znikają, zamykają się, ponieważ filmy możemy zamawiać i oglądać przez internet. (…) Czy podobny los nie czeka instytucji, które nie będą oferować swoim klientom pełnej oferty usług i obsługi przez internet? Chciałbym, aby banki spółdzielcze dostrzegły te możliwości, jak i zagrożenia, dały się przekonać i zaangażowały się w CRUZ, który mógłby stać się swego rodzaju fintechem dla sektora spółdzielczego. Sami, bez banków tego nie dokonamy, ponieważ do takich przedsięwzięć wymagane jest zaangażowanie, nie tylko finansowe, ale także osobowe i intelektualne, potrzebna jest współpraca banków. Cała nadzieja w grupie banków, które charakteryzuje duża świadomość zmian zachodzących w otoczeniu, trendów i potrzeb klientów, co przekłada się finalnie na wykorzystanie nowych technologii i możliwości nowoczesnego działania. (…). Spółdzielczość w Polsce musi wrócić do korzeni, do swej idei, aby osiągnąć poziomy uzyskiwane przez banki lokalne w Niemczech lub innych krajach europejskich – zaznaczył szef CRUZ.

Fintechy nie zastąpią banku

Na rynku bankowym najważniejsze jest zaufanie. Dlatego Polacy wolą korzystać z kredytów czy też kont oferowanych przez banki, a nie fintechy. Być może najmłodsze pokolenie zmieni swoje priorytety, jednak dziś dla wielu klientów ważny jest bezpośredni kontakt z pracownikiem, a nie tylko możliwość skorzystania ze sztucznej inteligencji. Eksperci podkreślają, że bezpieczeństwo to kluczowy element zmian wynikających z PSD2. Jak pokazuje marcowe badanie KPMG i Związku Banków Polskich („PSD2 i Open Banking. Rewolucja czy ewolucja?”), zaledwie 9% przedstawicieli bankowości uważa, że tzw. podmioty trzecie będą w stanie chronić dane klientów tak dobrze, jak robią to banki.

Ten aspekt jest też równie istotny dla samych klientów – 61% ankietowanych konsumentów zadeklarowało, że nie przekaże innym podmiotom swojej historii transakcji, nawet w zamian za korzystniejszą ofertę finansową. Także w badaniu Deloitte 43% respondentów stwierdziło, że nie czuliby się komfortowo, gdyby musieli dzielić się z zewnętrznymi podmiotami danymi na temat swojego konta.

Z badań przeprowadzonych przez Związek Banków Polskich oraz KPMG wynika jednak, że aż 76% przedstawicieli sektora bankowego spodziewa się wzrostu liczby cyberataków po wdrożeniu dyrektywy PSD2. Cyberprzestępcy poczynają sobie coraz śmielej, a przypadków naruszeń bezpieczeństwa przybywa z roku na rok. Banki i instytucje współpracujące w ramach otwartego API muszą się spodziewać, że hakerzy będą próbować pokonać zabezpieczenia i zdobyć dostęp do wrażliwych danych.

Dyrektywa PSD2 wniosła na rynek wiele szans i możliwości, ale niesie też pewne niebezpieczeństwa. Warto, aby wszyscy użytkownicy Open API pamiętali o odpowiednich mechanizmach zabezpieczeń i odzyskiwania danych. Dzięki temu zapewnią sobie bezpieczeństwo i spokój, a jednocześnie będą przygotowani na szybkie przywrócenie danych, a co za tym idzie usług w przypadku np. ataku hakerskiego. Także i sektor spółdzielczy powinien wykorzystać przewagi wynikające z lokalności i bliskich relacji z klientami. Banki te muszą szybko reagować na zmiany zachodzące na rynku, współpracować i zwiększać swoją siłę jako grupa.

Udostępnij artykuł: