Raport specjalny – „Ranking największych banków w Polsce”: Ku otwartemu ekosystemowi usług płatniczych

BANK 2018/06

Otwarcie rynku płatności stanowi bez wątpienia największą rewolucję na rynku finansowym A.D. 2018. Dostosowanie się do wymogów dyrektywy PSD2, przy jednoczesnym zachowaniu dotychczasowych standardów bezpieczeństwa i ochrony klienta i utrzymaniu konkurencyjności względem coraz aktywniejszych podmiotów trzecich, dotyczyć będzie w równym stopniu liderów rynku, jak i niewielkich instytucji o zasięgu lokalnym.

Otwarcie rynku płatności stanowi bez wątpienia największą rewolucję na rynku finansowym A.D. 2018. Dostosowanie się do wymogów dyrektywy PSD2, przy jednoczesnym zachowaniu dotychczasowych standardów bezpieczeństwa i ochrony klienta i utrzymaniu konkurencyjności względem coraz aktywniejszych podmiotów trzecich, dotyczyć będzie w równym stopniu liderów rynku, jak i niewielkich instytucji o zasięgu lokalnym.

Jerzy Majka

Istotnym wsparciem w realizacji tego niełatwego zadania jest projekt PolishAPI, zainicjowany i realizowany przez Związek Banków Polskich. W jakim stopniu ta inicjatywa może pomóc w implementacji postanowień dyrektywy PSD2? Czy rozwiązania przewidziane w PolishAPI będą odpowiadać środowisku software stosowanemu w instytucjach finansowych? Na te pytania odpowiedzieli nam przedstawiciele polskich banków.

Urszula Antonkiewicz-Kotla dyrektor Departamentu Zarządzania Decyzjami Biznesowymi, Citi Handlowy:

– W celu optymalnego wykorzystania możliwości określonych w PSD2, uczestnicy rynku intensywnie pracują nad stworzeniem odpowiednich rozwiązań technologicznych w zakresie ustandaryzowania procesu dostępu do informacji o rachunkach klientach oraz inicjowania płatności. Takie podejście usprawni wdrożenia, ograniczy koszty oraz przyśpieszy prace poszczególnych banków, gdyż to przede wszystkim one będą przekazywać dane. Takim standardem wypracowywanym dla rynku polskiego jest PolishAPI – inicjatywa, w której uczestniczy wiele instytucji. Interfejs ten stanowi alternatywę dla standardu wypracowywanego na poziomie europejskim przez tzw. Grupę Berlińską. Wszelkie rozwiązania PolishAPI, które są uspójnione z propozycjami zewnętrznymi, dają podstawy do ich wdrożenia nie tylko wśród lokalnych graczy, ale również dużych międzynarodowych grup.

Bank Citi Handlowy jest zawsze otwarty na wszelkie dobre rozwiązania dla klienta i na bieżąco dostosowuje swoje usługi do zmian w technologii. Elastycznie reagujemy na ewolucję profilu klientów, aby być w 100% przygotowanymi technologicznie oraz biznesowo do świadczenia wysokiej jakości usług dla swoich klientów, również poprzez rozwiązania, jakie daje wejście w życie rozwiązań wynikających z PSD2. Bank jest już mocno zaawansowany w przygotowaniu właściwego interfejsu, jako część międzynarodowej instytucji pracuje nad uniwersalnym rozwiązaniem. W naszej ocenie bardzo dobrym posunięciem jest tworzenie krajowych alternatyw, które przy odpowiednim wsparciu i pewnej kalibracji mogą stymulować rozwój lokalnych fintechów i powstawianie wielu oryginalnych i ciekawych rozwiązań dotąd niespotykanych w sektorze.

Do wdrożenia ostatecznych rozwiązań zostało już niewiele czasu, ale przy dzisiejszym standardzie szybkości wprowadzania technologicznych wydaje się on być wystarczający, aby lokalne rozwiązania były spójne z rozwiązaniami z innych krajów Unii Europejskiej. Wtedy otwartość i konkurencyjność rynku będzie jeszcze większa. Wyobrażam sobie sytuację, że w chwili, gdybym zechciała podjąć pracę przykładowo w Niemczech, mając jednocześnie aktywne rachunki w Polsce, w jednym zintegrowanym rozwiązaniu widzę wszystkie moje konta i karty kredytowe – zarówno polskie, jak i niemieckie. Zarządzanie finansami w takiej sytuacji wydaje się być o wiele prostsze.

Sławomir Czembrowski główny specjalista, architekt IT w Banku Credit Agricole:

– Wdrożenie dyrektywy PSD2, w szczególności rozporządzenia delegowanego Komisji UE, czyli regulacyjnych standardów technicznych (RTS) dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji, stanowi dla banku niezwykle odpowiedzialne zadanie w szeroko rozumianym obszarze IT. Wyzwanie stanowi zarówno sama budowa interfejsów komunikacyjnych, jak i nowe podejście do zapewnienia bezpieczeństwa transakcji, zagwarantowanie niezawodności planowanych rozwiązań czy wreszcie zmiana organizacji i procesów związanych z dostarczaniem oprogramowania. Podstawową powinnością banku wynikającą z wdrożenia dyrektywy PSD2 jest udostępnienie otwartego interfejsu (API) pozwalającego firmom trzecim (TPP – third party provider) na inicjowanie płatności oraz dostęp do informacji o rachunkach klientów, po wcześniejszym wyrażeniu przez nich zgody.

Dzięki przeprowadzonym w ostatnich latach inwestycjom w infrastrukturę IT, takim jak wdrożenie i konsekwentny rozwój architektury opartej na usługach (SOA) oraz duży program migracji rozproszonych funkcjonalności do jednego systemu centralnego, nasza instytucja została przygotowana do udostępniania API. Inicjatywa podjęta przez banki zrzeszone w Związku Banków Polskich oraz liczne instytucje finansowe działające na polskim rynku, znana pod nazwą PolishAPI, zdejmuje z poszczególnych podmiotów rynku finansowego obowiązek samodzielnego opracowania modelu interfejsu oraz weryfikacji jego zgodności z zapisami dyrektywy. Wypracowanie ogólnorynkowego, powszechnego standardu ułatwia rozmowy z polskimi i europejskimi instytucjami regulacyjnymi i kontrolnymi, co jest szczególnie istotne ze względu na małą precyzyjność przepisów pozostawiających sporo przestrzeni do interpretacji.

Bank Credit Agricole przez lata wypracował techniczne umiejętności udostępniania usług (API) firmom współpracującym – towarzystwom ubezpieczeniowym, firmom leasingowym, pośrednikom kredytowym i innym. Wymagania PSD2 stwarzają jednak konieczność wejścia na kolejny poziom zaawansowania – udostępniania otwartego API. W celu ich realizacji infrastruktura IT banku już jakiś czas temu została uzupełniona o komponenty pozwalające na zarządzanie API (rozwiązanie klasy API Management). Z pewnością wdrożenie postanowień dyrektywy wpłynie znacząco na rynek płatności. Tak obecnie popularne „API economy” nie mogło nie dosięgnąć branży bankowej.

Paweł Wierciński starszy specjalista w PKO Banku Polskim:

– PKO Bank Polski od początku bierze aktywny udział we wspieraniu rynkowych rozwiązań, ukierunkowanych na budowę wspólnego standardu komunikacji między tradycyjnym sektorem finansowym a dostawcami nowych usług. Dlatego też we współpracy z innymi bankami oraz niebankowymi graczami na tym rynku pracujemy nad stworzeniem jednolitego interfejsu, jakim jest PolishAPI. Standaryzacja w tym obszarze zdecydowanie pomoże bankom w implementacji postanowień dyrektywy PSD2, ponieważ już same prace nad powstaniem wspólnego API dla całego sektora pozwalają wszystkim uczestnikom rynku w równym stopniu skupić się na rozwoju i budowaniu wartości dla klientów, wraz z zachowaniem najwyższych poziomów bezpieczeństwa.

Największym wyzwaniem dla banków oraz dostawców usług płatniczych związanym z integracją systemów z PolishAPI jest zagwarantowanie pełnego bezpieczeństwa środków klientów i poufności danych. Swobodny rozwój rynku płatności pod wpływem dyrektywy PSD2 nie może odbywać się kosztem bezpieczeństwa systemów bankowych, a co za tym idzie – nie może skutkować obniżeniem zaufania do instytucji finansowych. Mając to na względzie, PKO Bank Polski swoje działania w pierwszym rzędzie koncentruje na tym aspekcie. Jednocześnie PolishAPI musi być dopasowane do zróżnicowanych systemów i aplikacji w różnych podmiotach wykorzystujących ten standard. Liczymy, że po sfinalizowaniu prac nad standardem zostanie on pozytywnie przyjęty przez rynek i będą mogli korzystać z niego wszyscy zainteresowani.

Adam Mańka dyrektor Departamentu Rozwoju Aplikacji w Banku Millennium:

– Odbywająca się na naszych oczach transformacja europejskiego sektora finansowego w kierunku otwartych usług bankowych wkracza w fazę konkretnych realizacji. Uczestnicy tworzonego właśnie ekosystemu szeroko dostępnych i praktycznie nielimitowanych usług finansowych budują nowe modele biznesowe. Znając doświadczenia innych wchodzących na rynek standardów, takich jak nośnik CD i DVD, interfejs USB czy Bluetooth wiadomo już, że sukces masowych, multikanałowych rozwiązań mocno zależy od wysokiej standaryzacji tych rozwiązań. Element ten gwarantuje adopcję i rozpowszechnienie produktu na skalę masową, a tym samym sukces wszystkich uczestników rynku. Inicjatywa wypracowania technicznego standardu PolishAPI, wspierającego transformację usług bankowych nie jest niczym nowym, również Wielka Brytania, Francja i Niemcy wypracowały swoje standardy. Sądzę, że kolejnym wyzwaniem będzie próba konsolidacji i ujednolicenia wszystkich tych standardów do wspólnej, kompatybilnej, międzynarodowej platformy. Jeśli chodzi o sam standard PolishAPI, to jest on bardzo pomocny w implementacji postanowień dyrektywy PSD2 – jego główna siła tkwi w przełożeniu ogólnych zaleceń RTS na konkretny, bezpieczny i szeroko konsultowany spis założeń technicznych.

Wypracowany przez Związek Banków Polskich, w porozumieniu z bankami, interfejs poza samym protokołem wymiany danych i zasadami bezpieczeństwa nie narzuca konkretnego sposobu implementacji i jako taki stanowi raczej punkt odniesienia co do głównych założeń oraz użytego protokołu. Oznacza to, że w żadnym stopniu nie wpływa na środowisko software któregokolwiek z banków, w tym Banku Millennium. Architektura teleinformatyczna naszego banku, bazująca na wzorcu SOA i Microservices, umożliwia elastyczne, wydajne, sprawne i bezpieczne integrowanie usług bankowych ze światem zewnętrznym. Samo dostosowanie do jakiegokolwiek standardu wymiany danych (niezależnie, czy mówimy o PolishAPI, czy o innym) jest nieodzowne, ale nie oznacza szczególnych wyzwań.

Nowy standard przewiduje także zcentralizowaną usługę weryfikacyjną i certyfikacyjną dla TPP, ale na obecną chwilę nie opisuje on tego obszaru (być może uwzględni to kolejna wersja). Inną kwestią jest opcjonalny w stosunku do podstawowego sposób uwierzytelniania, który wymaga doprecyzowania i opisania. Tak więc istotne jest, by kontynuować dalsze prace nad obiecującym dla całego rynku standardem.

Udostpnij artyku: