Rozmowa z Mateuszem Górnisiewiczem: O regulacyjnych standardach technicznych dyrektywy PSD2 i ich znaczeniu dla uczestników rynku usług płatniczych

Multimedia / Tylko u nas

Mateusz Górnisiewicz - Związek Banków Polskich

Mateusz Górnisiewicz: Dyrektywa PSD2 i związane z nią regulacyjne standardy techniczne, które są w projekcje publikowane, stanowią bardzo dużą rewolucję dla rynku usług płatniczych w Polsce i całej UE. Należy zwrócić uwagę na zupełnie nowy rodzaj usług płatniczych, który dopiero teraz znajduje usankcjonowanie w prawie – usługi oparte o dostęp stron trzecich do rachunków bankowych klientów, które działają w taki sposób, że klient nie loguje się bezpośredno do swojej bankowości elektronicznej natomiast loguje się do swojego dostawcy, do swojej strony trzeciej, która w jego imieniu loguje się do dostawcy usług płatniczych prowadzącego rachunek i wykonuje w jego imieniu pewne operacje jak np. zainicjowanie płatności, agregowanie informacji z rachunku bankowego po to, aby ułatwić użytkownikowi zarządzanie budżetem.

Bardzo dobrze, że takie innowacje są wprowadzane, że są sankcjonowanie prawie. Jednak trzeba zwrócić uwagę na szereg zagrożeń, które się z tym wiążą, związanych przede wszystkim z udostępnianiem stronom trzecim danych uwierzytelniających do rachunku bankowego. Zgodnie z projetem RTS podejścia prawdopodobnie dopuszczale w opinii Europejskiego Urzędu Nadzoru Bankowego w tym zakresie są różne. Jedno naiwne podejście opierałoby się o bezpośrednie przekazywanie przez klienta swoich danych dostępowych do rachunku płatniczego stronie trzeciej, która przepisując te dane zaloguje się w jego imieniu do banku i wykona odpowiednie operacje w celu świadczenia usługi. Podstawowe pytanie, które się pojawia: jak zapewnić efektywnie aby strona trzecia nie miała żadnej możliwośći wykorzystania danych uwierzytelniających na żadne inne potrzeby niż usługa, której zażądał klient?

Z analiz ZBP i konsultacji z wieloma podmiotami wynika, że przy takim rozwiązaniu praktycznej możliwości ochrony nie będzie. To generuje bardzo duże ryzyko z perspektywy pojedynczych klientów ale też z perspektywy sektora usług płatniczych, a docelowo nawet całej stabilności sektora bankowego. Dlatego rozwiązanie, którego koncepcję już wypracowaliśmy w ramach ZBP i które będziemy chcieli rozwijać wspólnie z bankami i innymi podmiotami zrzeszonymi polega na tym, że o ile klient będzie żądał usługi do strony trzeciej o tyle przekazanie danych uwierzytelniających, czyli zalogowanie się na rachunek bankowy będzie się odbywało na stronie banku prowadzącego rachunek, który po zalogowaniu się klienta i potwierdzeniu chęci skorzystania z tego rodzaju usługi przekaże stosowne informacje do strony trzeciej, która będzie mogła robić to, do czego została powołana, czyli świadczyć innowacyjne usługi płatnicze.

Takie rozwiązanie jest o wiele bezpieczniejsze. Jeszcze czekamy na potwierdzenie tego ze strony Europejskiego Urzędu Nadzoru Bankowego. Wydaje się, że spełnia ono oczekiwania Urzędu, a jednocześnie pozwoli na zapewnienie tego, aby rynek usług płatniczych mógł się innowacyjnie rozwijać.

Relacja video dostępna tutaj

aleBank.pl