Nowe możliwości dzięki dyrektywie PSD2

Przez ostatnie lata gwałtownie wzrasta popularność płatności elektronicznych czy płatności z wykorzystaniem np.smartfonów. Kolejnym krokiem jeśli chodzi o zmiany i rozwój usług finansowych jest wdrożenie dyrektywy PSD2 otwierającej bankowość. W kolejnych punktach poruszę kwestię korzyści oraz wyzwań jakie niesie ze sobą ta rewolucja.

Spis treści

1. Co to jest dyrektywa PSD2?
2. Nowe możliwości
3. Funkcje dostępne w API
4. Polish API
   – Co to jest?
   – Sandboxy
5. Dostęp do API
6. Jak stać się TPP?
7. Uzyskanie certyfikatu
8. Rozwój i zagrożenia
9. Potrzeby użytkowników
10. Nowi gracze na rynku
11. Obawy i zagrożenia
12. Podsumowanie

Co to jest dyrektywa PSD2?

W skrócie o dyrektywie

PSD2 (czyli Payment Services Directive 2) – jest to dyrektywa wprowadzona przez Parlament Europejski i Radę Unii Europejskiej i dotyczy usług płatniczych w ramach rynku wewnętrznego. Jej wpływ na działalność wszelkich bankowych i niebankowych dostawców usług płatniczych będzie znaczący.

Dyrektywa otwiera banki i zobowiązuje je do udostępnienia informacji o rachunkach. Informację jak uzyskać dostęp do tych funkcji i jakie warunki należy spełnić opowiem w kolejnych punktach.

Kraje członkowskie UE mają czas na wdrożenie dyrektywy do września 2019 roku.

Nowe możliwości

Dzięki wprowadzeniu przepisów związanych z wdrożeniem w  Polsce dyrektywy PSD2 pojawiają się nowe możliwości i korzyści:

• możliwość wprowadzenia nowych produktów i usług związanych z rynkiem usług finansowych,
• poprawa jakości obsługi klienta z powodu otwartej bankowości – banki będa starać się, aby klienci korzystali z ich usług (zwiększenie konkurencyjności),
• wspólne API wielu banków (PolishAPI),
• dostęp do banków w całej Europie,
• wsparcie dla usług inicjowania przelewu oraz informacji o rachunku klienta,
• wprowadzenie małej instytucji płatniczej (NIK) bez potrzeby posiadania kapitałów założycielskich ani funduszy własnych, z średniomiesięcznym limitem transakcji,
• wprowadzenie silnego uwierzytelniania – identyfikacja podczas inicjowania płatności będzie musiała przebiegać za pomocą co najmniej 2 niezależnych metod uwierzytelniania (np. hasło i odcisk palca),
• zmniejszenie progu odpowiedzialności – dotyczy nieautoryzowanych transakcji – dotychczasowy próg 150 EUR zostanie zmniejszony do 50 EUR. Jeśli płatnik nie był świadomy utraty, kradzieży lub przywłaszczenia np. karty płatniczej powinien otrzymać od dostawcy usług zwrot kwoty.

Funkcje dostępne w API

Zgodnie z dyrektywą zostaną wprowadzone następujące kategorie usług:

• AIS (Account Information Service) – usługa dostępu do informacji o rachunku, np. sprawdzanie salda, pobieranie historii operacji,
• PIS (Payment Initation Service) – usługa inicjowania płatności, możliwość realizowania płatności przez dostawcę usługi bezpośrednio z rachunku,
• CAF (Confirmation of the Availability of Funds) – możliwość potwierdzenia dostępności na rachunku płatniczym konkretnej kwoty niezbędnej do wykonywania transakcji płatniczej.

Dzięki otwartości API użytkownicy posiadający rachunki w różnych bankach będą mogli wybierać aplikację, która będzie oferować mu dostęp do najważniejszych funkcji wszystkich trzech rachunków.

Polish API

Z powodu wdrożenia dyrektywy PSD2 pojawiła się potrzeba wypracowania wspólnego standardu API. Dzięki temu tworzone jest rozwiązanie łączące spójne podejście m.in do cyberbezpieczeństwa skupiające banki i niebankowe instytucje płatnicze.

Co to jest?

Polish API to odpowiedź polskiego sektora finansowego na wymogi dyrektywy PSD2. Ma stanowić pewien standard dla instytucji płatniczych oraz podmiotów trzecich w Polsce. Do prac nad projektem zaangażowani są m.in. Związek Banków Polskich wraz z bankami komercyjnymi i spółdzielczymi, Polska Organizacja Niebankowych Instytucji Płatności itp.

Sandboxy

Lista banków umożliwiających dostęp do środowiska testowego (sandboxy) obejmuje zarówno banki komercyjne (18)  jak i spółdzielcze (ponad 400) m.in.: 

• Bank Pekao S.A,
• Santander Bank Polska S.A,
• mBank S.A,
• ING Bank Śląski S.A,
• BGŻ BNP Paribas S.A,
• Bank Millennium S.A,
• Alior Bank S.A.

Pełna lista znajduje się na stronie: https://polishapi.org/sandboxy/ 

i jest wciąż uzupełniana. Dodatkowo przy każdej pozycji na liście znajdują się odnośniki do portali deweloperskich lub informacji o dostępie do środowiska testowego ASPSP (dostawcy prowadzący rachunek).

Dostęp do API

Z API mogą korzystać tylko certyfikowane podmioty (TPP) – część banków udostępnia API również podmiotom, które dopiero oczekują na certyfikat (należy potwierdzić złożenie wniosku).

Najważniejsze informacje

W roli TPP mogą występować FinTech’y oraz inne banki. PSD2 nakłada obowiązek na banki, aby umożliwiły dostęp do AIS i PIS bez względu na to czy istnieje między nimi jakakolwiek umowa określająca zasady dostępu. Każdy z banków prezentuje indywidualne podejście jeśli chodzi o rejestracje w celu uzyskania dostępu i wymaga podania innych danych. API testowe powinno być dostępne od 13 marca 2019 roku a interfejsy do pobierania danych i wyzwalania operacji muszą zostać uruchomione do września 2019 roku.

Jak stać się TPP?

Każdy podmiot wymieniając informacje z instytucjami płatniczymi (z zapewnieniem integralności i autentyczności) zobowiązany jest do posługiwania się kwalifikowanymi certyfikatami eIDAS. 

Certyfikaty z terminem ważności od 1 do 2 lat może otrzymać każdy podmiot, który uzyskał od KNF (Komisja Nadzoru Finansowego) pozwolenie na świadczenie usług w ramach PSD2.

Zarówno certyfikat uwierzytelniania witryn internetowych jak i zestaw klasyfikowany pieczęci elektronicznej  znajduje się w ofercie KIR. Zamówienia można składać na stronie sklepu internetowego Szafir:

• https://szafir.kir.com.pl/eshop-web/items.html?id=191 – łączy dane do walidacji pieczęci elektronicznej z osobą prawną i potwierdza jego nazwę,
• https://szafir.kir.com.pl/eshop-web/items.html?id=212 – umożliwia uwierzytelnienie witryn internetowych i przyporządkowywuje witrynę internetową do osoby fizycznej lub prawnej.

Uzyskanie certyfikatu

Certyfikaty można otrzymać elektronicznie (z koniecznością przesłania drogą elektroniczną żądania opatrzonego kwalifikowanym podpisem elektronicznym, weryfikowanym przy pomocy kwalifikowanego certyfikatu osoby upoważnionej do odebrania certyfikatu – wskazanej w zamówieniu).

Do zamówienia certyfikatu potrzebne są:

• ważna umowa na świadczenie usług zaufania,
• wskazanie osób upowaznionej do odebrania certyfikatu,
• potwierdzenie identyfikatorów nadanych przez właściwy organ,
• zamówienie podpisane przez osoby upoważnione do reprezentowania banku (papierowo lub elektronicznie).

Procedura zamawiania certyfikatów z danymi PSD2

Rozwój i zagrożenia

Kredyt w 5 minut z aplikacji mobilnej? A może dostęp do wszystkich rachunków bez względu na bank w jednym systemie? To w jaki sposób zostaną wykorzystane możliwości, które pojawiają się wraz z otwartą bankowością na pewno poprawi komfort użytkowników.

Potrzeby użytkowników

Jakie funkcje są potrzebne użytkownikom?

• sprawdzenie stanu rachunku, 
• możliwość sprawdzenia czy użytkownik posiada wystarczającą kwotę na rachunku konieczną do wykonania operacji,
• możliwość zainicjowania wykonania przelewu – obecnie niektóre aplikacje “niebankowe” oferujące np. wymianę walut i przelewy międzynarodowe nie posiadają opcji bezpośredniego zainicjowania wykonania przelewu. Użytkownicy muszą za każdym razem logować się do systemu banku,
• możliwość sprawdzenia statusu transakcji, 
• dostęp do historii transakcji.

Te wszystkie funkcje będą być może w niedalekiej przyszłości dostępne nie tylko w bankowych aplikacjach. 

Nowi gracze na rynku

Jak wspomniałam na początku, nowe przepisy zakładają powstanie w Polsce tzw. małej instytucji płatniczej (MIP).  Mowa tu o podmiotach trzecich (działających tylko na podstawie wpisu do rejestru KNF, bez licencji i nadzoru) z możliwością m.in.:

• prowadzenia rachunków płatniczych (do 2000 EUR), 
• wydawania i przyjmowania płatności kartami i aplikacjami mobilnymi,
• obsługiwania transakcji (z ograniczeniem do 1,5 mln EUR/msc),
• udzielania kredytów płatniczych.

Najważniejszymi ograniczeniami są na pewno ograniczenia na kwoty max., braku dostępu do usług AIS i PIS (czyli związanych z dostępem do “cudzych” rachunków), a także brak możliwości prowadzenia działalności poza Polską.

Obawy i zagrożenia

Banki przez wiele lat gromadziły dane na temat klientów i nie chodzi tu wyłącznie o dane identyfikacyjne czy autoryzacyjne. Wszystkie dane osobowe, zdolność kredytowa, kiedy i ile wydają. Teraz inne instytucje będą mogły z tej bazy czerpać część tych wrażliwych informacji.

Strach przed korzystaniem z usług banków przez Internet i aplikacje mobilne prawie minął. Teraz, gdy do gry mają wejść również inne instytucje, użytkownicy mogą podejść sceptycznie do opcji udostępniania informacji o swoim rachunku, a przede wszystkim do historii transakcji jakimkolwiek pośrednikom.  Oczywiście warto pamiętać, że instytucje te otrzymają nasze dane tylko po uzyskaniu od nas zgody.

Dodatkowe obawy i zagrożenie dotyczy nie samego cyberbezpieczeństwa, ale modelu biznesowego mniejszych instytucji finansowych. FinTechy (firmy świadczące usługi finansowe za pośrednictwem internetu, łączą rozwiązania technologiczne i finansowe, np. Stripe) i duże banki mają spore środki, które mogą zainwestować w rozwój swoich usług. W początkowej fazie istnienia otwartej bankowości to oni będą grać pierwsze skrzypce i mają szansę wygrać najwięcej jeśli chodzi o zaufanie i lojalność klientów.

Czy FinTechy i inne podmioty trzecie zajmą miejsce mniejszych instytucji bankowych? To zapewne okaże się w ciągu następnych kilku lat.

Podsumowanie

Przyjęcie w pełni założeń dyrektywy PSD2 jest rozłożone w czasie, ma przynieść poprawę bezpieczeństwa oraz pozwolić na dostęp do informacji o naszych finansach ograniczając monopol banków. Otwierają się drzwi w związku z otwartą bankowością do rozszerzenia usług i tworzenia nowych rozwiązań wykorzystujących potencjał dostępnych danych. Jeśli działasz już w tej w branży i dotychczas coś Cię ograniczało – warto zainteresować się tematem.