PSD2 Payment Services Directive 2

Nowe możliwości dzięki dyrektywie PSD2

Przez ostatnie lata gwałtownie wzrasta popularność płatności elektronicznych czy płatności z wykorzystaniem np.smartfonów. Kolejnym krokiem jeśli chodzi o zmiany i rozwój usług finansowych jest wdrożenie dyrektywy PSD2 otwierającej bankowość. W kolejnych punktach poruszę kwestię korzyści oraz wyzwań jakie niesie ze sobą ta rewolucja.

Co to jest dyrektywa PSD2?

W skrócie o dyrektywie

PSD2 (czyli Payment Services Directive 2) – jest to dyrektywa wprowadzona przez Parlament Europejski i Radę Unii Europejskiej i dotyczy usług płatniczych w ramach rynku wewnętrznego. Jej wpływ na działalność wszelkich bankowych i niebankowych dostawców usług płatniczych będzie znaczący.

Dyrektywa otwiera banki i zobowiązuje je do udostępnienia informacji o rachunkach. Informację jak uzyskać dostęp do tych funkcji i jakie warunki należy spełnić opowiem w kolejnych punktach.

Kraje członkowskie UE mają czas na wdrożenie dyrektywy do września 2019 roku.

Nowe możliwości

Dzięki wprowadzeniu przepisów związanych z wdrożeniem w  Polsce dyrektywy PSD2 pojawiają się nowe możliwości i korzyści:

  • możliwość wprowadzenia nowych produktów i usług związanych z rynkiem usług finansowych,
  • poprawa jakości obsługi klienta z powodu otwartej bankowości – banki będa starać się, aby klienci korzystali z ich usług (zwiększenie konkurencyjności),
  • wspólne API wielu banków (PolishAPI),
  • dostęp do banków w całej Europie,
  • wsparcie dla usług inicjowania przelewu oraz informacji o rachunku klienta,
  • wprowadzenie małej instytucji płatniczej (NIK) bez potrzeby posiadania kapitałów założycielskich ani funduszy własnych, z średniomiesięcznym limitem transakcji,
  • wprowadzenie silnego uwierzytelniania – identyfikacja podczas inicjowania płatności będzie musiała przebiegać za pomocą co najmniej 2 niezależnych metod uwierzytelniania (np. hasło i odcisk palca),
  • zmniejszenie progu odpowiedzialności – dotyczy nieautoryzowanych transakcji – dotychczasowy próg 150 EUR zostanie zmniejszony do 50 EUR. Jeśli płatnik nie był świadomy utraty, kradzieży lub przywłaszczenia np. karty płatniczej powinien otrzymać od dostawcy usług zwrot kwoty.

Funkcje dostępne w API

Zgodnie z dyrektywą zostaną wprowadzone następujące kategorie usług:

  • AIS (Account Information Service) – usługa dostępu do informacji o rachunku, np. sprawdzanie salda, pobieranie historii operacji,
  • PIS (Payment Initation Service) – usługa inicjowania płatności, możliwość realizowania płatności przez dostawcę usługi bezpośrednio z rachunku,
  • CAF (Confirmation of the Availability of Funds) – możliwość potwierdzenia dostępności na rachunku płatniczym konkretnej kwoty niezbędnej do wykonywania transakcji płatniczej.

Dzięki otwartości API użytkownicy posiadający rachunki w różnych bankach będą mogli wybierać aplikację, która będzie oferować mu dostęp do najważniejszych funkcji wszystkich trzech rachunków.

Polish API

Z powodu wdrożenia dyrektywy PSD2 pojawiła się potrzeba wypracowania wspólnego standardu API. Dzięki temu tworzone jest rozwiązanie łączące spójne podejście m.in do cyberbezpieczeństwa skupiające banki i niebankowe instytucje płatnicze.

Co to jest?

Polish API to odpowiedź polskiego sektora finansowego na wymogi dyrektywy PSD2. Ma stanowić pewien standard dla instytucji płatniczych oraz podmiotów trzecich w Polsce. Do prac nad projektem zaangażowani są m.in. Związek Banków Polskich wraz z bankami komercyjnymi i spółdzielczymi, Polska Organizacja Niebankowych Instytucji Płatności itp.

Sandboxy

Lista banków umożliwiających dostęp do środowiska testowego (sandboxy) obejmuje zarówno banki komercyjne (18)  jak i spółdzielcze (ponad 400) m.in.: 

  • Bank Pekao S.A,
  • Santander Bank Polska S.A,
  • mBank S.A,
  • ING Bank Śląski S.A,
  • BGŻ BNP Paribas S.A,
  • Bank Millennium S.A,
  • Alior Bank S.A.

Pełna lista znajduje się na stronie: https://polishapi.org/sandboxy/ 

i jest wciąż uzupełniana. Dodatkowo przy każdej pozycji na liście znajdują się odnośniki do portali deweloperskich lub informacji o dostępie do środowiska testowego ASPSP (dostawcy prowadzący rachunek).

Dostęp do API

Z API mogą korzystać tylko certyfikowane podmioty (TPP) – część banków udostępnia API również podmiotom, które dopiero oczekują na certyfikat (należy potwierdzić złożenie wniosku).

Najważniejsze informacje

W roli TPP mogą występować FinTech’y oraz inne banki. PSD2 nakłada obowiązek na banki, aby umożliwiły dostęp do AIS i PIS bez względu na to czy istnieje między nimi jakakolwiek umowa określająca zasady dostępu. Każdy z banków prezentuje indywidualne podejście jeśli chodzi o rejestracje w celu uzyskania dostępu i wymaga podania innych danych. API testowe powinno być dostępne od 13 marca 2019 roku a interfejsy do pobierania danych i wyzwalania operacji muszą zostać uruchomione do września 2019 roku.

Jak stać się TPP?

Każdy podmiot wymieniając informacje z instytucjami płatniczymi (z zapewnieniem integralności i autentyczności) zobowiązany jest do posługiwania się kwalifikowanymi certyfikatami eIDAS. 

Certyfikaty z terminem ważności od 1 do 2 lat może otrzymać każdy podmiot, który uzyskał od KNF (Komisja Nadzoru Finansowego) pozwolenie na świadczenie usług w ramach PSD2.

Zarówno certyfikat uwierzytelniania witryn internetowych jak i zestaw klasyfikowany pieczęci elektronicznej  znajduje się w ofercie KIR. Zamówienia można składać na stronie sklepu internetowego Szafir:

Uzyskanie certyfikatu

Certyfikaty można otrzymać elektronicznie (z koniecznością przesłania drogą elektroniczną żądania opatrzonego kwalifikowanym podpisem elektronicznym, weryfikowanym przy pomocy kwalifikowanego certyfikatu osoby upoważnionej do odebrania certyfikatu – wskazanej w zamówieniu).

Do zamówienia certyfikatu potrzebne są:

  • ważna umowa na świadczenie usług zaufania,
  • wskazanie osób upowaznionej do odebrania certyfikatu,
  • potwierdzenie identyfikatorów nadanych przez właściwy organ,
  • zamówienie podpisane przez osoby upoważnione do reprezentowania banku (papierowo lub elektronicznie).

Procedura zamawiania certyfikatów z danymi PSD2

Rozwój i zagrożenia

Kredyt w 5 minut z aplikacji mobilnej? A może dostęp do wszystkich rachunków bez względu na bank w jednym systemie? To w jaki sposób zostaną wykorzystane możliwości, które pojawiają się wraz z otwartą bankowością na pewno poprawi komfort użytkowników.

Potrzeby użytkowników

Jakie funkcje są potrzebne użytkownikom?

  • sprawdzenie stanu rachunku, 
  • możliwość sprawdzenia czy użytkownik posiada wystarczającą kwotę na rachunku konieczną do wykonania operacji,
  • możliwość zainicjowania wykonania przelewu – obecnie niektóre aplikacje “niebankowe” oferujące np. wymianę walut i przelewy międzynarodowe nie posiadają opcji bezpośredniego zainicjowania wykonania przelewu. Użytkownicy muszą za każdym razem logować się do systemu banku,
  • możliwość sprawdzenia statusu transakcji, 
  • dostęp do historii transakcji.


Te wszystkie funkcje będą być może w niedalekiej przyszłości dostępne nie tylko w bankowych aplikacjach. 

Nowi gracze na rynku

Jak wspomniałam na początku, nowe przepisy zakładają powstanie w Polsce tzw. małej instytucji płatniczej (MIP).  Mowa tu o podmiotach trzecich (działających tylko na podstawie wpisu do rejestru KNF, bez licencji i nadzoru) z możliwością m.in.:

  • prowadzenia rachunków płatniczych (do 2000 EUR), 
  • wydawania i przyjmowania płatności kartami i aplikacjami mobilnymi,
  • obsługiwania transakcji (z ograniczeniem do 1,5 mln EUR/msc),
  • udzielania kredytów płatniczych.

Najważniejszymi ograniczeniami są na pewno ograniczenia na kwoty max., braku dostępu do usług AIS i PIS (czyli związanych z dostępem do “cudzych” rachunków), a także brak możliwości prowadzenia działalności poza Polską.

Obawy i zagrożenia

Banki przez wiele lat gromadziły dane na temat klientów i nie chodzi tu wyłącznie o dane identyfikacyjne czy autoryzacyjne. Wszystkie dane osobowe, zdolność kredytowa, kiedy i ile wydają. Teraz inne instytucje będą mogły z tej bazy czerpać część tych wrażliwych informacji.

Strach przed korzystaniem z usług banków przez Internet i aplikacje mobilne prawie minął. Teraz, gdy do gry mają wejść również inne instytucje, użytkownicy mogą podejść sceptycznie do opcji udostępniania informacji o swoim rachunku, a przede wszystkim do historii transakcji jakimkolwiek pośrednikom.  Oczywiście warto pamiętać, że instytucje te otrzymają nasze dane tylko po uzyskaniu od nas zgody.

Dodatkowe obawy i zagrożenie dotyczy nie samego cyberbezpieczeństwa, ale modelu biznesowego mniejszych instytucji finansowych. FinTechy (firmy świadczące usługi finansowe za pośrednictwem internetu, łączą rozwiązania technologiczne i finansowe, np. Stripe) i duże banki mają spore środki, które mogą zainwestować w rozwój swoich usług. W początkowej fazie istnienia otwartej bankowości to oni będą grać pierwsze skrzypce i mają szansę wygrać najwięcej jeśli chodzi o zaufanie i lojalność klientów.

Czy FinTechy i inne podmioty trzecie zajmą miejsce mniejszych instytucji bankowych? To zapewne okaże się w ciągu następnych kilku lat.

Podsumowanie

Przyjęcie w pełni założeń dyrektywy PSD2 jest rozłożone w czasie, ma przynieść poprawę bezpieczeństwa oraz pozwolić na dostęp do informacji o naszych finansach ograniczając monopol banków. Otwierają się drzwi w związku z otwartą bankowością do rozszerzenia usług i tworzenia nowych rozwiązań wykorzystujących potencjał dostępnych danych. Jeśli działasz już w tej w branży i dotychczas coś Cię ograniczało – warto zainteresować się tematem.

5 (100%) 1 vote[s]
Aneta Romankiewicz, UX/UI Designer

UX/UI Designer i PM. Lubi analizować zachowanie ludzi. W pracy pragnie połączyć swoje zainteresowanie nowymi technologiami, sztuką i psychologią.