W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Korzystając z naszej strony akceptujesz zasady Polityki Cookie.
  • Testowe preludium PSD2
Biuletyn Podatki i Rachunkowość:

Testowe preludium PSD2

06 maja 2019

Marek Jaśłan, "Gazeta Bankowa" |

Od połowy marca do polskich banków zgłaszają się podmioty, które chcą korzystać z ich programistycznego środowiska testowego. We wrześniu, jak nakazuje dyrektywa PSD2, banki będą musiały udostępnić im w pełni funkcjonalne interfejsy API. Co ciekawe, zainteresowane tym są uznane firmy o profilu technologiczno-finansowym, a nie tylko startupy

 

Dyrektywa PSD2 doprowadzi do istotnych przetasowań na rynku usług finansowych, przecierając szlaki dla otwartej bankowości. Nowe przepisy mogą zmienić nie tylko przyzwyczajenia polskich konsumentów, ale także strukturę całego rynku. Celem unijnej dyrektywy o usługach płatniczych PSD2 (Payment Services Directive II) jest otwarcie rynku finansowego dla tzw. podmiotów trzecich (Third Party Providers, TPP). W ten sposób fintechy oraz firmy, których główna działalność nie opiera się na usługach finansowych, np. Facebook czy Google, będą dopuszczone do obszarów dotychczas zarezerwowanych wyłącznie dla banków. Dzięki PSD2 podmioty trzecie będą mogły, za zgodą klienta, pozyskać dane dotyczące jego rachunku bankowego, np. mieć wgląd w historię transakcji. Dostaną też możliwość inicjowania płatności z jego rachunku klienta. Aby TPP mógł zlecić transakcję płatniczą w banku klienta, nie musi mieć podpisanej umowy z bankiem.

 

Sprawdzian przed pełnym otwarciem

Ustawa PSD2 obowiązuje w Polsce od 13 stycznia 2018 roku. W pełni wdrożona ma zostać we wrześniu 2019 roku, kiedy banki zobowiązane będą udostępnić podmiotom zewnętrznym API, umożliwiające wgląd w rachunki klientów, a także inicjowanie transakcji. Jednak już od połowy marca tego roku muszą udostępniać środowiska testowe i dokumentację uprawnionym podmiotom, tj. TPP.

API (Application Programming Interface), czyli interfejs programistyczny aplikacji to zestaw reguł, który opisuje w jaki sposób aplikacje i systemy mogą komunikować się ze sobą. Dzięki temu jedna aplikacja może wykorzystywać inną do pozyskiwania informacji lub wykonywania zadań. Uregulowanie sposobów wykorzystywania otwartych interfejsów API w sektorze bankowym to jeden z kluczowych tematów branży fintech.

Jakie są ich pierwsze odczucia po wystawieniu środowisk testowych swym – być może – przyszłym konkurentom?

– Bank Pekao SA udostępnił środowisko testowe dla usługodawców PSD2. Rozwiązanie, które przyjął bank do implementacji, jest spójne z PolishAPI. Dla sektora bankowego wejście w życie PSD2 jest z pewnością możliwością jeszcze lepszego dopasowania ofert banków do faktycznych potrzeb klienta. Jeśli klient wyrazi zgodę, to bank lub fintech będzie miał szerszą wiedzę o jego sytuacji finansowej w kilku bankach, w których posiada rachunki płatnicze. PSD2 skłania banki do poszukiwania i świadczenia nowych usług płatniczych, co z kolei zaostrza konkurencję na rynku finansowym i, co naturalne, służy rozwojowi oferowanych usług. Z drugiej jednak strony to sygnał dla banków, że pojawią się na rynku kolejne fintechy, które czerpiąc wiedzę o finansach klienta (pod warunkiem udzielenie zgody), mogą dostarczać usługi także spoza obszaru finansowego – mówi Bartosz Zborowski, dyrektor Departamentu Innowacji i Płatności w Banku Pekao SA.

Również PKO BP potwierdza, że 13 marca udostępnił pełne środowisko testów integracyjnych API w zakresie usług PSD2, ale na obecnym etapie nie chce zdradzać szczegółów dotyczących bieżącej liczby użytkowników. Przedstawiciele największego polskiego banku zauważają jednak, że na obecnym etapie wyzwaniem są przede wszystkim kwestie związane z odpowiednim użyciem certyfikatów w zakresie działania środowisk testowych przez wszystkie zainteresowane strony, jak również odpowiedni i efektywny dostęp do rejestrów uprawnionych stron w zakresie możliwości wykorzystywania danych o rachunkach płatniczych w ramach prawnych PSD2.

Dla PKO BP przygotowaniem były jednak doświadczenia, jakie zebrał w zakresie swojego bankowego API jako organizator Hackyeah hackhaton. Wówczas ponad 2,5 tys. programistów z kilkunastu krajów miało okazję skorzystać ze środowiska testowego banku i na tej podstawie zaproponować nowe aplikacje działające w oparciu o otwartą bankowość. PKO BP ocenia, że test wypadł bardzo dobrze a propozycje nowych aplikacji były bardzo ciekawe i mają potencjał do zastosowania w praktycznych rozwiązaniach bankowych. – Dowiedliśmy tym samym, że nasze API budzi zainteresowanie na rynku. Dalsze prace nad jego rozwojem powinny zaowocować ciekawymi produktami i usługami, które będą zaspokajać zmieniające się potrzeby klientów – podkreśla Grzegorz Culepa z Departamentu Komunikacji Korporacyjnej PKO BP.

 

Niepewność prawnych interpretacji

Krzysztof Grzeszczuk, dyrektor ds. Projektów Bankowości Cyfrowej w Alior Banku podkreśla natomiast, że jego bank nie traktował udostępnienia sandboxa (z ang. piaskownica, tu: środowisko testowe) w kategorii wyzwania, a raczej wymogu, który trzeba spełnić. Środowisko udostępniliśmy już wcześniej, bo w październiku ubiegłego roku, ale z dostępem ograniczonym do uczestników naszego programu akceleracyjnego – informuje Krzysztof Grzeszczuk.

Od początku uruchomienia sandboxa do Alior Banku zgłosiło się już ponad 40 podmiotów, a niektóre rozpoczęły testy. – Powszechnym problemem związanym z wdrażaniem PSD2 jest duży stopień ogólności niektórych zapisów dyrektywy i RTS (Regulatory Technical Standards – wymogi, jakie banki muszą spełnić, by zabezpieczyć komunikację pomiędzy podmiotami finansowymi oraz TPP przy uwierzytelnianiu), które podlegały i wciąż podlegają interpretacji ze strony European Banking Authority (EBA). Taki stan rzeczy wpłynął na prace związane z przygotowaniem standardu PolishAPI, którego wersja 2.1.1 została opublikowana dopiero na początku grudnia 2018 roku, a więc na trzy miesiące przed regulacyjnym terminem uruchomienia usług w środowisku sandboxowym - mówi Krzysztof Grzeszczuk.

Halina Karpińska, dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium potwierdza, że w związku z procesem wdrażania dyrektywy PSD2 jej bank przygotował dla certyfikowanych zewnętrznych dostawców usług (TPP) specjalny interfejs dostępowy (API), a 13 marca 2019 r. uruchomił portal dla dewelopera, na którym można znaleźć pełną dokumentację API, wszelkie niezbędne informacje oraz stabilne środowisko testowe.

– Nasze rozwiązanie spełnia najwyższe standardy bezpieczeństwa i jednocześnie pozwala na łatwą i szybką integrację. Aby uzyskać dostęp do środowiska testowego, wystarczy zarejestrować się na portalu dla dewelopera pod adresem www.openapi.bankmillennium.pl. Mamy nadzieję, że wyczerpująca i przejrzysta dokumentacja pozwoli bez przeszkód zintegrować się zewnętrznym podmiotom z naszym systemem. Nasze API to PolishAPI, czyli standard wypracowany przez ZBP wraz z innymi bankami - informuje Halina Karpińska. – Projekt stanowił oczywiście wyzwanie pod kątem technologicznym i bezpieczeństwa, które jest kluczowe, jednakże największą trudnością są stale zmieniające się interpretacje prawne, w tym także regulatora europejskiego. Dostosowanie się do dynamicznych regulacji PSD2 wymagało od nas między innymi bardzo elastycznego podejścia. Mimo wszystko, jako jeden z pierwszych banków byliśmy w stanie udostępnić w pełni funkcjonalne środowisko testowe – dodaje

Halina Karpińska zauważa, że w pierwszych dniach po udostępnieniu środowiska testowego dla TPP zanotował spore zainteresowanie skorzystaniem z tej możliwości. Potem jednak wniosków o rejestrację na portal dewelopera było już znacznie mniej. Według niej nie ulega wątpliwości, że dyrektywa PSD2 zmieni obraz bankowości.

– Wprowadzając open banking, dostarcza więcej korzyści, ale stawia jednocześnie przed nami wyzwania. Jednym z nich jest odpowiednie zabezpieczenie przed nadużyciami, do których może dochodzić ze względu na otwarty charakter usługi. Sektor bankowy jest szczególnie wyczulony na tego typu zagrożenia, stąd funkcjonujące już sprawne, wewnątrzbankowe i sektorowe mechanizmy pomagające w szybkim wykryciu i przeciwdziałaniu tego typu ryzykom. Oczywiście można założyć, że równolegle z wejściem w życie dyrektywy PSD2 pojawi się nowy wektor zagrożeń. W początkowym okresie można się więc spodziewać, że wspólnie będziemy się go uczyć, aby lepiej sobie z nim radzić i finalnie wyeliminować. Z drugiej strony, dyrektywa rodzi szanse. Bank również będzie działać jako strona trzecia, mając tym samym istotny wpływ na dostarczanie klientom dodatkowych usług płynących z nowych możliwości – mówi Halina Karpińska.

 

Start-upy wcale nie dominują

Środowisko testowe udostępnił też Bank Ochrony Środowiska. – Uruchomiony testowy interfejs API tzw. sandbox jest pierwszym z elementów innowacji wprowadzonej przez dyrektywę PSD2, pozwalający TPP na testowanie usług na danych testowych. W najbliższych miesiącach bank udostępni interfejs produkcyjny, dzięki któremu dostawcy usług płatniczych uzyskają dostęp do rzeczywistych danych klientów i będą mogli świadczyć im powyższe rodzaje usług – podał bank w marcu w giełdowym komunikacie.

Tomasz Jakubczyk, dyrektor Departamentu Elektronicznych Kanałów Dystrybucji w BOŚ Banku potwierdza, że pierwsze podmioty podjęły już w tym obszarze współpracę z BOŚ Bankiem. Zauważa jednak, że na razie nie są to, tak jak oczekiwało tego większość ekspertów, podmioty małe, typu startup. To głównie uznane firmy o profilu technologiczno-finansowym z siedzibą w Polsce, które dawno już mają za sobą tzw. fazę startupu.

– Pamiętajmy jednak , że udostępnienie środowiska testowego to kwestia ostatnich tygodni. Sam proces uzyskania właściwych certyfikatów dostępowych wymaga czasu. Ponadto, postanowiliśmy zaprosić wybrane i znane bankowi podmioty do testowania naszego sandboxa, jeszcze przed datą wymagalności, tzn. 14 marca. Dzięki temu zespół projektowy był w stanie szybko wyłapać elementy interfejsu wymagające udoskonalenia – mówi Tomasz Jakubczyk .

Podkreśla, że od strony banku większość kwestii związanych z interfejsem PSD2 została dobrze przeanalizowana. Według niego czytelne wydają się również opisane w dyrektywie kwestie związane z jego utrzymaniem w tym wymagania dotyczące bezpieczeństwa. W tym zakresie BOŚ Bank nie dostrzega specjalnych problemów czy zagrożeń. Na pewno jednak projekt jest wymagający pod względem obszaru compliance, prawnym i zasobów IT. Według Tomasza Jakubczyka, to tu przed bankiem stoją największe wyzwania.

– Dla mnie szczególnie interesujące są dwa obszary: poziom aktywności banków jako TPP oraz stosunek klienta końcowego do modeli biznesowych zbudowanych przez TPP, które należą do grupy tzw. fintechów czy spółek technologicznych. Pierwsze badania na temat obszaru open banking przeprowadzone na początku zeszłego roku w Wielkiej Brytanii pokazały wyraźną rezerwę klienta do systemu otwartej bankowości, którego elementem jest PSD2. Czas pokaże czy było to wynikiem standardowego poziomu rozkładu akceptacji dla innowacji technologicznej (gdzie pierwsi „akceptujący” stanowią raptem 2,5 proc. populacji i z czasem dołączają kolejni), czy ma to swoje drugie dno i nasze finanse rządzą się jednak innymi prawami – tu rezerwa klienta do nowości będzie znacząco większa – mówi Tomasz Jakubczyk.

Przyznaje, że projekt PSD2 budził i wciąż budzi w niektórych aspektach problemy natury interpretacyjnej np. obszar opcji „fall-back”. – Ponadto, w naszym banku zdecydowaliśmy się połączyć projekt PSD2 z wymianą (uatrakcyjnieniem) bankowości elektronicznej dla segmentu klienta indywidualnego. Dla pełnego sukcesu projektu PSD2 potrzebujemy więc sukcesu w obydwu obszarach. Element ten decyduje jednak o tym, że projekt ten staje się jeszcze bardziej interesujący – podkreśla Tomasz Jakubczyk. - I na koniec: pamiętajmy, że na horyzoncie zarysowuje się już dyrektywa PSD3 – zauważa.

Wiadomo, że rynek usług finansowych się szybko zmienia. W styczniu 2021 r. Komisja Europejska ma przedstawić raport z przeglądu dyrektywy PSD2 i zaproponować PSD3, jeśli okaże się, że przyjęte rozwiązania w PSD2 są nieadekwatne do zmian zaszłych na rynku. Już dziś postuluje się m.in. włączenia płatności natychmiastowych do obszaru PSD czy rozszerzenie dostępu do API banku na rachunki inne niż bieżący, np. kredytowe.

 

Gazeta Bankowa