Autor: Jacek Ramotowski

Dziennikarz zajmujący się rynkami finansowymi, zwłaszcza systemem bankowym.

W sporze o PSD2 wygrało bezpieczeństwo

Ostateczna – na razie – wersja standardów technicznych kluczowych dla unijnej dyrektywy dotyczącej płatności PSD2 przechyla szalę na korzyść bezpieczeństwa. Europejski regulator mówi „tak” nowym technologiom w płatnościach, pod warunkiem że nie zagrażają bezpieczeństwu pieniędzy i danych klientów.
W sporze o PSD2 wygrało bezpieczeństwo

Dokument Europejskiego Urzędu Nadzoru Bankowego (EBA) został opublikowany pod koniec lutego, a więc z ponadmiesięcznym poślizgiem. Wcześniej prace nad nim trwały prawie dwa lata. Pierwszy dokument poddający propozycję standardów pod dyskusję ukazał się w grudniu 2015 roku, a kolejny – mający charakter konsultacyjny – w sierpniu 2016 roku. Potem były niezliczone konsultacje, konferencje, prezentacja stanowisk, rozmowy z zainteresowanymi stronami.

Działo się tak, gdyż standardy dotyczą kwestii zupełnie kluczowych, jeśli chodzi o bezpieczeństwo płatności, rachunków i danych osobowych użytkowników. Tę ochronę ma dawać silne, dwuskładnikowe uwierzytelnienie przy dokonywaniu płatności oraz zasady dostępu do rachunku przez stronę trzecią. Ta trzecia strona to dostawca usług płatniczych (PISP) realizujący zleconą mu zapłatę lub integrator informacji o rachunkach (AISP) dokonujący na rzecz klienta analizy jego rachunku lub rachunków, choćby w celach doradztwa finansowego.

Kolejne wersje standardów dalej budziły kontrowersje. Podczas konsultacji napłynęło 224 odpowiedzi i opinii od zainteresowanych z mocnymi argumentami ze strony uczestników rynku oraz nadzorców. EBA sama przyznaje, że musiała szukać licznych kompromisów – na przykład między zwiększeniem bezpieczeństwa systemów płatniczych a równoczesnym otwarciem bram bankowych twierdz na konkurencję; między promowaniem nowych technologii i ułatwianiem innowacji a zachowaniem neutralności wprowadzanych standardów dla różnorodnych technologii i modeli biznesowych; między ochroną konsumentów i dążeniem do zwiększenia ich wygody. I w końcu, co nie najmniej ważne, chodziło też o to, żeby standardy dały impuls do większej integracji europejskiego rynku płatności.

– Długa lista (celów dyrektywy) przyniosła kilka wyzwań związanych z implementacją, ponieważ kilka celów jest potencjalnie sprzecznych i konkurujących ze sobą – mówił tuż przed ogłoszeniem ostatniej wersji standardów szef EBA Andrea Enria na spotkaniu z bankowcami w Londynie.

Jakie kwestie sporne odnotowano? W sumie było ich ponad 300. Podzielone zostały na trzy grupy:

  • neutralności technologicznej wprowadzanych wymagań,
  • zwolnień od wymagań silnego uwierzytelnienia dotyczących progów kwotowych transakcji,
  • zwolnień przedmiotowych (np. zapłata za bilet w automacie) lub związanych z niskim ryzykiem pewnych transakcji oraz kwestii związanych z dostępem strony trzeciej do rachunku bankowego.

Widać, że spór dotyczył spraw zupełnie zasadniczych.

To była unijna prowokacja

Pierwsza dyrektywa o usługach płatniczych obowiązująca od 2009 roku spowodowała otwarcie krajowych systemów płatniczych kontrolowanych wcześniej przez banki dla nowych pozabankowych konkurentów. Jej skutek był taki, że w całej Unii ponad 2000 instytucji płatniczych i pieniądza elektronicznego dostało zezwolenie na świadczenie swoich usług. Już to pobudziło konkurencję i znacząco wpłynęło na obniżkę kosztów transakcji płatniczych.

Erupcja technologiczna, zainteresowanie świadczeniem usług płatniczych przez amerykańskie giganty, takie jak Apple czy Google, powstanie całkowicie nowych usług, a przy tym wzbierająca fala cyberprzestępczości pokazały, że wiele ważnych obszarów znalazło się na dzikich polach. I właśnie na te obszary najbardziej zwraca uwagę PSD2, która weszła w życie 13 stycznia 2016 roku, a zacznie obowiązywać od 13 stycznia 2018 roku. Ale powszechne przekonanie jest już takie, że wybiega ona daleko w przód.

– PSD2 jest samym tylko początkiem, prowokacją ze strony Unii, żeby banki się otworzyły. Muszą otworzyć się dalej – mówił Tomasz Motyl, wiceprezes ds. innowacji w Alior Banku, podczas marcowego Kongresu Sektora FinTech w Warszawie.

PSD2 bardzo mocno postawiła na rozwój konkurencji, wymuszając na bankach dopuszczenie do świadczenia usług każdy PISP i AISP. Będą musiały dla ich usług stworzyć specjalny interfejs (API). Wątpliwości budzi jednak to, czy PSD2 – choć wprowadziła zasadę silnego uwierzytelnienia – stanęła na wysokości zadania, jeśli chodzi o bezpieczeństwo pieniędzy w bankach, naruszając mury twierdz i otwierając bramy.

– Autorzy dyrektywy napisali ją tak, jakby byli nieświadomi ryzyka związanego z używaniem systemów informatycznych – mówił podczas zeszłorocznego Europejskiego Kongresu Finansowego w Sopocie Andrzej Reich, dyrektor w Komisji Nadzoru Finansowego.

Zapisy dotyczące bezpieczeństwa były na tyle niedoskonałe, że konieczność doprecyzowania ich, a właściwie stworzenia całkowicie nowych zasad bezpieczeństwa od początku do końca spadła na EBA.

Spór o silne uwierzytelnienie

Urząd oprócz opracowania standardów dla silnego uwierzytelnienia miał zająć się jeszcze dziesięcioma innymi zagadnieniami, których dyrektywa nie doprecyzowała. Chodziło tu na przykład o paszportowanie usług płatniczych pomiędzy krajami Unii, kwestie zezwoleń na prowadzenie takiej działalności, ubezpieczenia dostawców usług, sprawozdawczość o incydentach przestępczych, procedury składania skarg przez konsumentów. Te dokumenty już znamy.

W tym roku poznamy jeszcze bardzo istotne wytyczne dotyczące ryzyka operacyjnego i bezpieczeństwa danych gromadzonych przez dostawcę usług płatniczych. Będą ogłoszone też normy czysto techniczne dotyczące koordynacji między nadzorcami oraz rejestru dostawców usług. Nic jednak nie budziło takiej dyskusji jak kwestie związane z silnym uwierzytelnieniem.

– EBA musiała dokonać trudnych kompromisów pomiędzy konkurującymi celami PSD2. To było dość trudne, ale (nigdzie) nie było to bardziej widoczne niż w standardach technicznych dotyczących silnego uwierzytelnienia klientów oraz (…) bezpiecznej komunikacji – mówił Andrea Enria.

Wydane w końcu lutego standardy techniczne określają wymogi silnego uwierzytelniania i zasad bezpiecznej komunikacji pomiędzy bankami i nowymi uczestnikami rynku – PISP i AISP.

– Wyzwanie było jeszcze większe, gdyż stwierdziliśmy, że dyrektywa jest mniej jasna, niż się spodziewaliśmy, w odniesieniu do zakresu i dokładności mandatu [udzielonego EBA] – mówił Andrea Enria.

Część wątpliwości dotyczące i mandatu EBA, i wykładni dyrektywy musiała rozstrzygać Komisja Europejska. Teraz ostateczny projekt zostanie przedłożony KE do zatwierdzenia, po czym zajmie się nim jeszcze Parlament Europejski i Rada. Na tych etapach prac mogą nastąpić zmiany. Prawdopodobnie dokument zostanie opublikowany jako rozporządzenie, a więc standardy będą obowiązywały we wszystkich krajach bezpośrednio. Wejdą w życie w 18 miesięcy od ogłoszenia, a więc – jeśli nie będzie większych opóźnień – najwcześniej w listopadzie 2018 roku.

Norma i odstępstwa

W ostatecznej wersji standardów EBA stwierdziła rzecz kluczową dla bezpieczeństwa. Procedura uwierzytelnienia pozostaje w pełni w gestii instytucji prowadzącej rachunek klienta, a zatem banku. To zgodne z oczekiwaniami polskiego nadzoru, który już dawno nakazał bankom stosować silne uwierzytelnienie, a także polskiego sektora bankowego. I klientów, którzy może nie będą płacić z czarodziejską łatwością, ale będą pewni, że ich pieniądze są bardziej bezpieczne. Polskie banki zabraniają klientom udostępniania danych do logowania komukolwiek, a istniała obawa, że standardy dopuszczą taki proceder.

– W naszej ocenie opublikowany przez EBA projekt regulacyjnych standardów technicznych (RTS) pozwala na realizację usługi dostępu do informacji przez podmiot trzeci (AISP) oraz inicjacji płatności (PISP) w sposób bezpieczny na zasadzie “re-direction” – mówi Obserwatorowi Finansowemu Paweł Widawski, dyrektor Zespołu Systemów Płatniczych, Bankowości Elektronicznej i Bezpieczeństwa Banków w Związku Banków Polskich.

– W ramach tego modelu klient zlecający płatność będzie w celu potwierdzenia transakcji przekierowany na stronę banku i będzie się logował do własnego rachunku, nie udostępniając trzeciej stronie swojego loginu i hasła. Może to działać tak jak przy obecnej bezpiecznej metodzie płatności pay-by-link – dodaje.

W standardach znalazły się odstępstwa od zasady silnego uwierzytelnienia. Wyłączone zostały transakcje oparte na analizie ryzyka fraudu. Jeśli taka analiza w pewnego typu transakcjach daje wyniki pozytywne, a niebezpieczeństwo fraudu jest marginalne, można silnego uwierzytelnienia nie stosować. Co półtora roku trzeba jednak będzie weryfikować założenia takiej analizy. To umożliwi rozwój płatności mobilnych, gdyż w przypadku płacenia smartfonem istniało wiele wątpliwości co do tego, które składniki uwierzytelnienia można uznać za niezależne od siebie.

Wyłączone od zasady silnego uwierzytelnienia mają być także terminale służące do pobierania opłat za parking i sprzedające bilety komunikacji miejskiej.

EBA postanowiła także zwiększyć z 10 do 30 euro próg transakcji nisko kwotowych, w ramach których (od jednej do pięciu następujących po sobie) nie trzeba stosować silnego uwierzytelnienia. Dotyczy to na przykład płatności zbliżeniowych – po wyczerpaniu limitu 30 euro trzeba będzie jednak zatwierdzić kolejną transakcję PIN-em.

– Podniesienie z 10 do 30 euro kwoty drobnych płatności, których wartość do tego pułapu będzie się kumulować bez potrzeby użycia silnego uwierzytelnienia (SCA), jest korzystne, bo umożliwi rozwój płatności mobilnych – powiedział Paweł Widawski.

Po upływie okresu przejściowego zabroniony zostanie screen scrapping, czyli możliwość upoważnienia banku lub innej instytucji do zalogowania się do systemu transakcyjnego w obecnym banku i pobrania z niego historii transakcji przez podanie jej hasła i własnych danych identyfikacyjnych. Przypomnijmy, że KNF zabroniła bankom stosowania screen scrappingu w 2014 roku. Wówczas kilka banków zaczęło ją stosować do analizy rachunku lub rachunków klientów innych instytucji, żeby zaoferować im konkurencyjne oferty refinansowania kredytów.

Standardy mówią natomiast wyraźnie – banki zobowiązane są stworzyć dla trzeciej strony interfejs dostępowy, działający sprawnie, nieprzerwanie, zapewniający taki sam poziom dostępności i efektywności wszystkim uczestnikom rynku, jak swoim własnym klientom. Muszą też stworzyć rozwiązania zapewniające dostęp na wypadek awarii.

Jak zmienią się strategie

Ministerstwo Finansów zapowiada, że na początku kwietnia będzie miało gotowy projekt ustawy wprowadzającej w Polsce dyrektywę o systemach płatniczych.

– Kończymy prace nad projektem ustawy. Na początku kwietnia zostanie wysłany do uzgodnień i konsultacji społecznych, mam nadzieję – powiedział podczas Kongresu Sektora FinTech Paweł Bułgaryn, naczelnik wydziału w departamencie Rozwoju Rynku Finansowego MF.

Środowisko bankowe i fintechowe przygląda się teraz uważnie standardom technicznym, próbując ocenić szanse i zagrożenia, które przyniosły dla modeli biznesowych i banków i wchodzących na rynek konkurentów.

Sławomir Grzelczak, wiceprezes Biura Informacji Kredytowej, uważa, że banki będą miały do wyboru trzy strategie. Pierwsza jest całkowicie pasywna – banki zrobią jedynie to, co nakazuje dyrektywa, czyli stworzą API dla usługodawców zewnętrznych. Drugie podejście jest bardziej aktywne – banki rozpoczną współpracę z fintechami, spróbują określić obszary wspólnego biznesu. Na razie bardzo się przed tym wzbraniały.

– Sektor bankowy jest hermetyczny. Trudno się z nim dogadać – mówił podczas kongresu Robert Kałuża, współzałożyciel spółki Billon zajmującej się płatnościami pieniądzem elektronicznym.

Ale bardzo nowoczesny polski sektor bankowy ma jeszcze trzecią możliwość. Nowoczesne banki mogą działać same jak fintechy i dzięki możliwościom, jakie daje PSD2, rozpocząć ekspansję, także zagraniczną. Każdy bank będzie musiał dopuścić do swojego API inny bank – tak jak każdego konkurenta na rynku. Elementy mówiące o planach ekspansji zagranicznej znalazły się w niedawno ogłoszonej strategii Alioru.

Natomiast usługi polegające na pozyskiwaniu przez klienta zintegrowanej informacji o rachunku lub rachunkach nie cieszyły się dotąd w Polsce popularnością. Spośród banków taką usługę polegająca na analizie wydatków i zarządzaniem pieniędzmi na rachunku, wprowadził niedawno ING BŚK. Usługi te budzą jednak spore nadzieje w związku z przydatnością danych o transakcjach do oceny ryzyka klienta, a więc do scoringu.

– Nie od dziś wiadomo, że banki i instytucje pożyczkowe mają problem z oceną ryzyka klienta bez jego historii transakcyjnej. Klient, mając ją, będzie miał lepszą pozycję na rynku. Nasze dane to nasza własność i rolą regulatora jest, żeby klient mógł tego aktywa używać – mówił podczas kongresu Marcin Borowiecki, prezes firmy pożyczkowej Wonga.com.

Jeśli interpretacja PSD2 pójdzie w takim właśnie kierunku, że również dane transakcyjne klienta są jego wyłączną własnością, bardzo utrudni to bankom “profilowanie” klientów bez ich wiedzy. Natomiast posiadanie przez klienta własnej historii transakcyjnej bardzo wzmocni jego pozycję w wszelkich negocjacjach z bankiem lub z bankami.

 

Otwarta licencja


Tagi