Nawet jeśli nie stanie się tak z samym wejściem dyrektywy (co ma nastąpić za trochę ponad pół roku), to opóźnione może być zastosowanie standardów technicznych (STS), kluczowych dla rozumienia i stosowania silnej autentykacji klienta instytucji finansowej. Bez nich dyrektywa pozostaje tylko katalogiem intencji, bez konkretnej, praktycznej treści.
PSD 2 została uchwalona po to, żeby ograniczyć monopol banków w dziedzinie płatności, stworzyć równe warunki konkurencji nowatorskim podmiotom technologicznym, wspomóc erupcję technologii i innowacyjność w usługach finansowych. Nakazała bankom dla takich podmiotów utworzyć specjalny interfejs (API), dzięki któremu będą mogły dostawać poza mury obronne.
Równocześnie, wprowadzając podwójną autentykację, miała zagwarantować klientom instytucji finansowych pełne bezpieczeństwo, żeby nikt niepowołany nie dostał się do ich pieniędzy. To klient, potwierdzając swoim hasłem i PIN-em, uwierzytelnia stronę trzecią (TPP), czyli na przykład dostawcę usług płatniczych i dopuszcza ją do swego rachunku.
W lutym tego roku kluczowe dla praktycznego funkcjonowania nowego prawa standardy techniczne ogłosił Europejski Urząd Nadzoru Bankowego EBA. Uznał on, miedzy innymi że jedna z technik stosowanych przez wielu dostawców usług płatniczych w Europie (w Polsce zabroniona już wcześniej przez Komisję Nadzoru Finansowego, ale mimo jej zakazu wciąż używana) – screen scraping czy też web scrapping – będzie niedozwolona.
Propozycja EBA wyraźnie przechyliła szalę kompromisu na rzecz bezpieczeństwa rachunków bankowych, ale jak powiedziała niedawno komisja Parlamentu Europejskiego – niewystarczająco wobec cyberprzestępczego zagrożenia. Podobnie wątpliwości wyraził brytyjski regulator FCA. Firmy technologiczne, które do tej pory zabrały bankom sporą część stosunkowo mało intratnego biznesu płatności, mając nadzieję, że wejdą w znacznie bardziej rentowne obszary, mówią natomiast teraz, że mogą zostać wyrzucone z rynku.
Równocześnie z grą o bezpieczeństwo pieniędzy zdeponowanych na rachunkach bankowych zaczyna się bowiem być może najbardziej fascynująca w historii wojna o przejęcie wartości dodanej w usługach finansowych. Do tej pory pełną kontrolę nad nią sprawowały banki i czerpały z tego korzyści.
Dyskusja wraca do źródeł
Przypomnijmy najważniejsze fakty. Parlament Europejski uchwalił dyrektywę PSD2 pod koniec 2015 roku. Ma ona wejść w życie w styczniu 2018 roku. W końcu lutego, po długotrwałych konsultacjach, EBA wydała RTS (Regulatory Technical Standards – regulacyjne standardy techniczne) dotyczące najważniejszej kwestii – silnej autentykacji klienta (strong customer authentication, SCA) oraz wyłączeń od tej zasady.
Standardy ogłaszane przez EBA wymagają zatwierdzenia przez Komisję Europejską. W międzyczasie do walki na argumenty ruszyli przedstawiciele sektora fintechów i banków. Ci pierwsi chcieli złagodzenia zasad, a przede wszystkim dopuszczenia możliwości stosowania screen scrapingu. Drudzy natomiast oczekiwali zaostrzenia wymogów, jakim miałaby podlegać „trzecia strona” mająca oprócz banku i klienta dostęp do rachunku.
Komisja Europejska w końcu maja wysłała do EBA opinię, w której się nie zgadza z czterema propozycjami nadzorcy. W odpowiedzi EBA przystała na trzy propozycje KE, nie zgadzając się jednak na czwartą – kluczową zarówno z punktu widzenia rynku, jak i bezpieczeństwa. Ostateczna decyzja będzie należała do KE, ale potem zacznie się trzymiesięczny okres kontroli Parlamentu i Rady Europejskiej. I wcale nie jest pewne, czy PE zaaprobuje kształt propozycji.
Bo oto w końcu kwietnia Komisja Gospodarcza i Monetarna PE przyjęła projekt rezolucji na temat wpływu technologii na przyszłość sektora finansowego. Zwraca w nim uwagę, że skala i oddziaływanie rozwoju technologii na ten sektor nie są zbadane i mają potencjał wniesienia do niego ogromnych zmian.
Komisja nie mówi, że podjęte dotąd próby okiełznania i uregulowania tych zmian – takie właśnie jak PSD 2 – należy wstrzymać, ale stwierdza, że niektóre zastosowania technologii finansowej mogą kiedyś nabrać znaczenia systemowego. Zwraca też bardzo mocno uwagę na kwestie związane z cyberbepieczeństwem – sektor finansowy jest trzy razy bardziej narażony na ryzyko ataków niż jakikolwiek inny sektor, a niezawodność i ciągłość jego usług to warunki wstępne zagwarantowania zaufania obywateli.
– Nie wszystkie zagrożenia związane z PSD 2 zostały przewidziane – mówi Obserwatorowi Finansowemu Włodzimierz Kiciński, wiceprezes Związku Banków Polskich.
Czego chce Komisja Europejska
KE zgłosiła cztery uwagi do standardów technicznych.
Pierwsza wprowadza obowiązek przeprowadzania zewnętrznego audytu metodologii oceny ryzyka, modeli ryzyka oraz analizy zgłoszonych oszustw przez tych PISP, którzy mogą korzystać z wyłączenia od silnej autentykacji. Na to EBA przystała.
Kompromis jest możliwy w sprawie drugiej propozycji KE. Dotyczy ona wyłączenia z silnej autentykacji pewnych płatności korporacyjnych. EBA uważa, że jest to możliwe w przypadku konkretnych, specyficznych transakcji, jeśli analiza ryzyka pokaże, że fraudy nie przekraczają progowego odsetka.
Nie oponuje też wobec trzeciej poprawki KE, żeby dokumentacja metodologii, modeli wykorzystywanych przez PISP oraz danych o samych oszustwach była dostarczana nie tylko krajowym nadzorom, ale również do EBA.
Czwarta poprawka KE – tylnymi drzwiami – dopuszczała właśnie screen scraping. Technika ta polega na tym, że TPP przekazuje klientowi banku oprogramowanie, dzięki któremu klient może przekazać mu swoje dane do logowania w systemie banku, a on loguje się do rachunku „udając” klienta i przeprowadza zlecone operacje.
Technika screen scrappingu jest łudząco podobna do tej, jakiej używają przestępcy, kradnąc dane do logowania klientom banków. „Podstawiają” im fałszywą stronę internetową, np. dzięki oprogramowaniu „wstrzykniętemu” do przeglądarki albo zainstalowanemu w komputerze. Stosowanie screen scrapingu powoduje oczywiste obawy – klient nie będzie w stanie odróżnić, kto każe mu wpisać hasło – bank, dostawca usług czy przestępca. Bank nie jest też w stanie odróżnić, kto loguje się do rachunku klienta.
Komisja wprowadziła poprawkę do RTS, że jeśli interfejs API jest niedostępny przez ponad 30 sekund podczas sesji komunikacyjnej, PISP czy też AISP powinny mieć dostęp do interfejsów zapasowych, działających online. A to oznacza, że bank powinien mieć „zapasowe” otwarte API na wypadek awarii. EBA stanowczo przeciw temu oponuje.
Sytuacja wyglądałaby tak, że banki musiałyby zbudować „podwójne” otwarte API dające dostęp TPP do systemów transakcyjnych i rachunków klientów. To w oczywisty sposób podwajałoby nawet koszty dostępu do bankowej twierdzy. Koszty te musiałyby ponieść banki, ale też TPP, bo one również musiałby mieć „zapasowe” API.
To oczywiście zagrażałoby możliwości wprowadzenia standardowego API w całej Unii, groziłoby fragmentacją rynku, pogorszeniem jakości interfejsów, zaburzeniami konkurencji spowodowanymi wyższym kosztem wejścia na rynek, problemami dla nadzoru. Rozwiązaniem tej sytuacji byłoby dopuszczenie w przypadku awarii „podstawowego” API możliwości skorzystania ze screen scrapingu, gdyż technika ta pozwala „ominąć” API.
Konsekwencje otwarcia dla biznesu
Jesienią 2014 roku brytyjski rząd opublikował raport na temat skutków wprowadzenia otwartych interfejsów dostępu do rachunków bankowych, czyli API, oraz wykorzystania danych na rachunkach. Teza raportu jest taka, że banki nie są ani wystarczająco konkurencyjne, ani nowatorskie w zaspakajaniu potrzeb konsumentów, a standard otwartego API może konsumentom przynieść korzyści.
Równocześnie gdy Parlament Europejski finalizował prace nad PSD 2, we wrześniu 2015 roku w Wielkiej Brytanii powstała inicjatywa Open Banking i projekt ten jest intensywnie rozwijany. Na czym on polega? W gruncie rzeczy zasada otwarcia bankowej twierdzy jest podobna do tej jaką przewiduje to PSD 2. Ale idzie znacznie dalej niż zakładała to unijna dyrektywa, a raczej wprost odnosi się do jej konsekwencji.
Pierwotny zamiar PSD 2 był taki, żeby uregulować, a jednocześnie ułatwić dostarczanie klientom banków nowych usług – szybszych płatności oraz możliwości zarządzania rachunkiem lub rachunkami w bankach przez jednego zewnętrznego operatora. Ale tak naprawdę ani jedna, ani druga z tych usług – choć w wielu krajach mogą być bardziej pożyteczne niż w Polsce – nie ma wielkiego biznesowego potencjału.
Mają go natomiast dane o tym, co klient robi na rachunku – czy też na rachunkach – jakie ma dochody i z jakich pochodzą źródeł, na co najwięcej lubi wydawać, czy w jego życiu nie rysują się jakieś potrzeby mogące wymagać długoterminowego finansowania. Tę wiedzę – teoretycznie – mają banki. Ale jeżeli klient banku (czy banków) udostępni tę wiedzę TPP, może on na tym budować już swój model biznesowy.
Przyjrzyjmy się choćby najprostszej sytuacji, jaką jest korzystanie z porównywarek internetowych przy poszukiwaniu lokaty lub kredytu. O ile kiedyś trzeba było chodzić od banku do banku i pytać w okienkach, teraz wystarczy odwiedzić kilka stron internetowych, a potem wykonać kilka telefonów. Gdy powstaną otwarte API, wyszukiwarki i porównywarki ofert stają się anachronizmem, tak jak wędrówki od okienka do okienka kiedyś.
Bo oto TPP może powiedzieć – daj mi wszystkie swoje dane z rachunków, a ja znajdę ci najlepszy produkt. Może przeprowadzić nawet scoring, a klient może też udostępnić mu swój scoring z BIK. Wtedy TTP przeprowadza już tylko aukcję w bankach – halo, mam klienta o takich a takich dochodach, takim a takim profilu, takim a takim scoringu. Kto da mu lepsze warunki, a mnie wyższą prowizję?
Gdyby rozwinęły się takie modele biznesowe, postawiłoby to banki w sytuacji skrajnie trudnej. Klient nie tylko byłby panem własnych danych, ale i panem sytuacji w wyborze oferty. Asymetria informacyjna zostałaby zniesiona. Klient mógłby korzystać z usług banku jak ze sklepu – raz z tego, innym razem z innego. To on dyktowałby warunki, gdy w jego imieniu działałaby TPP.
Czy to prawda? Nie do końca. Relację z klientem, którą teraz ma bank, przejąłby TPP. Ale czy asymetria zostałaby zniesiona? Między bankiem a klientem tak, ale zaczęłaby działać na korzyść TPP. To on znałby możliwości jednej i drugiej strony i za klienta dokonywał wyboru. Rzecz jasna, działając na własną korzyść.
Jaki los czekałby w tej sytuacji banki? Stałyby się tylko dostawcami pieniądza na zawołanie. Dopiero wtedy odczułyby presję na marże i prowizje. Banki, dostarczając pieniądz do kredytu i pobierając pieniądz w depozyt, pełniłyby takie funkcje jak obecnie dostawcy wody czy prądu.
Dlatego właśnie banki masowo starają się o budowę relacji z klientami, zacieśnianie i umacnianie z nim więzi. Walczą o to, żeby go przyciągnąć i oswoić. Walczą – rzecz jasna – oczywiście i na ceny. Niektóre wybierają strategie polegające na tym, ze same dla innych staną się TPP. Polskie najbardziej zaawansowane technologicznie banki czują się przygotowane do tych wyzwań.
– PSD 2 daje więcej szans dla sektora bankowego w Polsce, niż powoduje zagrożeń, gdyż (…) trochę (ją) wyprzedziliśmy. Będąc blisko klientów i obserwując ich zachowania, jesteśmy w stanie zaproponować nowe usługi i wartości dzięki jeszcze bardziej zintegrowanym pomysłom – mówił podczas czerwcowego Europejskiego Kongresu Finansowego w Sopocie Bartłomiej Nocoń z Pekao.
Równocześnie PSD 2 zmieni pole gry w wymiarze transgranicznym i międzynarodowym.
– Przesyłanie płatności międzynarodowych przesunie się pewnie ze SWIFT-u ku API – powiedział Grzegorz Hansen z mBanku.
Konsekwencje otwarcia dla bezpieczeństwa
Kim tak naprawdę może być TPP? Być może będą nimi wielkie amerykańskie lub azjatyckie Big Techy, takie jak Google, Apple lub Samsung. W Europie dostawcami płatności jest już kilka firm o ugruntowanej renomie. Usługi te powinny być jednak innowacyjne, a jest na to szansa, gdy nie będą do nich dopuszczone jedynie „tłuste koty”. Wtedy rynek wkrótce znowu się okopie. Unia – co jest sensem PSD 2 – stawia przede wszystkim na fintechowe start-upy wnoszące innowacje.
I tu pojawia się problem, bo nie ma kryteriów sprawdzania wiarygodności wchodzących na ten rynek instytucji. Otwierając bankowe twierdze na innowacje, otwiera się je również na innowacje przestępcze. Ułatwiając dostęp do rachunku bez jednoznacznej pewności, że dostawca usługi na pewno występuje w imieniu konkretnego, znanego bankowi klienta – ułatwia się dostęp również przestępcom.
Ani PISP ani AISP nie muszą mieć kapitału. To powoduje poważne konsekwencje. Na przykład w myśl polskiego projektu ustawy implementującej PSD 2, to TPP powinien niezwłocznie zwrócić klientowi pieniądze, jeśli źle wykona transakcję. Pytanie z czego?
To pytanie jest zasadne, kiedy nie chodzi o przelew na 100 zł czy 1000 zł, ale o setki czy też tysiące nieautoryzowanych przelewów wynikających na przykład z cyberataku na TPP. Powstaje kolejne pytanie o to, jakie standardy bezpieczeństwa mają spełniać takie instytucje. A to także nie zostało określone. Nie wiadomo też, jak mają być przechowywane dane pozyskane przez nie z rachunków klientów.
Polski projekt ustawy korzysta z „opcji narodowej” pozwalającej na działanie małych instytucji płatniczych, o obrotach do 1,5 mln euro miesięcznie. Taka instytucja będzie mogła działać tylko na podstawie wpisu do rejestru. Mimo multiplikacji rozmaitych zagrożeń wciąż nieprawdopodobne wydaje się przejęcie banku przez grupę przestępczą czy terrorystyczną. Bez trudu wyobrazić można sobie jednak sytuację, w której małą instytucję płatniczą przejmuje ktoś mający niekoniecznie dobre intencje.
– Wysoce pożądane jest, aby w duchu konkurencji w bankowości można było zbierać wszystkie dane w jednym miejscu, móc przenosić konta z jednej organizacji do innej, gdy nie jest się z niej zadowolonym, lecz stwarza to niepewność dotyczącą bezpieczeństwa – mówił jesienią zeszłego roku John Griffith-Jones, szef Financial Conduct Authority (FCA) przed komisją brytyjskiego parlamentu.
Stało się to dwa dni po cyberataku na klientów banku Tesco. W jego wyniku 9 tys. osób straciło w sumie 2,5 mln funtów.