Przejdź na stronę główną Interia.pl
Reklama

Idą zmiany na rynku płatności

Techniczne wytyczne do unijnej dyrektywy PSD2 zakazują klasycznego screen scrapingu, ale umożliwiają bezpośredni dostęp do rachunku bankowego klienta podmiotom trzecim. Jednocześnie nie pozwalają by jedynym przyjętym modelem płatności było przekierowanie, czyli taki system jaki jest stosowany na polskim rynku w tzw. pay-by-linkach.

Przypomnijmy, że unijna dyrektywa, która ma zwiększyć konkurencję na rynku i szerzej otworzyć drzwi firmom obsługującym płatności. Wprowadza nową kategorię dostawców usług płatniczych (TPP - ang. third party provider) oraz daje szeroki dostęp podmiotom trzecim do danych klientów banków. Kluczowe dla dyrektywy PSD2 są długo wyczekiwane i opublikowane kilka dni temu przez Komisję Europejską regulacyjne standardy techniczne, w skrócie RTS-y. Wcześniej, w trakcie procesu uzgodnień były zasadniczo zmieniane.

Jednym z najbardziej kontrowersyjnych elementów oraz źródłem rozbieżności między KE oraz europejskim nadzorem bankowym (EBA) był screen scraping (umożliwiający bezpośredni dostęp podmiotu trzeciego do rachunku klienta, który w tym celu udostępnia swój login i hasło).

Reklama

Nowa wersja RTS-ów zabrania definitywnie screen scrapingu, który był stosowany przez europejskie firmy zajmujące się płatnościami, ale w Polsce był zabroniony przez KNF. Jednocześnie z innych zapisów RTS wynika, że jeśli główny interfejs, czyli API nie będzie działać prawidłowo, to firmy inicjujące płatności tzw. TPP czyli mogą logować się w imieniu klienta.

- Z opublikowanych RTS-ów wynika, że screen scraping nie będzie dozwolony. Dodatkowo opublikowane wytyczne wyraźnie mówią, że jeśli nie działa podstawowy interfejs, dzięki któremu instytucje płatnicze mogą inicjować transakcje, to musi być zapewniony zapasowy mechanizm, w tym poprzez interfejs użytkownika (do tej pory kojarzony ze screen scrapingiem). W tym kontekście rodzi się kilka wątpliwości i pytań, między innymi jak według RTS ma działać model bezpośredniego dostępu, skoro screen scraping nie będzie dozwolony. Wydaje się, że RTS-y nie dają wyraźnej odpowiedzi na to pytanie - ocenia Bartosz Berestecki, członek zarządu PayU.

Screen scraping zabroniony, ale nie całkowicie

Piotr Gałązka, dyrektor przedstawicielstwa Związku Banków Polskich w Brukseli interpretuje zapisy w ten sposób, że nie będzie można stosować screen scrapingu w jego klasycznym wydaniu czyli takim, w którym nie byłoby wiadomo czy za pomocą danych dostępowych na rachunek loguje się jego posiadacz czy ktoś inny.

- Podmiot trzeci będzie mógł uzyskać bezpośredni dostęp do rachunku poprzez zalogowanie się do rachunku klienta, ale z tą różnicą w stosunku do poprzednio proponowanych przepisów, że teraz taki podmiot będzie się musiał zidentyfikować czyli w praktyce bank prowadzący rachunek będzie wiedział, kto się loguje w imieniu klienta, a wcześniejsze propozycje KE zakładała zastosowanie klasycznego screen scrapingu czyli takiej formuły, że bank nie wiedział kto wchodzi na rachunek klienta. To zmiana na plus, ale jednak rodzi to problemy techniczne, bo banki będą musiały przygotować swoje systemy do rozpoznawania czy loguje się klienta czy podmiot trzeci w jego imieniu czyli wyposażyć je w dodatkowe moduły autoryzacji - podkreśla dyrektor przedstawicielstwa Związku Banków Polskich w Brukseli.

Jak dodaje, jednocześnie RTS-y określają kiedy musi być dostępny zapasowy system dostępu do rachunku, taka sytuacja ma miejsce wówczas gdy podstawowy interfejs, czyli API nie odpowiada na 5 prób nawiązania połączenia w ciągu 30 sekund. Wówczas musi być umożliwiony bezpośredni dostęp do rachunku.

Zdaniem Bartosza Beresteckiego, członka zarządu PayU, zostały wystarczająco doprecyzowane warunki, kiedy uznaje się, że podstawowy interfejs poprzez API nie działa prawidłowo (gdy wysyłanych jest 5 zapytań w ciągu 30 sekund i nie ma odpowiedzi) i wówczas powinien być wykorzystany mechanizm zapasowy.

Przedstawiciel sektora bankowego ma jednak wątpliwości. - Przepisy nie uwzględniają sytuacji, w której taki brak połączenia nie będzie wynikał z winy banku, ale np. z powodu słabego dostępu do internetu - podkreśla Piotr Gałązka.

Nie będzie monopolu na płatności pay-by-link

Opublikowana wersja RTS-ów nie pozwala na to, żeby jedynym modelem przeprowadzenia płatności internetowych był tzw. redirection czyli przekierowanie (tak działają płatności typu pay-by-link). To oznacza, że np. na polskim rynku, na którym płatności odbywały się właśnie w tej formule, będą musiały być dopuszczone też inne warianty. To od firmy płatniczej będzie zależało w jakim modelu będzie świadczyć usługi.

- Korzystanie z przekierowania, z jednej strony może być dla nich wygodniejsze i bezpieczniejsze (pobieranie loginów od klientów generuje ryzyko). Wprawdzie taki podmiot nie ma prawa ich przechowywać, ale musi je przetwarzać w celu realizacji transakcji. Jednak wybór będzie zależał od modelu biznesowego danej firmy, bo w przypadku bezpośredniego dostępu będzie miała dojście do wszystkich danych klienta na rachunku, a poprzez API tylko do tych, które są konieczne do zrealizowania transakcji - dodaje ekspert ZBP.

Dostęp do danych klientów jakie w efekcie nowych europejskich regulacji unijnych mogą uzyskać podmioty zewnętrzne budzi wciąż dużo obaw, a takie wpadki jak gigantyczny wyciek danych klientów Ubera, o którym niedawno było głośno.

- Jako sektor bankowy byliśmy przeciwni udostępnieniu bezpośredniego dostępu do rachunku, gdyż wiąże się to ze wzrostem cyberzagrożeń, ale KE uznała, że takie przepisy będą skuteczniejsze z punktu widzenia niebankowych podmiotów płatniczych - podkreśla Piotr Gałązka.

Z kolei Łukasz Łyczko, radca prawny w PwC Legal podkreśla, że RTS-y w obecnym brzmieniu zwiększają kompetencje i jednocześnie obowiązki nadzorców krajowych. Dotyczy to w szczególności oceny prawidłowości działania głównych interfejsów, poprzez konieczność przeprowadzania stress testów ich dostępności.

- Dodatkowo krajowe organy nadzorcze uzyskały ważne uprawnienie - możliwość zwolnienia danego dostawcy rachunku z obowiązku zapewniania tzw. awaryjnego interfejsu (stosowanego na wypadek awarii podstawowej metody dostępu). Uzyskanie takiego zwolnienia mogłoby obniżyć koszty banków w zakresie utrzymania zgodności z RTS, uwarunkowane jest jednak koniecznością realizacji przewidzianych w RTS wymogów - mówi Łukasz Łyczko i zastrzega, że jego zdaniem część z tych wymogów ma dość nieostry charakter i może budzić wątpliwości interpretacyjne w praktyce.

Jednocześnie zwraca uwagę na istotną zmianę RTS w zakresie terminu udostępnienia przez banki platformy testowej interfejsu umożliwiającego dostęp do rachunku. Zgodnie z art. 38 ust. 3 RTS, banki będą zobowiązane do realizacji tego obowiązku w terminie 12 miesięcy do wejścia w życie RTS. Zmiana ta skraca realny czas na dostosowanie do RTS dla banków.

Generalnie sama dyrektywa PSD2 ma obowiązywać od stycznia 2018, ale RTS-y (w większości) 18 miesięcy od ich przyjęcia. Żeby tak się stało muszą w ciągu trzech miesięcy zostać zaaprobowane przez Parlament Europejski.

Monika Krześniak-Sajewicz

INTERIA.PL
Dowiedz się więcej na temat: PSD2 | Rynek płatności | rts | unijna dyrektywa

Partnerzy serwisu

PKO BP KGHM