Unijne regulacje bankowe sieją strach

- Banki będą musiały ujawniać dane klientów mało znanym instytucjom. Jeden wyciek może wywrócić system płatności online i będzie groźny dla całego sektora, a w konsekwencji zagrozi bezpieczeństwu państwa - ostrzega jeden z bankowców. - Przejęcie danych klientów może być bowiem przykładem wojny hybrydowej, która zacznie się tym razem na scenie finansowej - dodaje.

Wyjaśnijmy o co chodzi: unijna dyrektywa, która ma zwiększyć konkurencję na rynku, wprowadza nową kategorię dostawców usług płatniczych (TPP - ang. third party provider) oraz daje szeroki dostęp podmiotom trzecim do poufnych danych klientów banków. Pojawią się dwa nowe typy usług inicjowania transakcji płatniczej (PIS) oraz dostępu do informacji o rachunku (AIS).

Zagrożenie dla systemu bankowego?

Bankowcy obawiają się czy na ostatniej prostej Komisja Europejska, wbrew stanowisku europejskiego nadzoru, nie przeforsuje czasem tylnymi drzwiami tzw. screen scrapingu (umożliwiającego bezpośredni dostęp podmiotu trzeciego do rachunku klienta, który w tym celu udostępnia swój login i hasło).

Konsekwencje całej regulacji są więc nieprzewidywalne, tym bardziej, że niektóre zasady dyrektywy PSD2 są sprzeczne z innymi regulacjami europejskimi m.in. RODO o ochronie danych osobowych. Pojawiają się wręcz głosy, że wejście w życie PSD2 powinno być przesunięte, bo inaczej skutki mogą być katastrofalne.  

- Idea dyrektywy, czyli otwarcia rynku płatności, była słuszna i korzystna dla samych klientów. Ale jeśli nie zostanie wystarczająco uwzględniony aspekt bezpieczeństwa, to efekt może być odwrotny do zamierzonego. Jeden przypadek wycieku danych czy fraudów z wykorzystaniem danych dostępowych klienta może wywrócić cały system płatności online - mówi przedstawiciel jednego z dużych banków.

Inny dodaje, że KE nie zdaje sobie sprawy z konsekwencji i ciężaru gatunkowego dla sektora finansowego jaki niesie dyrektywa. Nikt już nie kwestionuje ułatwienia wejścia podmiotom trzecim na rynek płatności, ale zarówno sektor bankowy jak i nadzorca opowiadają się za tym, żeby odbywało się to za pomocą specjalnego wystandaryzowanego łącznika (tzw. API).

Jednak z przebiegu prac nad kluczowym elementem dyrektywy - Regulacyjnym Standardem Technicznym (RTS), którego wciąż nie ma, wynika że Komisja Europejska nie chce uwzględnić stanowiska europejskiego nadzorcy (EBA), który opowiedział się za całkowitym zakazem stosowania screen scrapingu.

- W lutym EBA opublikowała swoją wersję RTS, do którego Komisja Europejska zgłosiła swoje uwagi wraz z nową wersją RTS, wprowadzając kontrowersyjną regułę, wskazującą, że jeżeli dostęp do rachunków bankowych przez dedykowany interfejs (tzw. API) nie jest odpowiednio dostępny bądź nie działa prawidłowo, wówczas zastosowanie znaleźć mogłaby tzw. "fallback option" łączona przez niektórych ze screen scrapingiem. To z kolei skrytykowała EBA - mówi  Łukasz Łyczko, radca prawny w PwC Legal.

Komisja wówczas zgłosiła poprawkę, zgodnie z którą taka metoda jako awaryjna byłaby dopuszczona w sytuacji gdy główny interefejs czyli tzw. API nie działa dłużej niż 30 sekund. Miałby to być rodzaj straszaka w razie gdyby banki chciały w ten sposób blokować podmioty świadczące usługi płatności. Jaka będzie ostateczna wersja regulacji technicznych to wciąż znak zapytania.

- Na razie nie wiadomo czy analogiczne rozwiązanie znajdzie się w proponowanej przez KE finalnej wersji RTS. Z ostatnich publicznych wypowiedzi przedstawicieli Komisji Europejskiej wynika, że powinna ona zostać opublikowana w listopadzie oraz, że celem KE jest aby RTS obowiązywał od sierpnia 2019 roku - zaznacza Łukasz Łyczko.

W niektórych krajach screen scraping jest obecnie powszechnie stosowany, a w oparciu o tę metodę działają m.in. duże instytucje jak niemiecki Sofort (obecnie wchodzi w skład szwedzkiej grupy Klarna).

W Polsce Komisja Nadzoru Finansowego w 2015 roku zabroniła bankom stosowania tej metody, zwracając m.in. uwagę, że prowadzi do naruszenia warunków korzystania z bankowości internetowej. Nie oznaczało to jednak odcięcia niebankowych instytucji od realizowania płatności, bo takie w Polsce z powodzeniem działają. Kupując w sklepie internetowym i wybierając płatność online przez bankowość elektroniczną, klient jest automatycznie przekierowany na stronę banku i tam samodzielnie loguje się do swojego konta i sam zatwierdza płatność.

- Nie chodzi więc o ograniczanie przez banki dostępu do rynku innym podmiotom, ale o otwarcie tego rynku przy zachowaniu bezpieczeństwa - podkreśla jeden z naszych bankowych rozmówców.

ZBP przedstawiał w Brukseli argumenty za umożliwieniem dostępu TPP do rachunku za pomocą API, ale bez możliwości korzystania z tzw. dostępu bezpośredniego, który nie zapewnia odpowiedniego poziomu bezpieczeństwa dla klientów korzystających z bankowości elektronicznej.

Sporne udostępnianie loginów i haseł

- Otwarcie rynku płatności jest słuszne i korzystne dla klientów, ale jeśli nie zostanie wystarczająco uwzględniony aspekt bezpieczeństwa, to efekt może być odwrotny do zamierzonego - mówi jeden z bankowców. Zwraca uwagę, że dostęp do rachunków oraz możliwość inicjowania płatności będą miały nie tylko duże firmy Kreditech czy Klarna (stosujące już dziś screen scraping), ale także małe fintechy działające przy bardzo niskich nakładach na IT. Jest obawa czy takie dane gdzieś nie wyciekną i nie będą potem "fruwać po świecie".

- Gdyby więc Komisja Europejska dopuściła stosowanie screen scrapingu jednocześnie upraszczając zasady licencjonowania instytucji płatniczych, wzięłaby na siebie olbrzymią odpowiedzialność za bezpieczeństwo płatności online - podkreśla.

Problemy z interpretacją prawną dotyczą też innej reguły, którą wprowadza PSD2 czyli udostępnienia danych o rachunkach. Zgodnie z dyrektywą, za zgodą klienta, podmiot trzeci może "zaciągnąć" historię transakcji z banku, między innymi z ROR, rachunku oszczędnościowego, karty kredytowej oraz dane osobowe, numer konta, nazwę firmy. Może ich zażądać praktycznie każdy fintech z licencją AIS, która nie stwarza istotnych barier wejścia. Dostosowując się do dyrektywy, która nakazuje udostępnienie historii, banki będą musiały ujawniać dane objęte tajemnicą bankową np. dane osobowe odbiorców przelewu, z którymi klient prowadzi rozliczenia. W tym przypadku dodatkowo jeszcze występuje kolizja prawna z RODO, które wymaga każdorazowo uzyskania zgody klienta na podanie danych osobowych. 

Groźna wyrwa w systemie finansowym?

Gra idzie o duże pieniądze czyli przejęcie dużej części rynku w usługach finansowych. Ostateczny kształt regulacji zdecyduje czyje interesy w większym stopniu zostaną uwzględnione i czy w tym kontekście równie ważne będzie otwarcie rynku jak jego bezpieczeństwo.

W niektórych krajach, tak jak w Polsce trwa budowa cyfrowej identyfikacji obywateli w oparciu o bankowe dane dostępowe. - W przypadku gdy będzie dopuszczalne udostępnianie tych danych podmiotom trzecim cały system zostanie niebezpiecznie rozszczelniony. Sektor finansowy i regulatorzy od lat edukują swoich klientów w temacie zagrożeń związanych z podawaniem danych dostępowych do konta bankowego na innych stronach niż bankowe. Zmiana może oznaczać, że klienci zaczną podawać loginy, hasła i kody autoryzacyjne poza środowiskiem bankowym, co naraża cały system na phishing, czyli kradzieży tych danych i wykorzystywanie ich przez przestępców - mówi inny z naszych rozmówców z sektora bankowego.

Tymczasem cyberzagrożeń wciąż przybywa. Według danych F-Secure w ciągu ostatnich sześciu miesięcy Rosja podjęła ponad 2,5 miliona prób ataków hakerskich na Polskę, na drugim miejscu znalazły się Niemcy, choć z dziesięciokrotnie mniejszym wynikiem, a na trzecim Chiny.

Przeciw dzieleniu się hasłami dostępowymi opowiada się też międzynarodowa organizacja FIDO skupiająca różne instytucje sektora finansowego.

Atmosfera wokół regulacji się zagęszcza, bo w październiku Komisja Europejska wszczęła kontrolę w Związku Banków Polskich, która miała sprawdzić czy bankowcy w sposób niezgodny z przepisami antymonopolowymi nie bronią dostępu do rachunków swoich klientów (w kontroli uczestniczyli przedstawiciele Urzędu Ochrony Konkurencji i Konsumentów).

Szykuje się chaos prawny

Wciąż nie wiadomo jakie podejście ma obowiązywać od momentu wejścia w życie dyrektywy do wdrożenia RTS.

- Z jednej strony to dobrze, że tak ważna regulacja przechodzi przez proces szerokich konsultacji, ale z drugiej mamy sytuację, w której w styczniu mija termin implementacji dyrektywy, a jednocześnie nie opublikowano kluczowych dla niej przepisów technicznych. Rodzi to wątpliwości, m.in. w zakresie tego jak interpretować przepisy w okresie przejściowym. Przykładowo art. 115 dyrektywy, na podstawie, którego państwa członkowskie zobowiązane są przyjąć i opublikować przepisy implementujące do dnia 13 stycznia 2018 r. w zależności od potrzeb może być interpretowany w zupełnie odmienny sposób. Ust. 5 i 6 tego przepisu jedna strona może interpretować tak, że podmioty stosujące "screen scraping" mogą w okresie przejściowym prowadzić działalność, natomiast druga interpretacja może takie działanie uznać za niezgodne z obowiązującymi przepisami. W związku z powyższym spodziewać można się szeregu sporów regulacyjnych pomiędzy uczestnikami rynku -  tłumaczy Łukasz Łyczko z PwC Legal.

Joanna Erdman, dyrektor ds. projektów strategicznych w mBanku przyznaje, że między wejściem w życie dyrektywy i RTS powstaje jakaś forma szarej strefy. - Niektóre banki, np. słowackie i czeskie już wystawiają pierwsze wersje API od stycznia, gdy wejdzie w życie PSD2, ale nie wiadomo czy będą one zgodne z RTS, których wersji finalnej nie ma. Druga grupa interpretuje regulacje w ten sposób, że na dostosowanie się techniczne do dyrektywy PSD2 ma 18 miesięcy od wejścia w życie RTS, wychodząc z założenia, że nie chcą być karani, w sytuacji, w której mimo wystawienia API techniczne nie będą w pełni zgodne z dyrektywą - wylicza ekspertka mBanku.

Jak podkreśla, polski sektor bankowy wraz z podmiotami trzecimi pracuje nad uzgodnieniem przykładowego standardu interfejsu czyli tzw. API. - Każdy bank ma obowiązek wystawić taki interfejs, przez który podmioty realizujące płatności będą mogły je inicjować, czyli w praktyce wysłać do banku informację, że klient chce wykonać daną transakcję i my jako bank musimy to zrobić. Kwestią niejasną są nadal sposoby potwierdzenia tożsamości klienta, która z uwagi na brak finalnych RTS nie jest rozstrzygnięta - dodaje.

Trzeba jednocześnie przyznać, że są banki, które upatrują w PSD2 swoich szans i liczą na to, że dzięki regulacjom zyskają przewagi konkurencyjne.

Ministerstwo Finansów, które pracuje nad ustawą implementującą dyrektywę PSD2 podchodzi do tematu spokojnie, opierając się na deklaracjach Komisji Europejskiej, że przyjęte rozwiązania będą tak skonstruowane, żeby nie wpłynęły negatywnie na bezpieczeństwo danych użytkowników.

Monika Krześniak-Sajewicz

Stanowisko Ministerstwa Finansów

Nie ma przeszkód do uchwalenia ustawy o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, wdrażającej PSD2, pomimo braku wejścia w życie RTS dotyczących uwierzytelniania i komunikacji. Dyrektywa w przepisach przejściowych stwierdza, że przepisy wdrażające dyrektywę powinny zostać przyjęte i opublikowane do 13 stycznia 2018 r. Na zasadzie odstępstwa od tej daty, zgodnie z dyrektywą, wymagania odnośnie używania środków bezpieczeństwa określonych w przepisach odnoszących się do RTS będą stosowane po upływie 18 miesięcy od terminu ich wejścia w życie.

Ministerstwo Finansów dostrzegło zagrożenia związane z dostępem do danych klientów przez TPP przy użyciu tzw. screen scraping-u (czyli technologii umożliwiającej bezpośredni dostęp do rachunku osobistego tzw. podmiotom trzecim, czyli np. integratorom płatności czy innym bankom. Polega na tym, że klient, który chciałby z niej skorzystać, podaje owemu podmiotowi trzeciemu login i hasło do swojego rachunku. Następnie usługodawca wykonuje w jego imieniu np. przelew, czy też pobiera informacje na temat historii transakcji na koncie).

Polska wraz z innymi państwami członkowskimi UE zgłaszała swoje zastrzeżenia KE w tym zakresie, postulując aby dostęp podmiotów trzecich do rachunków osobistych klientów odbywał się poprzez dedykowany interfejs programowalny (tzw. API). KE przyjęła te uwagi i zapewniła, że dołoży wszelkich starań na etapie zgłaszania poprawek do RTS, żeby rozwiązania typu screen scraping mogły być wykorzystywane w ostateczności, jako tzw. fallback option, w ściśle określonych przypadkach i w odpowiedni sposób monitorowane tak, żeby nie wpłynęły negatywnie na bezpieczeństwo danych użytkowników.

RTS dot. bezpiecznej komunikacji i uwierzytelniania, gdy zostanie uzgodniony przez KE i PE zostanie uchwalony i wejdzie w życie jako rozporządzenie delegowane KE i będzie obowiązywał bezpośrednio. Wszelkie przepisy prawa krajowego w tym względzie będą obowiązywały na tyle, na ile nie będą naruszały przepisów wspomnianego rozporządzenia.

Opisany wcześniej dostęp opcjonalny do danych użytkowników (tzw. fallback option), jeżeli zostanie ostatecznie przyjęty w RTS-ie będzie wykorzystywany w ściśle określonym stopniu w precyzyjnie określonych sytuacjach. Banki będą z pewnością monitorować wykorzystywanie danych swoich użytkowników i jakiekolwiek nieprawidłowości będą przekazywane natychmiast do KNF, a następnie do Europejskiego Nadzoru Bankowego (EBA). Ryzyko wycieku danych klientów nie wydaje się w związku z powyższym większe niż do tej pory - tym bardziej, że dyrektywa a wraz z nią ustawa nakłada na dostawców usług płatniczych dodatkowe wymagania odnośnie zabezpieczenia tych danych. Taki był zresztą jeden z głównych celów dyrektywy - doprowadzić do zwiększenia konkurencyjności na rynku usług płatniczych z jednoczesnym zwiększeniem bezpieczeństwa w zakresie ochrony danych i zabezpieczenia transakcji, w związku z coraz bardziej postępującą popularyzacją płatności bezgotówkowych.

MF nie widzi sprzeczności pomiędzy zapisami dyrektywy odnośnie terminu wejścia w życie przepisów wdrażających dyrektywę a terminem wejścia w życie rozporządzenia delegowanego Komisji Europejskiej odnośnie RTS dedykowanego bezpiecznej komunikacji i uwierzytelniania, więc zdaniem MF nie jest zasadne podejmowanie dodatkowych kroków w tym zakresie, tym bardziej, że wejście w życie RTS spodziewane jest jeszcze w tym roku.

Obecny stan prawny i proces legislacji w zakresie dyrektywy PSD2, RTS oraz projektu ustawy o zmianie ustawy o usługach płatniczych nie wydaje się zawierać dodatkowego ryzyka dla rynku usług płatniczych stwarzając raczej szansę do wzrostu konkurencyjności tego sektora i dostarczaniu użytkownikom lepszego, tańszego i w wielu aspektach bezpieczniejszego produktu, lepiej dostosowanego do zmieniających się nowoczesnych technologii. To wszystko może poprawić jakość informacji dostarczanych klientom - zarządzanie danymi oraz agregację informacji o użytkowniku.

PSD2 otwiera dostęp do danych dotyczących informacji o rachunku i inicjowania transakcji płatniczej nie tylko dla firm z sektora pozabankowego (które, co zrozumiałe, przyjmują dyrektywę z największymi oczekiwaniami) ale również dla banków. Wiele z nich widzi dla siebie szansę w ekonomii API i w otwartych danych bankowych. W Polsce widzimy bardzo twórczą i rozwojową współpracę pomiędzy tradycyjnymi graczami rynku płatności (banki, agenci rozliczeniowi) a FinTechami.

Jeżeli chodzi o eliminację ryzyk wynikających z implementacji dyrektywy do przepisów prawa krajowego, istotne jest dążenie Ministerstwa Finansów podkreślane w toku całego procesu legislacyjnego do zachowania odpowiedniego balansu pomiędzy otwarciem rynku na nowych graczy z obszaru płatności elektronicznych a kwestiami bezpieczeństwa całego ekosystemu płatniczego.