Dyrektywa PSD2 i open banking – wymagania, standardy, monitorowanie usług

D

Open banking - co toOpen bankig – otwarta bankowość – to odpowiedź na zmieniające się trendy technologiczne czy przyzwyczajenia konsumentów. Jest to nowy standard w usługach płatniczych. Dyrektywa europejska PSD2 zakłada, że banki będą musiały zagwarantować dostęp do rachunków swoich klientów innym bankom, serwisom płatniczym czy firmom oferującym innowacyjne rozwiązania dla sektora finansowego (czyli tzw. FinTechom). Taki dostęp ma zostać nadany oczywiście za zgodą samych posiadaczy rachunków. Po co wprowadza się takie zmiany? Jakie są postanowienia dyrektywy? Czy finanse konsumentów będą bezpieczne i kiedy w Polsce zostaną wprowadzone zmiany? Przyjrzyjmy się bliżej dyrektywie PSD2.

Jakie są postanowienia dyrektywy PSD2 z 2015 roku i dlaczego mówimy o niej teraz?

Dyrektywa PSD2 (Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej) została ogłoszona już w 2015 roku, a uchwalona w styczniu 2016 roku. Zgodnie z jej założeniami kraje członkowskie miały dostosować się do wytycznych do stycznia 2018. Część państw nie dotrzymała wyznaczonych terminów. Jednym z nich była Polska, która przyjęła postanowienia dopiero w czerwcu 2018.

W praktyce jednak na ostateczne wdrożenia mamy czas do września 2019 roku. Dlaczego? Ponieważ w marcu 2018 przyjęto tzw. RTS-y (Regulatory Technical Standards) – regulacyjne standardy techniczne dla dyrektywy PSD2. Od tej chwili zaczął obowiązywać okres dostosowawczy na wdrożenie dyrektywy, który ma trwać do 18 miesięcy.

Wspomniane RTS-y przedstawiają wymagania technologiczne, jakim muszą sprostać banki. Są wśród nich m.in.:

  • Stworzenie dedykowanego interfejsu komunikacji (API) – dostawcy usług płatniczych muszą zagwarantować minimum jeden interfejs komunikacji z TPP – podmiotami trzecimi. Taki interfejs ma umożliwiać TPP identyfikację z dostawcą, który prowadzi dany rachunek jeszcze przed rozpoczęciem usługi, zleconej przez użytkownika.
  • Silne uwierzytelnianie transakcji i dostępów.
  • Alternatywne mechanizmy dostępów.

Dyrektywa PSD2 – po co ją wprowadzono i co daje konsumentom?

Po co wprowadzono nowe regulacje? Miało na to wpływ wiele czynników. Do najważniejszych z nich należą:

  • Rosnąca popularność usług płatniczych, które nie były dotychczas regulowane – PSD2 ma wprowadzać jednakowe, wysokie standardy dla nowych rozwiązań, m.in. w zakresie bezpieczeństwa.
  • Znaczny wzrost e-commerce i innych usług świadczonych drogą elektroniczną.

Open banking ma zapewnić konsumentom lepszą kontrolę ich finansów, umożliwić łatwiejsze przelewy z kont w różnych bankach czy wygodniejszą weryfikację zdolności kredytowej. Wszystko za sprawą specjalnie opracowanych do tego interfejsów (API), dzięki którym klienci będą mogli zarządzać swoimi finansami z różnych banków, systemów czy aplikacji w jednym miejscu. Ponadto firmy z branży innej niż bankowa mają mieć możliwość stworzenia nowych produktów dla konsumentów, a dzięki współpracy instytucji finansowych ze startupami i innymi firmami ma powstawać nowa wartość dla klientów.

Dzięki PSD2 mają być możliwe rozwój i wzmocnienie e-commerce. Wszystko dzięki obniżeniu kosztów transakcyjnych i poprawieniu bezpieczeństwa transakcji.

PSD2 – bezpieczeństwo i monitoring

Bezpieczeństwo jest jednym z tych elementów, które mogą budzić wątpliwości potencjalnych użytkowników interfejsów. Jednak to właśnie wzrost bezpieczeństwa płatności online, właściwa ochrona danych wszystkich użytkowników czy ułatwienie płatności międzynarodowych w UE były jednymi z głównym powodów opracowania dyrektywy PSD2.

Co istotne, nadanie dostępu do rachunków klientów banków podmiotom trzecim (PTT) będzie wiązać się z monitorowaniem szybkości i efektywności działania interfejsu (API). Wartości te nie mogą być gorsze niż wyniki dla innych, elektronicznych kanałów dostępowych, takich jak interfejs webowy czy aplikacje mobilne (w przypadku bakowości elektronicznej). W zakresie kontroli jakości dyrektywa PSD2 wymaga objęcia monitoringiem usług, takich jak:

  • Rejestracja klienta TPP (Third Party Providers),
  • Walidacja certyfikatów EIDAS (certyfikaty SSL i pieczęć elektroniczna),
  • AIS (Account Information Service) – pobieranie informacje o rachunku
  • PIS (Payment Initiation Service) – inicjowanie płatności,
  • CoF (Confirmation of Funds) – potwierdzenia dostępności środków,
  • AS Callback,
  • PIS Callback,
  • AIS Callback.

Jak jeszcze ma zostać zapewnione bezpieczeństwo? Oto przykładowe założenia:

  • Silne uwierzytelnianie klientów – tożsamość użytkowników ma być weryfikowana m.in. na podstawie 2 z 3 elementów, jakimi są wiedza (coś, co wie tylko użytkownik), własność (coś, co posiada użytkownik) i charakterystyka klienta.
  • Ochrona klonowania pamięci.
  • Wykrywanie zagrożeń w środowisku startowym.
  • Ochrona przed atakami zewnętrznymi.
  • Mechanizmy działające przeciwko przechwytywaniu danych uwierzytelniających.
  • Mechanizmy zapewniające poufność oraz integralność kodów uwierzytelniających.
  • Standaryzacja płatności w wymiarze krajowym i międzynarodowym.
  • Regulacja i nowych usług płatniczych i objęcie ich nadzorem.

O autorze

Piotr Potiopa
Piotr Potiopa

CEO w webping.pl i posiadacz rozległej wiedzy na temat optymalizacji, zarówno systemów internetowych, jak i drużyny na meczu piłkarskim. Biegle włada językami programowania, ale przemawia do niego również język Larsa von Triera.

Dodaj komentarz

marzec 2024
PWŚCPSN
 123
45678910
11121314151617
18192021222324
25262728293031