W Dzienniku Urzędowym UE została opublikowana dzisiaj nowelizacja rozporządzenia (tzw. RTS-ów), które określa zasady dostępu fintechów do rachunków płatniczych zgodnie z dyrektywą PSD II
Zmiany zawarte w znowelizowanym rozporządzeniu w porównaniu z dotychczasową wersją są z pozoru niewielkie. Jednak dla dostawców uzyskujących dostęp do rachunku płatniczego (tzw. "TPP") stanowią kolejny krok w kierunku wykorzystania potencjału otwartej bankowości.
W skrócie – nowe przepisy wydłużają okres ważności zgody dla usługi dostępu do informacji o rachunku (z 90 do 180 dni) oraz nakładają na banki i innych dostawców prowadzących rachunki płatnicze obowiązek wdrożenia tego wyłączenia w interfejsach dostępowych. Nowe zasady będą obowiązywać od 25 lipca 2023 r.
Dla przypomnienia – dotychczas użytkownik mógł udzielić TPP zgody na okres nie dłuższy niż 90 dni, pod warunkiem że import nie obejmował innych danych niż informacja o saldzie i transakcjach z ostatnich 90 dni. Po upływie ważności zgody dostawca prowadzący rachunek musiał ponownie zażądać silnego uwierzytelnienia klienta (SCA). W praktyce oznaczało to, że co 90 dni użytkownik musiał ponownie udzielić zgody, np. podając kod SMS lub potwierdzając dostęp TPP do rachunku w aplikacji mobilnej.
To jest bardzo problematyczne, zwłaszcza dla osób korzystających z AIS (usługi dostępu do informacji o rachunku) w sposób ciągły, gdzie w większości import danych odbywa się w tle, bez udziału użytkownika. Przykładowo, dotyczy to osób synchronizujących konta z różnych banków w jednej bankowości internetowej albo korzystających z narzędzi do zarządzania finansami osobistymi. Przeprowadzenie SCA dla takiej usługi wymaga ponownej interakcji z użytkownikiem.
Samo wydłużenie okresu ważności zgody nie jest może rewolucją, ale na pewno ułatwieniem dla usługi AIS. Ważniejsze jest natomiast wprowadzenie obowiązkowego zastosowania tego wyłączenia w interfejsach banków i innych dostawców prowadzących rachunki płatnicze. Dotychczasowe przepisy, a w ślad za nimi np. standard Polish API zakładały bowiem, że korzystanie z wyłączenia jest uprawnieniem (a nie obowiązkiem) dostawcy prowadzącego rachunek. Zgodnie z takim rozumieniem przepisów, dostawca prowadzący rachunek mógł wymagać silnego uwierzytelnienia użytkownika właściwie za każdym razem, kiedy TPP uzyskiwał dostęp do rachunku płatniczego tego użytkownika. A takie interfejsy uniemożliwiały świadczenie usługi AIS w trybie ciągłym, bo właściwie żaden import danych nie mógł się odbywać "w tle".
Nowe przepisy jednoznacznie przesądzają, że dostawca prowadzący rachunek nie będzie mógł żądać SCA w okresie 180 dni od udzielenia zgody, jeśli zakres informacji, do których uzyskuje dostęp TPP, spełnia dotychczasowe ograniczenia (tj. obejmuje saldo rachunku i transakcje z ostatnich 90 dni).
O ile w Polsce, gdzie banki powszechnie starały się bazować na standardzie Polish API, korzystanie z wyłączenia było raczej honorowane, o tyle w innych państwach praktyka była zróżnicowana. Nowelizacja przepisów ma tą praktykę ujednolicić, ułatwiając TPP tworzenie i rozwój nowych produktów. Dla zapewnienia bezpieczeństwa dostępu, dostawca prowadzący rachunek zachowa prawo do stosowania SCA w przypadku obiektywnie uzasadnionych i należycie udokumentowanych okoliczności związanych z nieautoryzowanym lub oszukańczym dostępem do rachunku.
W kontekście opublikowanej dzisiaj nowelizacji warto pamiętać, że potencjał usług otwartej bankowości jest dużo większy niż obecnie oferowane narzędzia do oceny zdolności kredytowej czy zarządzania finansami osobistymi. Przykładowo, efektywne wykorzystanie otwartej bankowości i regularne monitorowanie operacji na rachunku użytkownika może usprawnić dostosowanie się banków i instytucji pożyczkowych do nowych zasad prowadzenia działalności (zarówno do ustawy tzw. antylichwiarskiej, jak i projektowanych przepisów o działalności windykacyjnej czy nowelizacji dyrektywy o kredycie konsumenckim). Informacje pozyskiwane z rachunku kredytobiorcy mogą ułatwić ocenę ryzyka kredytowego, a w przypadku instytucji, które zdecydują się utworzyć wewnętrzne działy windykacji – pomogą zoptymalizować podejmowanie czynności w celu odzyskania środków.
Opublikowane dzisiaj przepisy to pierwsza i prawdopodobnie ostatnia nowelizacja regulacyjnych standardów technicznych (tzw. RTS-ów) przed spodziewanym na przyszły rok ogłoszeniem projektu zmian dyrektywy PSD II. Jeśli tak się stanie, to zmiany zasad korzystania przez TPP z interfejsów banków mogą iść o wiele dalej. Wszystko wskazuje, że nowa inicjatywa legislacyjna Komisji Europejskiej obejmie m.in. duże zmiany zasad uwierzytelniania klienta przez instytucje finansowe, a także ewolucję otwartej bankowości w kierunku utworzenia "otwartych finansów" (obejmujących poza rachunkami płatniczymi również inne rachunki, a także m.in. produkty ubezpieczeniowe i inwestycyjne). Na razie jednak Komisja Europejska nie zdecydowała się na podanie swoich planów zmiany przepisów do publicznej wiadomości.
Fot. raisin.co.uk