Związek Banków Polskich poinformował o opublikowaniu dokumentacji standardu Polish API w dwóch wersjach językowych, wraz z raportem z konsultacji publicznych projektu. Jak podkreśla wiceprezes ZBP Włodzimierz Kiciński, standard Polish API w aktualnej wersji 1.0 jest w pełni zgodny z wymogami stawianymi przez europejskie i krajowe organy nadzoru. – Poza tym standard jest otwarty i możliwy do wykorzystania przez wszystkie zainteresowane tym strony. Zapewnia przy tym najwyższy poziom bezpieczeństwa – uważa wiceprezes ZBP.

Polish API, to rozwiązanie za pośrednictwem którego podmioty trzecie, takie jak fintechy, będą miały dostęp do rachunków bankowych swoich klientów. Gwarantuje im to dyrektywa PSD II, której implementacja do polskiego prawa lada moment ma zostać przyjęta. Polish API zapewniać będzie dwie metody uwierzytelnienia klienta, który pozwoli przyznać firmie trzeciej dostęp do swojego rachunku w banku. Pierwszy z nich to sposób znany klientom z przelewów typu pay by link. Użytkownicy korzystający z usług fintechów będą przekierowani na stronę swojego banku, gdzie będą podawać login i hasło do swojego konta.

Przeczytajcie także: • Ustawa o PSD II przyjęta przez Senat

Drugi sposób wprowadzony do dokumentacji nie jest jak na razie wykorzystywany w polskich warunkach, ale jego mechanizm funkcjonuje na rynkach zagranicznych. Polega na skorzystaniu z uwierzytelnienia przez niezależny podmiot, którym mógłby być np. KIR albo operator Blika, gdyby przystąpiły do niego wszystkie banki działające na polskim rynku. W trakcie korzystania z usług fintechu klient musiałby podać mu np. jednorazowy kod Blik potwierdzając w ten sposób, że udziela mu dostępu do rachunku.

Jak przypominają przedstawiciele ZBP, w trakcie konsultacji publicznych projektu Polish API zebrano ok. 300 uwag nadesłanych przez kilkadziesiąt firm i instytucji. Większość z nich uwzględniono. Duża część dotyczyła właśnie dodatkowej formy weryfikacji tożsamości klienta. W projekcie dokumentu zaprezentowanym w styczniu był tylko jeden sposób, a więc poprzez przekierowanie jak w pay by linkach.

Przeczytajcie także: • KNF ma już departament ds. fintech

Część uwag jednak odrzucono. Najważniejsze dotyczyły wprowadzenia jeszcze innej metody weryfikacji tożsamości klienta, a więc poprzez podanie loginu i hasła do rachunku bankowego na stronie firmy zewnętrznej. Pomysłodawcy Polish API doszli jednak do wniosku, że rozwiązanie takie nie zapewnia odpowiedniego poziomu bezpieczeństwa. Takie stanowisko w przeszłości prezentowały też polskie instytucje nadzorcze, takie jak Komisja Nadzoru Finansowego i Narodowy Bank Polski. ZBP nie podaje, kto zgłaszał tego typu postulat, ale tajemnicą poliszynela jest, że od dawna zabiega o to właściciel marki Sofort.

Co będzie się działo dalej? Włodzimierz Kiciński deklaruje, że w połowie roku ma zostać opublikowana wersja 2.0 Polish API, uwzględniająca m.in. kolejne uwagi i doprecyzowywane wymogi regulacyjne wywodzące się z tzw. RTS-ów, czyli wytycznych technicznych do PSD II. Standard Polish API być może będzie rozbudowywany o kolejne sposoby potwierdzania tożsamości klientów oraz rozszerzony o rozwiązanie dla bankowości korporacyjnej. Na październik bieżącego roku planowana jest publikacja Polish API w wersji 3.0. Banki powinny udostępnić API dla fintechów do testów przed połową marca 2019 r.