Otwarta bankowość według Dyrektywy PSD2

Dyrektywa PSD2 wprowadziła nowe spojrzenie na pojęcie otwarta bankowość, czyli możliwość dostępu dla podmiotów zewnętrznych do rachunków płatniczych klientów banków. Choć już pierwsza dyrektywa dotycząca usług płatniczych pozwalała na działanie instytucji płatniczych niebędących bankami (np. PayU), miały one jednak w pewien sposób ograniczony dostęp do informacji o kliencie. Dopiero druga odsłona dyrektywy umożliwia wprowadzenie prawdziwej otwartej bankowości. W ten sposób banki tracą jeden ze swoich głównych rynków działania związany z obsługą płatności, na którym coraz większy udział będą posiadały zewnętrzni dostawcy usług płatniczych, tzw. TPP (Third Party Provider).

Otwarta bankowość – wprowadzenie

Jednym z głównych założeń Dyrektywy PSD2 jest uaktywnienie i rozwój technologii opartych o nowoczesne rozwiązania usług płatniczych oferowanych przez tzw. fintechy (czyli uogólniając instytucje, firmy stosujące zaawansowane technologie na rynku finansowym, niebędące bankami). Fintechy, w odróżnieniu od banków, są w stanie szybko reagować na zapotrzebowanie rynku usług finansowych i dzięki odpowiedniej wiedzy, tworzyć nowe narzędzia i je wdrażać. Problemem dla wszystkich fintechów jest dostępność do szerokiej grupy klientów a tu znaczną przewagę posiadają banki. Tu otwierają się nowe możliwości dla wszystkich uczestników rynku usług płatniczych. Niezwykle ważna jest współpraca pomiędzy fintechami a bankami, która może przynieść obopólne korzyści. To widać już w przypadku wielu polskich banków, które współpracują lub też inwestują w firmy z branży nowych technologii. Oczywiście wszystko musi się odbywać przy zachowaniu wymogów bezpieczeństwa i zapewnieniu odpowiedniej ochrony klientów.

Pierwszym zastosowaniem nowych przepisów, na podstawie których działa otwarta bankowość było umożliwienie klientom posiadającym więcej niż jeden rachunek w różnych bankach, w ramach bankowości elektronicznej jednego z nich, dostępu do historii kont w pozostałych.

Reklama

W poniższym wpisie znajdziesz wyjaśnienie wielu pojęć związanych z zagadnieniem otwartej bankowości (open banking), które przyjęły inicjały anglojęzycznych nazw, często na pierwszy rzut oka mało zrozumiałych. Ze względu na brak ich polskich odpowiedników, nazwy te często znajdziesz stosowane w informacjach udostępnianych w swoim banku. Warto wcześniej zapoznać się z ich definicjami i wiedzieć czego dotyczą.

TPP – Dostawcy usług płatniczych

Dyrektywa wprowadziła pojęcie TPP (Third Party Provider) tzw. dostawców usług płatniczych. TPP działając za zgodą klienta może uzyskać wgląd do informacji o jego rachunku płatniczym lub dokonać zlecenia płatności w jednym z wymienionych w kolejnym rozdziale modeli działania. Zgodnie z Dyrektywą PSD2 banki mają obowiązek udostępnienia danych klienta firmie świadczącej usługi płatnicze TPP jedynie za jego zgodą.

W tym miejscu należy podkreślić, że TPP nie wymagają przekazania danych logowania i akceptacji transakcji (służą one wyłącznie klientowi przy łączeniu się z bankiem), ponieważ dostęp otrzymują na podstawie bezpośredniego połączenia z bankiem tzw. interfejsu API.

Po wyrażeniu zgody dla TPP powinieneś zostać przekierowany na stronę banku (gdzie potwierdzasz bankowi swoją zgodę) i dopiero zalogować się na swoje konto. Przed zalogowaniem się, sprawdź czy na pewno jesteś na stronie banku.

Reklama

TPP musi być zarejestrowany w rejestrze dostawców usług płatniczych i wydawców pieniądza elektronicznego prowadzonego przez Komisję Nadzoru Finansowego (KNF). W celu rejestracji TPP składa dokumentację zawierającą m.in. procedury określające występujące ryzyka, audytu wewnętrznego, bezpieczeństwa, w tym szczególnie przetwarzanych danych. TPP musi posiadać gwarancję ubezpieczeniową lub bankową odpowiedzialności cywilnej w związku z prowadzoną działalnością.

Modele działania instytucji płatniczych w ramach otwartej bankowości

TPP w ramach swojej działalności uzyskują dostęp do rachunku bankowego klienta tzw. XS2A (Access 2 Account). Dyrektywa PSD2 reguluje dostęp w formie jednego z trzech rodzajów usług:

AIS (Account Information Service) – dostęp do informacji o rachunku klienta i jego historii;

PIS (Payment Initiation Service) – inicjowanie płatności z rachunku klienta;

Reklama

CAF (Confirmation of the Availability of Funds) – potwierdzenie dostępności wystarczających środków na rachunku klienta.

OTWARTA BANKOWOŚĆ

AIS
(Account Information Service)

dostęp do informacji o rachunku klienta i jego historii

PIS
(Payment Initiation Service)

inicjowanie płatności z rachunku klienta

Reklama
CAF
(Confirmation of the Availability of Funds)

potwierdzenie dostępności wystarczających środków na rachunku klienta

Powyższe pojęcia wymagają dokładniejszego wyjaśnienia, o czym w dalszej części wpisu.

AIS (Account Information Service)

Jednym z najbardziej popularnych obecnie modeli funkcjonowania otwartej bankowości jest AIS (Account Information Service) czyli uzyskanie, za zgodą klienta, dostępu do informacji o rachunku bankowym i jego historii. 

Podmiot oferujący usługi dostępu do informacji o rachunku klienta i jego historii, niebędący bankiem, musi być zarejestrowany w rejestrze (KNF) jako „dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku” – AISP (Account Information Service Provider).

Reklama

Poniższy schemat przedstawia w uproszczony sposób model działania podmiotu AISP.

otwarta bankowość w świetle wymogów dyrektywy psd2

Źródło: opracowanie własne Bankowe ABC

Ustawa o usługach płatniczych nie wyłączyła samych banków z możliwości świadczenia usług AIS, co już ma miejsce w przypadku banków, które oferują możliwość uzyskania w ich bankowości elektronicznej dostępu do sald i historii rachunków w innych bankach. Z punktu widzenia klienta dostęp w jednym miejscu do wielu posiadanych rachunków bankowych ma umożliwić lepszą kontrolę nad finansami, ułatwienie w postaci braku konieczności logowania do wielu banków.

Otwarta bankowość w Polsce rozwija się bardzo szybko. Przykłady firm zarejestrowanych jako AIS: InFakt Sp. z o.o., ING Usługi dla Biznesu SA, Kontomatik Sp. z o.o. (dostawca Allegro Pay), Comarch Finance Connect Sp. z o.o.

Reklama

Jaki jest cel zbierania informacji o rachunku bankowym i historii płatności klientów?

Jednym z powodów jest możliwość analizy wpływów i wydatków klientów mająca na celu budowanie na podstawie danych finansowych, profili klientów, coś na kształt scoringu. Takie dane, za zgodą klientów, w formie szczegółowych zestawień mogą być udostępniane innym zainteresowanym podmiotom oraz bankom i firmom pożyczkowym, które na tej podstawie mogą dostosowywać ofertę do konkretnego rodzaju klienta. Dotyczy to również firm ubezpieczeniowych, które w oparciu o dokładniejszą wiedzę o kliencie, mogą przygotować lepiej dopasowaną ofertę ubezpieczeniową i skalkulowaną odpowiednio składkę w odniesieniu do konkretnego klienta, co z punktu widzenia mniej szkodowych klientów może być korzystne.

W przypadku banków, dla klienta może mieć jeszcze jeden pozytywny aspekt, w przypadku ubiegania się o kredyt. Jeśli udostępnisz bankowi możliwość sprawdzenia historii twojego rachunku, na który wpływa wynagrodzenie, nie będzie konieczności dostarczania dokumentu potwierdzającego dochód wymaganego zgodnie z rekomendacjami KNF.

PIS (Payment Initiation Service)

Kolejnym modelem działania otwartej bankowości jest PIS (Payment Initiation Service). Korzystając z usług PISP (Payment Initiation Service Provider) możesz zrealizować płatność z własnego rachunku. TPP inicjuje płatność o ustalonej kwocie do odbiorcy, podmiotu trzeciego. Warto podkreślić, że TPP w takiej transakcji jest tylko podmiotem inicjującym płatność a cały czas kontrolę nad płatnością masz jako klient, który takie zlecenie płatności musi zatwierdzić. Środki, które zostaną przekazane z twojego rachunku na rachunek podmiotu trzeciego nie będą przesyłane za pośrednictwem TPP (ani przez moment nie będzie w posiadaniu twoich pieniędzy) a trafią bezpośrednio do tego podmiotu. Najważniejszym zastosowaniem tego typu usługi są wszelkiego rodzaju płatności dostępne w sklepach internetowych.

W celu lepszego zrozumienia całego procesu na poniższym schemacie przedstawiłem zastosowanie modelu działania PIS na przykładzie zakupów przez internet.

Reklama
dostawca usług płatniczych definicja

Źródło: opracowanie własne Bankowe ABC

Dotychczasowe zasady funkcjonowania rynku usług płatniczych na podstawie pierwszej Dyrektywy PSD umożliwiały działanie podmiotów udostępniających „bramki płatnicze” z użyciem tzw. płatności pay-by-link, które oparte są o technologię screen scraping. Dla osób korzystających z zakupów przez internet proces jest dobrze znany, aczkolwiek rzadko kiedy z pełną świadomością, dlatego w kilku zdaniach wymaga przedstawienia. 

Inicjując płatność w sklepie internetowym jesteś przekierowywany na stronę „bramki płatniczej” należącej do centrum rozliczeniowego, na której wybierasz bank, w którym posiadasz konto. W kolejnym kroku, klikając na odpowiedni link jesteś przenoszony na stronę twojego banku, gdzie po zalogowaniu, otrzymujesz wypełniony formularz przelewu danymi niezbędnymi do realizacji ze wskazaniem rachunku centrum rozliczeniowego (w twoim banku). Po zatwierdzeniu przelewu centrum rozliczeniowe przekazuje informację do sprzedawcy z informacją o zaksięgowaniu środków a co za tym idzie o możliwości wysłania towaru.

Zaletą jest możliwość natychmiastowego wykonania transakcji przelewu, nawet w weekendy czy dni świąteczne. Wadą takiego rozwiązania jest ograniczenie tylko do tych banków, które taką usługę udostępniły.

Reklama

CAF (Confirmation of the Availability of Funds)

Trzecim wariantem działania otwartej bankowości jest CAF (Confirmation of the Availability of Funds). W ramach tego wariantu TPP uzyskuje dostęp do rachunku bankowego klienta, aby wyłącznie uzyskać potwierdzenie, czy aktualny stan dostępnych środków na koncie będzie wystarczający do dokonania płatności kartą płatniczą.

Wymogi techniczne dotyczące dostępu do rachunku bankowego klienta

Największym wyzwaniem stojącym przed bankami było dostosowanie ich systemów bankowych do konieczności umożliwienia dostępu TPP do rachunków klientów. Banki mają obowiązek zapewniać niezakłócony dostęp TPP do rachunku bankowego klienta (XS2A). Dostęp powinien być przygotowany w taki sposób, aby nie ograniczać możliwości TPP przy jednoczesnym zachowaniu wymogów bezpieczeństwa. 

Do tego celu służy specjalny interfejs dostępowy (API – Application Protocol Interface). Na podstawie europejskich standardów technicznych (RTS) silnego uwierzytelnienia oraz otwartych standardów komunikacji, biorąc pod uwagę zalecenia Komisji Nadzoru Finansowego, został opracowany polski standard interfejsu API (Polish API). 

W ustalaniu ujednoliconego standardu PolishAPI wzięli udział: Związek Banków Polskich wraz z bankami, SKOK-i, Polska Organizacja Niebankowych Instytucji Płatności, Polska Izba Informatyki i Telekomunikacji, Polska Izba Ubezpieczeń, Krajowa Izba Rozliczeniowa, Biuro Informacji Kredytowej, Polski Standard Płatności (operator BLIK-a).

Reklama

W oddzielnym artykule znajdą się informacje dotyczące wprowadzonej ustawą o usługach płatniczych Małej Instytucji Płatniczej (MIP).

Reklama
Podziel się swoją opinią:

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.