PSD2: stan wszystkich kont bankowych sprawdzisz w jednej aplikacji. Kto sprawdzi go poza Tobą?

W listopadzie 2015 roku przyjęta została Payment ServicesDelivery 2 (PSD2) – Dyrektywa Parlamentu Europejskiej i Rady UniiEuropejskiej 2015/2366, dotycząca usług płatniczych w ramach rynkuwewnętrznego. Jej wdrożenie wywołać może małe trzęsienie ziemiw dziedzinie usług elektronicznej bankowości. Skończy się eraizolacji klientów w bankowych serwisach i bankowych aplikacjach –do naszych danych finansowych zyskają dostęp programy firmtrzecich. Oczywiście za naszą zgodą, ale jak tobędzie faktycznie?

W założeniu PSD2 ma rozszerzyć zakres możliwości świadczeniausług płatniczych oraz uzupełnić istniejące regulacje.Konkretnie zapewni podstawy prawne do tworzenia aplikacji mobilnych,które mogłyby tworzyć firmy nie będące bankami, jak równieżopracowywania przez same banki usług wychodzących poza informacje oprowadzonych kontach.

Ma to konsumentom pozwolić na łatwiejsze sprawdzanie stanu ichwszystkich kont (np. w jednej aplikacji, agregującej dostęp do kontbankowych), jak również możliwość sprawdzenia historiirealizowanych transakcji, w tym płatności mobilnych. Powstanie wten sposób nowa kategoria aplikacji mobilnych i serwisówinternetowych, które prezentowałyby użytkownikom stan ichfinansów.

Eksperci uważają, że w kolejnych etapach rozwoju tego typuusług PSD2 pozwoli też na powstawanie bardziej zaawansowanychpłatności elektronicznych, w tym mobilnych, dzięki którymzapłacenie za towary, usługi czy treści nie będzie wymagałologowania się do banków czy podawania danych karty kredytowej.

Wszystko pięknie, ale co z bezpieczeństwem? Zwolennicy PSD2zapewniają, że nie powinniśmy się niczego obawiać, ponieważ towciąż banki będą odpowiedzialne za utrzymanie i odpowiedniąochronę danych klientów. W dodatku standardy techniczne takichudostępnień będą kontrolowane przez Europejski Urząd NadzoruBankowego.

Ale co innego mogliby zwolennicy powiedzieć? Urząd Nadzoru możesobie regulować, można sobie jednak wyobrazić, co zacznie siędziać w momencie, gdy nie mające doświadczenia w tworzeniupublicznych API banki zaczną udostępniać swoje interfejsy nazewnątrz, i gdy szukający szybkiego zysku producenci finansowychaplikacji mobilnych wezmą się za implementację bezpiecznychstandardów. Do tego dochodzi problem spyware, szkodników, którepoprzez takie właśnie agregujące informacje finansowe mobilneaplikacje zyskają dostęp do bezcennych danych o użytkownikach.

Póki co ze szkicu Regulatory Technical Standards (RTS),opisującego minimalny zbiór wymogów, które wszystkie podmiotydyrektywy musiałyby spełniać, wynika, że:

procedury uwierzytelnienia musiałyby wykorzystywaćtrzyskładnikowy model – to co wiesz, to co masz, to kim jesteś

dostawcy usług obsługi kont i banki miałyby korzystać zcertyfikatów SSL, wystawianych przez kwalifikowane urzędycertyfikacji (w ramach rozporządzenia eIDAS)

użytkownicy będą mogli zrezygnować z konieczności podawaniakodów jednorazowych

standardy bezpieczeństwa muszą być zgodne z normą ISO 27001

banki muszą udostępnić za darmo swoje API i dokumentacjęzgodnie ze standardami branżowymi, API te dla zewnętrznychpodmiotów mają być dostępne na takich samych warunkach, jak dlaaplikacji własnych.[img=Exhibit03_Catalyst-or-threat670]Można powiedzieć, że same banki też niespecjalnie się ciesząz nowej dyrektywy. Z badań przeprowadzonych przez analitykówPricewaterhousecoopers wśród wiodących europejskich instytucjibankowych wynika, że 88% z nich uważa, że PSD2 będzie miałowpływ na ich działanie, 84% przewiduje zmiany strategii, aż 68%czuje, że dyrektywa je osłabi, 68% boi się utraty kontroliinterfejsu użytkownika, a 52% spodziewa się problemów zodpowiedzialnością.

Jak to wpłynie na rynek, zobaczymy już niebawem. Standardytechniczne RTS mają wejść w życie w kwietniu tego roku, krajeczłonkowskie UE mają wprowadzić dyrektywę do swojego prawa do 13stycznia 2018 roku, zaś do października 2018 roku podmioty rynkupłatności mają czas na implementację standardów.