Dla wielu polskich banków PSD2 jest chorym pomysłem, ponieważ nieprzygotowane fintechy mogą wywołać poważny kryzys bezpieczeństwa danych. Po czymś takim Polakom trzeba będzie zmieniać numery PESEL… Eksperci są jednak zdania, że istotne luki w zabezpieczeniach posiadają też same interfejsy API udostępniane przez banki. Wspominano o tym między innymi na Europejskim Kongresie Finansowym w Sopocie.

Dyrektywa PSD2 jest tuż za rogiem. Jest się czego obawiać?

Przypomnijmy, że zgodnie z wymogami PSD2 banki muszą udostępnić swoje bazy danych podmiotom trzecim (ang. TPP) – chodzi zarówno o inne banki, jak i fintechy. Dostęp będzie odbywał się za pomocą API, do którego będą podpinały się poszczególne firmy. W ten sposób TPP będą mogły świadczyć nowe usługi. W skrócie – klient banku korzystając za usług podmiotów zewnętrznych może w bezpieczny sposób zlecić usługę inicjowania płatności (PIS), skorzystać z usługi informacji o rachunku (AIS) czy też usługi potwierdzenia dostępności środków na rachunku płatnika (CAF).

Do bankowych API mogą podłączyć się tylko firmy posiadające status TPP. Aby go uzyskać należy otrzymać wpis do rejestru prowadzonego przez Komisję Nadzoru Finansowego. W teorii wszystko wygląda pięknie.

Polskie banki obawiają się, że rzeczywistość może okazać się inna. Ponad połowa fintechów już po dwóch latach może wywołać ogromny kryzys bezpieczeństwa – takie głosy da się usłyszeć w środowisku polskich bankowców.  Zdaniem banków podmioty trzecie nie będą w stanie chronić danych klientów tak dobrze jak robią to banki. Fintechy staną się łatwym celem dla hakerów, co będzie skutkowało mnóstwem wycieków danych, po którym Polakom trzeba będzie zmieniać numery PESEL – to najczarniejsza wizja.

Nie chcemy być gołosłowni, więc przywołujemy wyniki badania KPMG i Związku Banków Polskich, zgodnie z którym aż 76% przedstawicieli banków spodziewa się większej liczby cyberataków po wdrożeniu PSD2. Jednocześnie 44% ankietowanych obawia się wycieku danych swoich klientów, po udostępnieniu ich podmiotom trzecim. Na temat raportu dyskutowano podczas wspomnianego Europejskiego Kongresu Finansowego.

Nie tylko fintechy. Braki w zabezpieczeniach posiadają też bankowe API

Autorzy badania KPMG i ZBP są jednak zdania, że zagrożenie nie wynika jedynie ze słabego przygotowania niektórych fintechów. Raport zwraca uwagę, że około 83% testowanych przez ekspertów KPMG bankowych aplikacji zawiera „istotne podatności”, co można odczytywać jako luki w zabezpieczeniach. Banki skupiły się na rozwoju API, a kwestie związane z cyberbezpieczeństwem odsunęły na dalszy plan – wynika z opracowania KPMG i ZBP.

Za kulisami jest gorąco, ale banki nie mają wyjścia. Zgodnie z wymogami dyrektywy i implementującej ją do polskiego prawa nowelizacji ustawy o usługach płatniczych na dniach muszą udostępnić produkcyjną wersję swojego API. Na razie z obowiązku wywiązało się 5 banków – BNP Paribas, Getin Bank, Santander Bank Polska, Bank Millennium i Bank Pekao.

Czy PSD2 faktycznie może okazać się katastrofą? Czy po 14 września lepiej zamknąć swój rachunek w banku i przerzucić się na gotówkę? Nie wyciągalibyśmy aż tak daleko idących wniosków. O potencjalnym ryzyku trzeba mówić jak najwięcej, aby udało się te problemy zaadresować odpowiednio wcześniej, ale panika nie jest wskazana. Co prawda fintechy i banki nie mają zbyt dużo czasu na wprowadzanie poprawek, ale nie oznacza to, że wszystkie obawy ekspertów muszą mieć przełożenie na rzeczywistość. Trzeba też pamiętać, że to klient decyduje, czy umożliwi podmiotowi trzeciemu dostęp do swoich danych za pomocą API. Tylko tyle i aż tyle.