Przyszłość PSD2 w oczach Grupy Berlińskiej. Czy już czas na PSD3?

Grupa Berlińska to międzynarodowa inicjatywa na rzecz promowania bardziej efektywnych i skutecznych rozwiązań w obszarze usług płatniczych. W swoim portfolio ma między innymi stworzenie nowego standardu OpenAPI – NextGenPSD2 czy liczne konsultacje z Europejskim Bankiem Centralnym (EBC), Komisją Europejską czy Europejskim Urzędem Nadzoru Bankowego (EBA) na rzecz poprawy jakości regulacji finansowych. Podejmowane inicjatywy nierzadko mają realne przełożenie na kierunek zmian legislacyjnych. Na konferencji, która odbyła się pod koniec listopada z udziałem Komisji Europejskiej, EBC oraz EBA, dyskutowano m.in. o wyzwaniach związanych z implementacją PSD2 i potrzebą przejścia na kolejny poziom, czyli podjęciem prac nad PSD3.

Jednym z kluczowych zagadnień, któremu poświęcone było spotkanie, dotyczyło wykorzystania różnych standardów OpenAPI w Unii Europejskiej. Z przeprowadzonych badań wynika, że 78% państw członkowskich korzysta ze standardu tworzonego przez Grupę Berlińską, pomimo dostępności 6 lub 7 innych rozwiązań, jak i licznych standardów krajowych. Może to świadczyć o potrzebie stworzenia jednego standardu, który będzie uniwersalny i dostępny dla każdego podmiotu rynku.

Wyzwania związane z PSD2

Konferencja stanowiła również okazję do wymiany doświadczeń związanych z implementacją PSD2 i może przede wszystkim – podkreślenia trudności na jakie napotykają banki oraz dostawcy usług płatniczych. Jednym z największych wyzwań dla banków jest kwestia udostępniania w ramach tzw. środków awaryjnych „klienckiego” interfejsu dostępowego w przypadku wystąpienia awarii głównego interfejsu. Grupa postuluje konieczność wydania finalnych wytycznych dla banków w zakresie wspomnianego screen-scraping, co ma kluczowe znaczenie w kontekście bezpieczeństwa. Jest to ściśle powiązane z wydanymi niedawno wytycznymi EBA w zakresie zwolnień z obowiązku stosowania środków awaryjnych (fallback mechanism), które nadal wymagają jednak doprecyzowania, w szczególności w zakresie określania wskaźników efektywności i dostępności API (tzw. Key Performance Indicators) i ich wpływu na spełnienie warunków do zwolnienia.

Innym ważnym zagadnieniem jest kwestia wykorzystania tzw. Transaction Authentication Numbers (tzw. TAN) do uwierzytelnienia transakcji. O ile nie ma wątpliwości co do braku zgodności kodów autoryzacyjnych w formie sms’a lub listy kodów jednorazowych z wymaganiami Rozporządzenia 2018/389 (popularny RTS), to wobec rozwoju innowacyjnych form autoryzacji i uwierzytelniania, konieczne jest doprecyzowanie statusu TouchID (z wykorzystaniem linii papilarnych) oraz FaceID (rysy twarzy). Rosnące zainteresowanie biometrią z pewnością przyczyni się do przyspieszenia prac w tym obszarze. Z pewnością będzie to również obszar do zaadresowania w ramach PSD3.

Wśród innych tematów poruszanych w trakcie konferencji znalazła się kwestia unowocześnienia rejestru Third Party Providers prowadzonego przez EBA czy możliwość wykorzystania kwalifikowanych certyfikatów eIDAS stosowanych na potrzeby „podłączenia” się i identyfikacji przez TPP do interfejsu dostępowego banku. Zasadniczym pytaniem w tym kontekście jest czy zakup takiego certyfikatu może odbyć się w każdym państwie członkowskim, czy też tylko kraju rejestracji TPP.

Grupa zwróciła również uwagę na potrzebę uszczegółowienia warunków rejestracji TPP w ramach dostępu do API, a w szczególności możliwości dokonania on-boardingu dostawcy bez rejestracji, a przy użyciu bezpiecznej sesji komunikacyjnej i z wykorzystaniem certyfikatu eIDAS. To wymaga jednak ustalenia szczegółów technicznych.

Testy, testy, testy…

Berlin Group przypomniała również o zbliżającym się nieuchronnie okresie testów OpenAPI. Pierwszy etap powinien zacząć się 14 marca i potrwać trzy miesiące, w trakcie których będą prowadzone testy wstępne oraz dostosowywanie oprogramowania i dokumentacji techniczno-biznesowej. Drugi etap, który potrwa do czasu przejścia do fazy „live” ustalonej na 14 września, obejmuje z kolei pracę w zaawansowanym środowisku testowym (produktowym). W celu ujednolicenia podejścia i wsparcia banków Grupa uruchomiła tzw. NextGenPSD2 Implementation Support Program, który w zamyśle ma ujednolić podejście banków do testów w całej Unii Europejskiej.

PSD3? Co nam zaoferuje?

W trakcie konferencji dyskutowano również nad koniecznością przejścia do kolejnego etapu, tj. rozpoczęcia prac nad PSD3. Sama potrzeba wydania nowej dyrektywy wydaje się przesądzona.

Grupa poddała kilka tematów, które powinny znaleźć się w nowej wersji dyrektywy. Z ciekawszych rekomendacji można wskazać konieczność włączenia płatności natychmiastowych do obszaru PSD. Ma to szczególne znaczenie w kontekście uruchomienia Target2 Instant Payment Settlement. Ważnym postulatem jest rozszerzenie dostępu do API banku na rachunki inne niż bieżący, jak np. kredytowe. Może to być w końcu przyczynek do rozwoju usług z obszaru AIS, czyli Account Information Service.

Podniesiono również kwestię bardziej precyzyjnego określania warunków w zakresie stosowania i udostępniania interfejsów dostępowych (API), co łączyć można z próbą utworzenia uniwersalnego standardu w tym obszarze. Te kwestie zostaną wprawdzie zaadresowane w QnA EBA, jednakże potrzeba harmonizacji w tym obszarze wydaje się oczywista.

Coś co jest jednak szczególnie istotne, to zwrócenie uwagi na potrzebę tworzenia i stosowania „miękkich” regulacji (soft law) w miejsce „twardych” przepisów. Zmieniające się otoczenie innowacji finansowych wymaga błyskawicznego reagowania i dostosowywania się bez zbędnej zwłoki. Tworzenie regulacji unijnych jest z kolei bardzo czasochłonnym i rozwlekłym procesem, co niejednokrotnie skutkowało tym, że regulacje nie nadążały za rynkiem. Z tego względu wydaje się, że bardziej efektywne byłoby upoważnienie EBA czy innych organów i instytucji unijnych do wydawania wiążących rekomendacji i standardów dla banków i TPP, np. na wzór interpretacji stosowanych przez KNF w ramach Innovation Hub.

Na koniec warto wspomnieć, że to nie jedyne zagadnienia poruszone w trakcie spotkania. Nadal jest wiele niewiadomych, szczególnie dotyczących kwestii technicznych związanych z OpenAPI. Z tego względu bardzo istotne jest odpowiednio szybkie reagowanie przez organy nadzoru w Unii, jak i w państwach członkowskich, a „wsłuchiwanie” się w głos rynku (konsultacje), którego uczestnicy ostatecznie tworzą rozwiązania dla klientów i przyczyniają się do większego włączenia finansowego (financial inclusion), które wraz z potrzebą zapewnienia bezpieczeństwa klientów, stanowi trzon PSD2.

0
dr Michał Nowakowski

Autorem artykułu jest dr Michał Nowakowski.

Twórca finregtech.pl – portalu, którego misją jest dostarczanie nieodpłatnych analiz regulacji prawnych sektora finansowego (z naciskiem na FinTech) opracowanych w przystępnym języku i formie.

Źródło: finextra.com , finregtech.pl