Takie wnioski prezentuje raport przeprowadzony na zlecenie Open Banking Implementation Entity (OBIE) – organizacji powołanej do życia w 2016 roku przez brytyjską agencję rządową The Competition and Markets Authority. OBIE jest wspierane przez 9 największych banków działających w Wielkiej Brytanii – między innymi Barclays, Lloyds Banking Group, RBS Group, HSBC i Santander.

Pełny raport można pobrać tutaj.

Co jest nie tak z dyrektywą PSD2?

W badaniu udział wzięły między innymi licencjonowane podmioty trzecie (TPP), które w ramach dyrektywy PSD2 mają uzyskać dostęp do bankowych baz danych za pośrednictwem API. Ankietowane podmioty zwracały uwagę na kilka mankamentów – między innymi na brak uwzględnienia funkcji zwrotu pieniędzy, która jest szalenie istotna dla internetowych sprzedawców – czytamy w raporcie.

Kolejny problem to nieuwzględnienie płatności cyklicznych. Klienci nie będą mogli zatwierdzać płatności z góry – przykładowo za subskrypcje na Netflixie, czy Spotify. Raport zwraca uwagę, że zgodnie z PSD2 klient musi osobiście zatwierdzać każdą płatność z osobna. Rozwiązaniem miałoby być wprowadzenie „zmiennych transakcji cyklicznych”. Autorzy badania zauważają, że byłyby one tańsze dla sprzedawców i bezpieczniejsze dla klientów.

Raport zaleca również stworzenie nowych zasad dotyczących zgody klienta na usuwanie jego danych po zakończeniu usługi oraz ponownego uwierzytelniania po stronie TPP (wtedy gdy jest to wymagane do zapewnienia ciągłości usługi). Pozwoliłoby to użytkownikom na zapewnienie TPP ciągłej zgody na dostęp do ich danych, bez konieczności ponownego odwiedzania aplikacji lub strony bankowej. Po zakończeniu usługi – na przykład po nie przedłużeniu abonamentu na Netflixie – TPP musiałby usunąć dane klienta. Obecnie PSD2 wymusza na klientach ponowne uwierzytelnianie z każdym TPP za pośrednictwem swojego banku co 90 dni. To spora niedogodność.

Zdaniem Brytyjczyków PSD2 daje za mało możliwości

Otwarta bankowość w Wielkiej Brytanii miałaby też zostać rozszerzona na większą gamę produktów. OBIE sugeruje uwzględnienie nie tylko kont bieżących, ale także kont oszczędnościowych, kredytów hipotecznych, kont emerytalnych i ubezpieczeń. TPP miałyby wtedy możliwość na interakcje za pośrednictwem API również z takimi produktami finansowymi. Między innymi dlatego OBIE planuje stworzyć tak zwane „Premium API’s”, czyli interfejsy wykraczające poza kompetencje obowiązkowych API, wynikających z PSD2.

Co na to banki działające w Polsce? Na razie większość z nich w ogóle nie jest przekonana co do słuszności dyrektywy PSD2 i idei otwartej bankowości. Banki obawiają się, że nieprzygotowane fintechy mogą wywołać poważny kryzys bezpieczeństwa danych, a Polakom trzeba będzie zmieniać numery PESEL… Więcej na ten temat pisaliśmy w podlinkowanym tekście.

Warto przypomnieć, że na cenzurowanym znalazł się także inny aspekt PSD2 – silne uwierzytelnianie klienta. European Association of Payment Service Providers For Merchants (EPSM), która zrzesza instytucje płatnicze w Unii Europejskiej apeluje o wydłużenie terminu na wdrożenie zasad silnej weryfikacji klienta (SCA) do 18 miesięcy.