PSD2 u bram. Czy przepisy stanowią zagrożenie dla polskiego rynku finansowego?

Dyrektywa PSD2 14 września wkroczyła w etap faktycznej realizacji. Celem wdrożenia nowych regulacji jest wyrównanie szans na rynku finansowym i otworzenie go na podmioty niebankowe. Pojawiają się głosy ostrzegające przed zmianami w bankowości elektronicznej, powrotem screenscrapingu, zdominowaniem rynku przez podmioty GAFA czy stratami emitentów, jako bezpośrednimi, negatywnymi konsekwencjami PSD2. Według ekspertów LOANDO Group, obawy te są nieco przesadzone, a przyszłość wcale nie rysuje się w aż tak czarnych barwach.

Michał Papliński

#PSD2

Opublikowano 17 września 2019, 14:33

Europejska dyrektywa oficjalnie weszła życie już 13 stycznia. Do czasu wkroczenia w etap wdrożeniowy, była ona sukcesywnie przystosowywana do obowiązującego prawa i lokalnych uwarunkowań w poszczególnych krajach UE. Najważniejszą zmianą, jaką przyniesie PSD2 będzie otwarcie rynku finansowego na obecność tzw. “podmiotów trzecich” (TPP) i dopuszczenie ich do obszarów do tej pory zarezerwowanych dla banków, jak np. wgląd w rachunki bankowe swoich klientów. Niektórzy obserwatorzy uważają, że ustawa niesie ze sobą szereg zagrożeń, które negatywnie odbiją się na rynku i samych konsumentach. Czy faktycznie jest się czego obawiać?

Silne uwierzytelnienie i zmiany w bankowości elektronicznej

Dyrektywa PSD2 znacząco zmienia sposób poruszania się w bankowości elektronicznej wprowadzając obowiązek tzw. “silnego uwierzytelnienia” logującego się do serwisu użytkownika. Będzie ono opierać się na zastosowaniu kombinacji trzech elementów: wiedzy (np. hasło znane tylko i wyłącznie użytkownikowi), posiadania (tę rolę spełniać będzie mógł osobisty numer użytkownika, na który wysłany zostanie kod autoryzujący) oraz obecności (np. numer klienta bankowości elektronicznej). W praktyce oznacza to, że każdy klient banku przy logowaniu do serwisu internetowego, oprócz loginu i hasła będzie musiał podać przesłany sms-em kod lub dokonać autoryzacji mobilnej.

Drugą ważną wiadomością w tym kontekście jest fakt, że z uwagi na niespełnianie wymogów silnego uwierzytelniania, do autoryzacji transakcji elektronicznych nie będzie można już stosować kart kodów jednorazowych oraz tokenów.

Obawy pojawiają się tutaj głównie w kontekście nadmiernego skomplikowania procesu logowania do serwisów oraz zbytniej ingerencji w nawyki konsumentów, jeśli chodzi np. o autoryzację przelewów. Krzysztof Przybysz, CEO Loando Group przekonuje, że zmiany te wyjdą klientom tylko i wyłącznie na dobre.

– Zaostrzenie przepisów, akurat w tym obszarze, z pewnością wywrze pozytywny wpływ, szczególnie jeśli chodzi o bezpieczeństwo samych klientów. W zeszłym i bieżącym roku, co chwilę słyszeliśmy o atakach phishingowców, podszywających się w korespondencji pod banki, wyłudzających dane konsumentów, by następnie dokonywać za pomocą ich konta bezprawnych operacji finansowych. Odgórne narzucenie dodatkowej formy autoryzacji pozwoli na, przynajmniej czasowe, ograniczenie skali tego procederu – komentuje Krzysztof Przybysz, CEO Loando Group.

– Jeśli chodzi o wycofanie z użytku kart kodów jednorazowych oraz tokenów, to wątpię by miało to realny wpływ na komfort dokonywanych przez klientów transakcji, szczególnie biorąc pod uwagę fakt, że polskie społeczeństwo ulega dynamicznej cyfryzacji – dodaje.

Screen scraping plus

Screen scraping polega na pozyskiwaniu danych przez jeden program komputerowy, poprzez pobieranie ich z wyjścia innego programu. Metoda ta umożliwiała dostawcom usług płatniczych innym niż bank użytkownika, uzyskanie dostępu do wszelkich danych dotyczących konkretnej osoby. Mogli oni np. poznać dokładne zarobki użytkownika, historię jego wydatków czy nawet preferencje zakupowe.

Ze względu na powyższe czynniki, stosowanie screen scraping zostało zakazane przez KNF, jako obłożone zbyt dużym ryzykiem, a przede wszystkim – niezgodne z przepisami.

Wprowadzony przez dyrektywę wymóg udostępnienia przez banki istniejących już interfejsów użytkowników, może stanowić furtkę do powrotu screen scrapingu w nowej, zmodyfikowanej formie. Nowe obostrzenia nadbudowane wokół metody mają jednak zneutralizować wady, dyskwalifikujące do tej pory jej użycie.

– Regulacje PSD2 i obowiązek silnego uwierzytelniania uniemożliwią dostawcom zewnętrznym podanie się za posiadacza konkretnego rachunku. Taka metoda zabezpieczenia danych będzie chronić użytkowników przed niechcianym profilowaniem i poddawaniem analizie ich preferencji zakupowych czy stylu korzystania ze środków finansowych. Technicznie nie jest więc możliwy powrót screen scrapingu w dawnej formie, odrzuconej przez Komisję Nadzoru Finansowego – komentuje Krzysztof Przybysz, CEO Loando Group.

Zdominowanie rynku usług finansowych przez GAFA

Otworzenie rynku finansowego na podmioty niebankowe spowoduje powstanie niszy, którą zapełnią tak zwane podmioty trzecie. Wśród bankowców pojawiła się obawa, że szansę tę wykorzystają wielkie korporacje spod szyldu GAFA (Google, Amazon, Facebook, Apple), tworząc własne instrumenty finansowe, pomagające im w budowaniu monopolu na rynku. Aż 53 proc. przedstawicieli sektora uważa taki scenariusz za realne zagrożenie.

Polskie społeczeństwo nie wydaje się jednak aż tak podatne na tak radykalne zmiany. Zdecydowana większość z nas w sferze finansowej nie ufa potentatom GAFA, a tym bardziej w tak drażliwych kwestiach jak podawanie danych.

– Zagrożenie ze strony GAFA nie jest szczególnie realne dla polskich banków i rodzimych podmiotów sprzedających usługi finansowe. Wejście w życie PSD2 nie spowoduje nadmiernie dynamicznych zmian w strukturze rynku, a zbudowanie dominacji nawet przez takie molochy jak Facebook czy Google nie zajdzie przecież w kilka miesięcy – komentuje Krzysztof Przybysz, CEO Loando Group. – Tworzony sukcesywnie monopol GAFA, którego obawiają się obecnie bankowcy może być zatrzymany poprzez zacieśnienie współpracy z fintechami, które dostarczą im innowacyjne instrumenty, know-how operacyjny czy chociażby ulepszony UX – dodaje Krzysztof Przybysz.

Straty emitentów

Wdrożenie dyrektywy PSD2 pozwoli podmiotom posiadającym status TPP na wgląd w konta konsumentów oraz umożliwi (za uprzednią zgodą klienta) wykonywanie operacji finansowych w ich imieniu. Stwarza to sytuację, w której pozycja emitentów, jako pośredników operacji finansowych, staje się zagrożona.

– PSD2 posiada szereg zapisów pozwalających wyrównać szanse między podmiotami trzecimi a emitentami kart bankomatowych i kredytowych. Banki oraz TPP będą musiały umożliwić klientowi uzyskanie chargebacku, w przypadku wystąpienia niepożądanego przelewu – komentuje Krzysztof Przybysz. – W tego typu operacjach podmiotami pośredniczącymi będą operatorzy kart. Możliwość pozyskania prowizji wynagrodzi utratę części pośrednictw przy przelewach – wyjaśnia Krzysztof Przybysz.