Przy tworzeniu standardu uczestniczyły takie podmioty, jak Związek Banków Polskich (wraz ze stowarzyszonymi bankami), Biuro Informacji Kredytowej, Krajowa Izba Rozliczeniowa, Polska Izba Informatyki i Telekomunikacji, czy Polski Standard Płatności. Konsultacje do projektu zakończyły się w styczniu bieżącego roku. Okres testowy dla banków i fintechów przewidziany jest najpóźniej na pierwszy kwartał 2019 r.
Jak najszybsze ukończenie prac nad Polish API było sugerowane przez Komisję Nadzoru Finansowego, podczas publikacji wytycznych odnośnie okresu przejściowego PSD2 – od wejścia w życie dyrektywy, do wdrożenie standardów technicznych. Więcej na ten temat można przeczytać tutaj – KNF publikuje wytyczne w sprawie PSD2. Co czeka banki i fintechy?.
Co wiemy o Polish API?
Z Polish API mogą korzystać klienci (Payment Service User – PSU), podmioty prowadzące rachunek płatniczy – czyli najczęściej banki (Account Servicing Payment Service Provider – ASPSP) i wreszcie firmy pozabankowe, czyli przede wszystkim fintechy (Third Party Provider – TPP).
Cały schemat jest względnie prosty. Klient wyraża zgodę na to, aby dany fintech uzyskał dostęp do jego rachunku. Wtedy bank udostępnia interfejs dla wskazanego podmiotu, który może uzyskać dostęp do rachunku, zainicjować transakcje z konta klienta lub potwierdzić, że na koncie płatnika znajduje się określona kwota – potrzebna do wykonania danej transakcji.
A co z uwierzytelnianiem? Polish API 1.0 dopuszcza na razie dwie metody – pierwsza to przekierowanie na stronę banku i logowanie przy użyciu hasła i loginu. To rozwiązanie przypomina dobrze nam znane pay-by-linki. Druga opcja to autoryzacja przy użyciu zewnętrznego narzędzia – na przykład kodu.
Klient loguje się w fintechowej aplikacji i wybiera rodzaj usługi oraz bank, w którym prowadzi rachunek. Fintech komunikuje się z bankiem poprzez API, a po weryfikacji bank generuje kod autoryzacyjny, który fintech wyświetla klientowi. To jedna z wersji – bardziej szczegółowo prezentuje to poniższy schemat.
W dokumentacji Polish API czytamy, że w następnych wersjach projektu mogą pojawić się kolejne metody weryfikacji klienta. No właśnie, kiedy Polish API 2.0 ujrzy światło dzienne? Wiceprezes ZBP Włodzimierz Kiciński deklaruje, że ma to nastąpić jeszcze w pierwszej połowie bieżącego roku. Nowa wersja będzie uwzględniała kolejne uwagi i doprecyzowywane wymogi regulacyjne wywodzące się z tzw. RTS-ów, czyli wytycznych technicznych do PSD2.
Jak wskazują przedstawiciele ZBP, w trakcie konsultacji publicznych projektu Polish API zebrano kilkaset uwag i opinii nadesłanych przez kilkadziesiąt firm i instytucji. Duża część dotyczyła właśnie dodatkowej formy weryfikacji tożsamości klienta.
Ostatnie podcasty