Czy czeka nas PSD3? Gdzie “boli” PSD2? Konkluzje ze spotkania Grupy Berlińskiej

Grupa berlińska to inicjatywa na rzecz poprawy jakości usług płatniczych w Unii Europejskiej. Można ją przyrównać do krajowego Związku Banków Polskich, ale na większą skalę. Inicjatywy podejmowane przez grupę mają często duże przełożenie na wprowadzane zmiany. Szczególnie, że konsultacje zazwyczaj odbywają się wraz z Europejskim Bankiem Centralnym (EBC) oraz Europejskim Urzędem Nadzoru Bankowego (EBA) i przekładają się na zmiany legislacyjne. Grupa odpowiada również za NextGenPSD2 – paneuropejski standard OpenAPI. W listopadzie odbyła się kolejna konferencja w Berlinie, w której uczestniczyli przedstawiciele Komisji Europejskiej, EBC oraz EBA. Dyskutowano m.in. nad przyszłością PSD2 oraz PSD3.

W trakcie konferencji przedstawiono wyniki ankiety w sprawie wykorzystania różnych standardów OpenAPI. 78 procent państw członkowskich korzysta ze standardu NextGenPSD2, chociaż zidentyfikowano również 6 lub 7 innych standardów międzynarodowych oraz liczne standardy krajowe. Co ciekawe na świecie pojawiają się głosy o potrzebie standaryzacji w tym obszarze. Jest to oczywiście związane z możliwościami jakie daje unijny Open Banking dla fintechów i banków spoza UE.

Liczne wątpliwości wynikające z PSD2

Grupa podnosi konieczność wydania ostatecznych wytycznych dotyczących screen-scrapingu w ramach środków awaryjnych (fallback mechanism) (pisałem o tym tutaj). W dużym skrócie banki muszą udostępnić swoje interfejsy, które dostarczają użytkownikom, jeżeli nie są w stanie zapewnić dostępności do alternatywnego interfejsu w przypadku wystąpienia awarii.

Wprawdzie niedawno EBA wydała ostateczne wytyczne, które umożliwiają organom nadzoru (wraz z EBA) zwolnienie dostawcy z obowiązku stosowania tych środków, jednakże nadal konieczne jest doprecyzowanie wskaźników dotyczących dostępności i efektywności API stosowanego przez banki (dla przypomnienia – zwolnienie można uzyskać po spełnieniu szeregu warunków).

Kolejnym problemem z którym mierzą się zarówno organy nadzoru, jak i dostawcy usług płatniczych to środki bezpieczeństwa, w tym silne uwierzytelnianie, a w szczególności zakwalifikowanie tzw. Transaction Authentication Numbers jako spełniających wymogi PSD2 lub nie. W ramach Grupy panuje zgodność co do niespełniania standardów Rozporządzenia 2018/389 listy kodów jednorazowych w formie papierowej i kodów autoryzacyjnych w formie smsa, natomiast wątpliwości pojawiają się w odniesieniu do wykorzystania tzw. Touch ID oraz FaceID, czyli po prostu wykorzystania biometrii do autoryzacji transakcji, co wydaje mi się oczywistym rozwiązaniem wobec wyzwań jakie stawia przed bankami oraz TPP rynek moblinych płatności.

Licencjonowanie i rejestrowanie Third Party Providers

W trakcie konferencji podniesiono wątpliwości co do efektywności rejestru Third Party Providers prowadzonego przez EBA. Rejestr jest mało czytelny i opiera się na odesłaniach do stron internetowych krajowych organów nadzoru. Dyskutowano również kwestię dostępności certyfikatów eIDAS, które wymagane są na potrzeby identyfikacji TPP w przypadku dostępu do API.

A co z API?

Przedmiotem obrad była również kwestia wspomnianego już dostępu do API. Podniesiono konieczność doprecyzowania sposobu rejestracji TPP, w tym możliwości on-boardowania dostawcy bez rejestracji, a z użyciem sesji komunikacyjnej i certyfikatem eIDAS. Konieczne jest jednak doprecyzowanie warunków technicznych takiego rozwiązania.

Grupa przypomniała również o zbliżającej się “sesji testowej”, która składać się ma z dwóch etapów. Pierwszy, który ma zacząć się 14 marca i ma potrwać trzy miesiące i obejmujący wstępne testy i dostosowanie interfejsów. Drugi etap ma również potrwać trzy miesiące, przy czym banki powinny udostępnić już środowisko testowe (produktowe). W celu ujednolicenia podejścia Grupa ogłosiła uruchomienie tzw. NexGenPSD2 Implementation Support Program (więcej pod tym adresem).

Co możemy zastać w PSD3?

Grupa zaproponowała kilka ciekawych zagadnień, które powinny znaleźć się w PSD3. Sama konieczność wprowadzenia nowej dyrektywy już na tym etapie wydaje się oczywista. Wśród rekomendowanych rozwiązań wskazano przykładowo konieczność włączenia płatności natychmiastowych do reżimu PSD, szczególnie wobec uruchomienia Target2 Instant Payment Settlement (pisałem o tym tutaj) przez EBC, czy też rozszerzenie dostępu dla TPP do rachunków innych niż rachunek bieżący. Zwrócono również uwagę na konieczność doprecyzowania wymagań w zakresie standardów API dla banków. Jest to postulat, który częściowo powinien zostać spełniony w ramach QnA EBA, na który z niecierpliwością czekamy.

I wreszcie to na co zwraca uwagę wielu prawników oraz sam rynek – konieczność tworzenia bardziej “miękkich” regulacji. Grupa słusznie zwraca uwagę na fakt, że wprowadzanie wielu zmian, szczególnie w dynamicznie zmieniającym się otoczeniu innowacji finansowych, poprzez “twarde” prawo rodzi liczne trudności. Rekomendacje EBA czy innych instytucji i organów unijnych określające wiążące standardy dla banków i TPP mogłyby znacznie przyśpieszyć proces implementacji. Ciekawym rozwiązaniem byłby bez wątpienia wiążące interpretacje EBA na wzór tych stosowanych przez KNF w ramach Innovation Hub.

Jakie konkluzje?

Nadal mamy wiele niewiadomych. Szczególnie banki mają trudności z implementowaniem wymogów w zakresie OpenAPI i tutaj jest potrzebna “interwencja” regulatorów. Istotne jest również monitorowanie zmian w otoczeniu innowacji finansowych, tak aby reagować na istotne zmiany w tym obszarze. Ważne jest również prowadzenie regularnych konsultacji z rynkiem i wsłuchiwanie się w ich potrzeby. To w końcu ostatecznie rynek dostarczał będzie efektywnych i atrakcyjnych rozwiązań konsumentom, a przecież ostatecznie chodzi o tzw. financial inclusion.

Źródło: https://www.finextra.com/blogposting/16389/berlin-group-and-the-path-to-psd3

Grafika: https://docs.wixstatic.com/ugd/c2914b_e05c90dbfe4447149e36d48e1dd08339.pdf