[Poradnik] Certyfikaty eIDAS a opinia EBA. Ważne wskazówki dla Fintechów

Otwarcie bankowości, a ściślej udostępnienie podmiotom trzecim (Third Party Providers) rachunków bankowych klientów to wyzwanie dla banków. Często podnoszonym argumentem za ograniczeniem tego dostępu jest brak odpowiednich zabezpieczeń i gwarancji. Rozporządzenie delegowane Komisji 2018/389 (popularny “RTS”) wprowadza dodatkowe wymogi dla tych podmiotów, które chcą skorzystać z API banku (pisałem o tym m.in. tutaj), aby swoim klientom udostępnić dodatkowe usługi, jak inicjowanie płatności czy agregacja danych z wielu rachunków bankowych w ramach usługi dostępu do rachunku. Jednym z takich wymogów jest obowiązek identyfikacji z wykorzystaniem kwalifikowanych certyfikatów (eIDAS). Europejski Urząd Nadzoru Bankowego (EBA) wyjaśnił w swojej niedawno wydanej opinii wiele niejasności.

Problematykę certyfikacji TPP reguluje m.in. art. 34 wspomnianego Rozporządzenia 2018/389. Kluczowe znaczenie ma jednak przede wszystkim Rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, a także wspomniana opinia EBA. W Polsce znaczenie ma również ustawa o usługach zaufania oraz identyfikacji elektronicznej.

O jaką identyfikację chodzi?

Uzyskanie dostępu do rachunków klientów banków odbywa się, co do zasady, za pomocą specjalnych interfejsów dostępowych, tzw. API (Application Programming Interface), które umożliwiają komunikację pomiędzy oprogramowaniem banku a dostawcy usług, jak np. Payment Initation Service (PIS) czy Account Information Service (AIS). Taki interfejs dostępowy musi mieć wbudowaną funkcjonalność, która pozwala takiemu dostawcy zidentyfikować się względem banku jako podmiot uprawniony do żądania dostępu (posiadający stosowne zezwolenie/ubiegający się o nie).

W celu identyfikacji TPP musi wykorzystać kwalifikowane certyfikaty pieczęci lub kwalifikowane certyfikaty uwierzytelnienia witryn internetowych, które definiuje Rozporządzenie 910/2014. RTS wprowadza pewne dodatkowe wymagania w odniesieniu do tych certyfikatów, jak np. wymaga podania informacji odnośnie roli dostawcy usług płatniczych (PIS czy AIS i inne), jak również wskazania organu rejestrującego TPP oraz podania numeru rejestracji (zezwolenia).

Kwalifikowane certyfikowane pieczęcie to nic innego certyfikat pieczęci elektronicznej, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i który spełnia wymogi Rozporządzenia eIDAS (określone w załączniku III). Z kolei kwalifikowany certyfikat uwierzytelniania witryn internetowych oznacza certyfikat uwierzytelniania witryn internetowych, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi załącznika IV. Takie certyfikaty wydają dostawcy usług zaufania wpisani do rejestru (tutaj).

Ale właściwie po co?

Aby bank miał pewność, że podmiot trzeci, który żąda dostępu na taki dostęp rzeczywiście “zasługuje”. Innymi słowy, wykorzystanie pieczęci czy stron internetowych ma zapewnić, że przekazywane informacje są poprawne i niezmienione, a także należą do właściciela pieczęci, w tym przypadku uprawnionego TPP (posiadającego zezwolenie lub ubiegającego się o takie zezwolenie). Jest to wymóg RTS, który obliguje banki do stosowania odpowiednich zabezpieczeń przy udzielaniu dostępu do interfejsów dostępowych.

Problemem z samymi pieczęciami jest jednak to, że nie posiadają one odpowiednich zabezpieczeń kryptograficznych, które gwarantują poufność przekazywanych danych, co odróżnia je od certyfikowanych witryn internetowych, które taką “funkcjonalność” posiadają, np. przy użyciu protokołu TLS. Dodatkowo pieczęcie mogą zostać przekazane jako dowód dla stron trzecich (np. klientów) na autentyczność i integralność danych wykorzystanych do komunikacji, zaś strony internetowe – nie.

Tu wkracza EBA

Europejski nadzorca dostrzegł ten problem. W opinii EBA dla TPP istnieją trzy alternatywy:

jednoczesne stosowanie certyfikowanych pieczęci i stron internetowych (najbezpieczniejsze rozwiązanie);
wykorzystanie wyłącznie certyfikowanych witryn (mniej bezpieczne);
wykorzystanie pieczęci wraz z dodatkowymi elementami zapewniającymi bezpieczną komunikację (mniej bezpieczne, o ile nie jest stosowany te drugi element, który zapewnia poufność przekazywanych danych).

EBA daje pozorny wybór, gdyż w dalszej części swojej opinii wskazuje, że rekomendowanym rozwiązaniem dla banków jest to pierwsze, co implikuje konieczność utworzenia w API banku odpowiednich funkcjonalności, które umożliwiają identyfikację przy użyciu kwalifikowanych pieczęci i witryn. Taka funkcjonalność powinna zostać zaimplementowana zarówno do specjalnego interfejsu, jak i udostępniona w ramach dostępu awaryjnego (pisałem o tym tutaj).

Jeden czy wiele certyfikatów?

Europejski Urząd Nadzoru wskazuje, że jeżeli TPP korzysta z usług np. agentów lub prowadzi działalność poprzez oddział, to pożądanym jest stosowanie wielu certyfikatów (oddzielnie dla każdego rodzaju “dostawcy”, w tym podwykonawcy w ramach outsourcingu). W takim przypadku bank nie ma prawa odmówić dostępu przez API, o ile jest możliwe zidentyfikowanie konkretnego TPP na rzecz którego dostawca działa.

Ważna informacja dla banków

Nie można odmówić dostępu do API dla TPP lub żądać przedstawienia dodatkowych “dowodów”, jeżeli ten dostawca poprawnie zidentyfikował się za pomocą certyfikatu. Te certyfikaty są wydawane przez odpowiednich i kwalifikowanych dostawców i nie mogą być one kwestionowane w procesie identyfikacji. Jednocześnie EBA zarekomendowała krajowym nadzorcom wprowadzenie odpowiednich rozwiązań w zakresie weryfikacji aktualności certyfikatów, co ma oczywiście znaczenie w kontekście przyznawania, zawieszania i cofania licencji na świadczenie usług płatniczych.

Czy to odpowiednie zabezpieczenie?

To tylko jeden z elementów wykorzystywanych na potrzeby zabezpieczenia naszych danych z rachunków bankowych. Wydawanie certyfikatów jest obłożone surowymi wymogami i może zostać wykonane wyłącznie przez uprawnionego do tego podmioty. Wydaje się, że jest to jeden z elementów, które faktycznie zabezpieczają całą komunikację pomiędzy TPP a bankami. Nie bez znaczenia są również rekomendacje EBA dotyczące konieczności regularnego aktualizowania bazy wiedzy na temat licencji TPP, tak aby kwalifikowani dostawcy usług zaufania publicznego mogli na bieżąco monitorować aktualność i wiarygodność danych wykorzystywanych do wydawania danego certyfikatu.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech