QnA EBA: czy bank może żądać dodatkowej zgody od użytkownika na realizację usługi TPP?

Regulacje unijne w obszarze finansowym są niekiedy trudne do jednoznacznej interpretacji i mogą rodzić wiele wątpliwości, a tym samym generować dodatkowe koszty. Jednym z ciekawych narzędzi, które ułatwiają dostosowanie się do wymogów prawnych wydawanych przez instytucje unijne, jest tzw. QnA, czyli po prostu zestaw „pytań i odpowiedzi”, które publikuje na swojej stronie Europejski Urząd Nadzoru Bankowego. Uzyskanie odpowiedzi trwa niekiedy kilka miesięcy, ale niewątpliwą korzyścią jest uzyskanie „interpretacji”, która może posłużyć jako argument w ewentualnym sporze, np. z regulatorem.

Dyrektywa PSD2, która jest na ustach całego sektora bankowego również doczekała się swojego QnA. W zestawieniu znajduje się obecnie 29 zapytań, które dotyczą nie tylko samej dyrektywy i Rozporządzenia 2018/389 (RTS), ale również wytycznych wydawanych przez EBA. Lista podlega regularnej aktualizacji. W cyklu artykułów prezentowało będę co ciekawsze zagadnienia z którymi przyszło zmierzyć się unijnemu nadzorcy.

Dostęp Third Party Providers a dodatkowa zgoda wymagana przez Bank

Jedną z podstawowych zasad na których opiera się Open Banking jest otwarcie dostępu do rachunków płatniczych w bankach na podmioty trzecie. Udzielenie takiego dostępu za pomocą specjalnych interfejsów (o czym pisałem tutaj) powinno odbywać się na obiektywnych, niedyskryminujących i proporcjonalnych zasadach (m.in. art. 4 ust. 8 UoUP). Co za tym idzie, bank nie może stawiać żadnych przeszkód, jak np. żądać dodatkowych rejestracji czy zgód już udzielonych takiemu TPP (art. 32 ust. 3 Rozporządzenia 2018/389).

Oznacza to, że podmiot trzeci zaliczających się do kategorii Payment Initiation Service Provider lub Account Information Service Provider, o ile posiada stosowne zezwolenie lub rejestrację (o rejestracji AISP pisałem tutaj), może swobodnie korzystać z API i realizować usługi na rzecz użytkownika rachunku płatniczego w danym banku (warunkiem jest oczywiście uzyskanie jego zgody oraz uwierzytelnienie klienta). W podobnym tonie wypowiadał się już EBA oraz Komisja w Opinii oraz swoich wytycznych, gdzie znaleźć można wyraźne wskazanie, że nie ma potrzeby dokonywania dodatkowych „checków” takiej zgody (tym bardziej, że przecież klient loguje się przy użyciu indywidualnych danych uwierzytelniających).

Jeżeli bank odmówi takiego dostępu, to w świetle polskich przepisów musi poinformować w terminie 7 dni Komisję Nadzoru Finansowego wraz z podaniem przyczyny takiej odmowy. W praktyce będzie to mogło mieć zapewne miejsce w przypadku powzięcia wątpliwości co do legalności danej działalności czy problemów technicznych (zarówno po stronie banku, jak i samego TPP).

Gdzie dostrzeżono problem?

Do EBA skierowano zapytanie odnośnie dopuszczalności żądania przez bank od swojego klienta dodatkowej zgody na skorzystanie z usługi TPP, jeżeli taka zgoda została już udzielona w ramach umowy zawartej przez tego klienta z takim dostawcą. Wnioskodawcę w szczególności interesowało czy takie rozwiązanie mogłoby stanowić przeszkodę w świetle przytoczonego już art. 32 Rozporządzenia 2018/389.

Co na to EBA?

Unijny nadzorca potwierdził powyższe podejście, które z resztą wydaje się naturalne. EBA referowała zarówno do swojej Opinii, jak i art. 32 ust. 3 Rozporządzenia 2018/389 wyraźnie stwierdzają, że żądanie dodatkowych zgód może stanowić przeszkodę w świadczeniu usługi przez PISP lub AISP. Ja dodałbym jeszcze, że przecież sama usługa powinna być świadczona (w aspekcie technicznym) na takich samych zasadach jak dla posiadacza rachunku, a chodzi tutaj przecież również o czas realizacji określonego zlecenia. Jeżeli bank żądałby dodatkowej zgody, to mogłoby to po prostu zniechęcić do korzystania przez użytkowników z usług TPP.

Konkluzje?

Bank tworząc interfejs dostępowy, czyli popularne API, musi dążyć do zapewnienia możliwie najmniejszej liczby „uciążliwości” dla TPP. Jeżeli dostawca posiada stosowne zezwolenie/rejestrację wydane przez regulatora, to posiada zapewne odpowiednie zasady stabilnego zarządzania i jest poddany właściwemu nadzorowi.

Użytkownik decydując się na zawarcie umowy z takim dostawcą ponosi oczywiście pewne ryzyko, jednakże ma prawo zakładać, że jest to dostawca bezpieczny, tym bardziej, że wymogi w zakresie bezpieczeństwa i przetwarzania danych wrażliwych stawiane przez Rozporządzenie 2018/389 są wysokie.

Z tego względu żądanie wyrażenia dodatkowej zgody przez bank byłoby nadmiarowe i niezgodne z przepisami, o których wspomniałem powyżej. Pamiętajmy, że Open Banking ma otworzyć bankowość na podmioty trzecie, ale również grupy społeczne dotąd finansowo wykluczone. Synergia pomiędzy bankami i fintechami z pewnością może przyczynić się do zwiększenia financial inclusion.

Artykuł stanowi moją prywatną opinię i nie może być utożsamiany ze stanowiskiem jakiejkolwiek instytucji z którą jestem lub byłem związany.