Identyfikacja Fintechów oraz wykorzystanie API w kontekście certyfikatów eIDAS oraz paszportowania, czyli agenci i dystrybutorzy w świetle najnowszych wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA).

W ostatnich dniach Europejski Urząd Nadzoru Bankowego wydał dwa bardzo ważne dokumenty. Jeden to kolejna porcja wytycznych w zakresie API, a drugi to opinia w sprawie paszportowania usług płatniczych (tą tematyką zajmę się w jednym z kolejnych artykułów). Oba dokumenty mają bardzo istotne znaczenie również w kontekście otwartej bankowości, gdyż odpowiadają na wiele wątpliwości odnośnie natury paszportowania oraz obowiązków w zakresie identyfikacji w ramach usług Payment Initation Service oraz Account Information Service. EBA opublikowała również dodatkowe odpowiedzi w ramach swojego QnA. W artykule zajmiemy się kwestią identyfikacji TPP działających poprzez swoich agentów i/lub podwykonawców (w ramach outsourcingu), którzy muszą „przedstawiać się” bankom za pomocą certyfikatów eIDAS (więcej o samych certyfikatach tutaj).

Tematykę świadczenia usług przez dostawców usług płatniczych oraz wydawców e-money reguluje ustawa o usługach płatniczych (art. 84 i następne) (uUP). Z kolei kwestie dotyczące identyfikacji Third Party Providers (TPP) określa przede wszystkim art. 34 i 36 Rozporządzenia 2018/389 oraz Rozporządzenie 910/2014 (oraz ustawa o usługach zaufania). Pewne znaczenie w kontekście dalszej analizy ma również art. 4 ust. 8 uUP, który określa obowiązki banków w zakresie zapewnienia TPP dostępu do usług w zakresie prowadzenia rachunków. Jest jeszcze Rozporządzenie 2017/2055 w zakresie paszportowania, ale jest to regulacja mniej dotykająca bezpośrednio TPP, choć nie pozostająca bez wpływu na kwestie związane z identyfikacją.

Fintech witają się z bankami – w jaki sposób?

Tematyka identyfikacji TPP jest bardzo istotna z punktu widzenia bezpieczeństwa danych użytkowników (posiadaczy) rachunków bankowych. Za pomocą takiego elektronicznego i zweryfikowanego certyfikatu TPP – najczęściej Fintech, ale może to być również inny bank – przedstawia się bankowi jako zaufana strona trzecia, która posiada stosowne zezwolenie lub rejestrację nadane przez regulatora, np. KNF.

W aspekcie technicznym niejako w tle, dochodzi do wymiany odpowiednich informacji, jak numer rejestru czy właściwy organ nadzorczy, które pozwalają na upewnienie się, że przekazywane informacje o użytkowniku (oczywiście za jego jasno wyrażoną zgodą) dotrą do właściwego adresata i nie będą przedmiotem oszustwa. Jest to pierwszy krok przed realizacją właściwej usługi (choć w praktyce wszystko dzieje się niemal w jednej chwili).

Od samego początku liczne wyzwania…

Wprowadzenie certyfikatów od początku budziło emocje. Ponieważ od 14 marca do 14 września br. mamy tzw. okres testowy (więcej tutaj), kiedy to zarówno banki, jak i TPP, testują rozwiązania przy użyciu API, czyli środowiska pozwalającego na integrację z systemami bankowymi, pojawiły się wątpliwości co do potrzeby stosowania tych certyfikatów w tym okresie.

Na poziomie środowiska testowego nie jest wymagane stosowanie certyfikatów eIDAS, co wynika wprost z przepisów końcowych Rozporządzenia 2018/389. Jeżeli jednak bank zamierza przed 14 września złożyć do regulatora wniosek o zwolnienie z obowiązku stosowania tzw. mechanizmu awaryjnego (fall-back mechanism) polegającego na obowiązku – w stosownych przypadkach – udostępnienia TPP interfejsu dostępowego użytkownika, to musi mieć przygotowany specjalny interfejs dostępowy (API) na etapie produkcyjnym. Co to oznacza? Szczegółowe obowiązki opisane zostały w wytycznych EBA, jednakże można to skwitować w ten sposób, że musi to być interfejs docelowy – produkcyjny (taki jak jest wymagany na 14 września), a więc musi mieć również możliwość czytania certyfikatów eIDAS („it should include eIDAS certificates for the purpose of identification”).

Jak badać status TPP?

Można stwierdzić, że samo zidentyfikowanie się TPP za pomocą certyfikatu eIDAS powinno wystarczyć. Niekiedy jednak mogą pojawić się poważne wątpliwości co do aktualności danego certyfikatu. Tutaj EBA zaproponowała krajowym nadzorcom, aby w przypadku cofnięcia zezwolenia lub rejestracji TPP i braku informacji odnośnie cofnięcia certyfikatu eIDAS, informowali oni dostawców tych certyfikatów, aby Ci mogli je „anulować”. Warto zaznaczyć, że KNF zgodził się na stosowanie tej procedury, co znacznie zwiększy pewność uczestników rynku.

Nie jest to jednak jedyny problem. EBA opublikowała jakiś czas temu rejestr dostawców (TPP). Jest to dość rozbudowana baza pozwalająca na weryfikację statusu poszczególnych TPP, przy czym sama EBA podkreśla, że rejestr ten nie może stanowić zawsze pewnej informacji, ponieważ dane są aktualizowane przez unijnego nadzorcę po otrzymaniu informacji od właściwych organów krajowych. W tym kontekście pojawiła się wątpliwość czy bank powinien dokonywać dodatkowych sprawdzeń (checków) TPP (poza weryfikacją certyfikatu eIDAS).

Przepisy Rozporządzenia 2018/389 nie zobowiązują banków do dokonywania jakichkolwiek dodatkowych czynności, jednakże ich też wprost nie zabraniają. Wprost, ponieważ takie „ekstra” sprawdzenia nie mogą powodować opóźnień w realizacji zleceń (np. płatności) i muszą umożliwić utrzymanie efektywności na poziomie dostępnym dla użytkownika (posiadacza rachunku). W przeciwnym wypadku może mieć do czynienia z przeszkodą, o której mowa chociażby w art. 32 ust. 3 Rozporządzenia 2018/389. Co ważne, według EBA bank nie może blokować dostępu TPP, jeżeli nie może znaleźć odpowiednich informacji w rejestrze EBA czy rejestrze krajowym.

A gdzie w tym wszystkim agenci i dystrybutorzy?

Jak wiemy TPP mogą działać za pośrednictwem agentów, dystrybutorów czy też innych podmiotów, które świadczą usługi outsourcingowe (np. obsługują w pewnym zakresie identyfikację i przekazywanie informacji). Co w takiej sytuacji? Kto się identyfikuje za pomocą certyfikatów eIDAS i jakie dodatkowe warunki muszą zostać spełnione?

W ocenie EBA to dany dostawca (TPP) odpowiada za działania swoich agentów i dystrybutorów, w tym także za aktualność i poprawność przekazywanych im certyfikatów eIDAS, które identyfikują TPP (TPP jest wpisane w polu Subject Distinguished Name. Nic nie stoi natomiast na przeszkodzie, aby dany certyfikat zawierał dane agenta lub dystrybutora, choć będzie to bez wpływu na obowiązki po stronie banku. Bank będzie więc identyfikował TPP, a nie samego agenta, choć z pewnością taki fakt powinien zostać odnotowany w odpowiednich logach.

Na agentach i dystrybutorach ciąży natomiast obowiązek informowania klientów TPP o statusie, który im przyznano i w imieniu kogo świadczą usługę. Bank nie powinien natomiast żądać od nich dodatkowych informacji, jeżeli poprawnie zidentyfikowali się oni z użyciem certyfikatu eIDAS i widnieją w stosownym rejestrze agentów. Tutaj pojawia się jednak, czy bank mógłby opóźnić wykonanie usługi w celu weryfikacji tego faktu – na tą chwilę – uwzględniając stanowisko EBA wydaje się, że nie, choć wydaje się to nieco ryzykowne. Możemy przecież wyobrazić sobie, że taki „agent” wszedł w posiadanie certyfikatu i będzie chciał go wykorzystać. Czy banki powinny zbudować dodatkowe funkcjonalności w tym zakresie?

Co dalej?

Problemy, które poruszyła EBA są bardzo istotne z punktu widzenia sektora bankowego, ale i Fintechów. Prawidłowa identyfikacja pozwala na zapewnienie bezpieczeństwa wszystkim stronom (i ich dostawcom) transakcji lub usługi. Bank musi mieć pewność, że przekazuje informacje dotyczące tajemnicy bankowej właściwemu i upoważnionemu podmiotowi. Dlatego wyzwania związane z tym tematem będą zapewne pojawiać się w dalszym ciągu (nie można również wykluczyć prób podszywania się pod prawdziwe TPP, co może budzić szczególny niepokój). Będę się temu oczywiście przyglądał i informował o zachodzących zmianach.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech