FinTechy, BigTechy, Challenger Banki czy tradycyjne instytucje? Komu będzie „łatwiej” i czy regulacje mogą hamować innowacje finansowe?

Świat finansów zmienia się ostatnio bardzo dynamicznie a innowacje na rynku finansowym są coraz „śmielsze” i interesujące. Wiele fintechów, neobanków i challenger banków, ale i tradycyjnych instytucji (incumbent banks) wprowadza nowe rozwiązania do swojej oferty, tak aby zaspokoić zmieniające się oczekiwania klientów, skupiając się na tzw. user experience (UX). Klient jest teraz w centrum uwagi. Jego satysfakcja może świadczyć o „być albo nie być” na coraz bardziej konkurencyjnym rynku. Tym bardziej, że zmiana banku-usługodawcy staje się coraz prostsza. Z drugiej strony mówi się o potrzebie zwiększenia bezpieczeństwa (danych) klientów, czego emanacją jest chociażby pakiet PSD2 (dyrektywa oraz Rozporządzenie 2018/389 i szereg wytycznych EBA – więcej tutaj). Czy te dwa elementy – satysfakcja klientów oraz ich bezpieczeństwo idą ze sobą w parze i czy dają się pogodzić? I drugie pytanie. Kto wygra w wyścigu po klienta? I czy tak naprawdę można mówić o walce czy raczej zdrowej konkurencji?

Dzisiejszy ekosystem finansowy przeżywa (r)ewolucję. Na rynku pojawiło się wiele FinTechów (Ant Financial, Blik czy Revolut) oraz tzw. BigTechów, jak Amazon czy Facebook, które dysponują technologią, pieniędzmi oraz zwinnością, której czasami może brakować bankom działającym w trudnym środowisku regulacyjnym i które muszą „spowiadać” się swoim akcjonariuszom. Czytając najnowszą książkę Bretta Kinga – „Bank 4.0. Banking Everywhere, Never at Bank” można odnieść pierwsze (chyba mylne) wrażenie, że banki nie są w stanie doścignąć bardziej elastycznych graczy lub że będzie to okupione dużym wysiłkiem i może nastąpić tylko z upływem czasu.

O ile z pierwszym stwierdzeniem ciężko byłoby się zgodzić (banki mają coś czego często brakuje początkującym graczom – zaufanie klientów, o czym świadczą chociażby wyniki ankiety ZBP), to faktem jest, że zaoferowanie tego samego co FinTechy czy BigTechy przez banki może być zadaniem trudnym, czaso- i kapitałochłonnym. Nie jest jednak niewykonalne.

Bank X. Zacznijmy od początku

W jednym z artykułów pisałem o interesującym raporcie Citi. Autorzy wskazali tam, że każdy nowoczesny bank (incumbent) powinien rozważyć stworzenie własnego banku, który nie będzie miał takich ograniczeń jak ich spółki-matki, tzw. challenger banku, np. w pełni mobilnego. Wielu ekspertów wypowiada się w podobnym tonie – tworzenie innowacji, to zaczynanie od początku (first principle design), a nie budowanie w oparciu o coś co już powstało (legacy). Tutaj pełna zgoda. Fintechy, najczęściej start-upy, którym brakuje jeszcze korporacyjnego uporządkowania (co na początku może wydawać się atrakcyjne) mogą szybciej zmieniać koncepcje i dostosowywać się do zmieniającego się otoczenia ze „zwinnością motyla”, a także nie opierają się zazwyczaj na utartych schematach.

Kiedyś jednak się to kończy i przychodzi „szara” (choć niekoniecznie nudna) rzeczywistość. Challenger Bank, Neobank, Fintech czy BigTech w którymś momencie swojego istnienia będzie musiał zmierzyć się z surowymi wymogami prawnymi (w tym ostrożnościowymi) oraz czujnym okiem regulatora. Wiele z tych innowacyjnych przedsięwzięć na początku swojej drogi korzysta z przeróżnych inkubatorów innowacyjności (więcej tutaj), jak piaskownice regulacyjne czy Innovation Hub’y. Kiedy jednak kończy się okres inkubacji, a zezwolenie na prowadzenie działalności regulowanej jest w kieszeni, regulacje i niewłaściwe zarządzanie mogą okazać się niekiedy „business-killerem”. To co wydawało się łatwe i atrakcyjne do wdrożenia okazuje się obarczone dużym ryzykiem do którego mitygowania zobowiązane są instytucje regulowane (pojawiają się również oczekiwania inwestorów co do zdolności do generowania zysku), w szczególności te z sektora finansowego.

Ale czy jest tak dramatycznie?

Regulatorzy i prawodawcy starają się nadążać za innowacjami. Nie zawsze im się to jednak udaje, bo dynamika tych procesów jest dzisiaj na nie spotykanym dotąd poziomie (zmieniają się chociażby kanały komunikacji). Z tego względu mówi się już (całkiem konkretnie) o potrzebie dostosowywania głównych regulacji, jak PSD2 (PSD3?) oraz CRDIV/CRR (CRDV/CRRII – więcej tutaj), a nawet MiFID2 (MiFID3). Niemniej jednak nie jest tak źle, czego przykładem jest podejście samych regulatorów, którzy mając świadomość niejasności wynikających z przepisów (i ryzyka dla instytucji), wyjaśniają na bieżąco wątpliwości, np. QnA EBA współpracując z rynkiem.

„Nowe” przepisy, jak np. PSD2 idą wprawdzie z duchem czasu, ale czasem „czegoś im brakuje”. Rozporządzenie 2018/389 jest neutralne technologicznie, a więc jego przepisy nie nakazują stosowania określonych rozwiązań, co powinno ułatwić wdrażanie nowych rozwiązań. Częściowo tak jest, jednak jest też druga strona medalu.

Bezpieczeństwo a satysfakcja – zgrzyt od 14 września 2019 r.?

Wprowadzenie nowego produktu to żmudny i czasochłonny proces, a więc wymagający rozsądnego przygotowania i odpowiednich analiz, w tym w zakresie ryzyka. To także pieniądze, które należy wyłożyć na stół często nie mając pewności, że produkt „zaskoczy”.

PSD2 i tzw. Open Banking to szansa dla wszystkich – dostawców oraz klientów. Nowe produkty i usługi mogą zmienić oblicze bankowości. Potencjalne tarcie (friction, o którym często pisze się w kontekście digital banking) pojawia się jednak już przy projektowaniu tych nowych rozwiązań. Spójrzmy na konkretny przykład.

Wiedza, posiadanie i biometria

Jest nim Strong Customer Authentication (silne uwierzytelnianie klienta – SCA), o którym często piszę w swoich artykułach (np. tutaj). Nie będę tutaj wchodził w zagadnienia definicyjne, SCA jest dwu-faktorowym zabezpieczeniem, które dostawcy usług płatniczych (głównie banki) muszą stosować dla określonych czynności dokonywanych przez użytkowników rachunków płatniczych (dostęp on-line, inicjowanie transakcji i inne czynności związane z ryzykiem oszustwa).

Ten sposób zabezpieczenia klienta przed ewentualnymi oszustwami opiera się na zastosowaniu przynajmniej dwóch (różnych) elementów należących do kategorii wiedza, posiadanie lub cecha (np. nasza twarz czy linie papilarne). Każdy z tych elementów musi być niezależny względem drugiego i prowadzić (w aspekcie technologicznym) do wygenerowania kodu uwierzytelniającego. W praktyce wymaga to np. zastosowania logowania z użyciem ID oraz statycznego hasła oraz dodatkowego elementu, np. dynamicznego tokenu (dla aplikacji mobilnych). Dla klientów przyzwyczajonych do tzw. one-click może to być kolejna rewolucja.

Mniej intuicyjne będzie również płacenie kartą przez internet. Nie wystarczy już wpisać danych z karty (które według wielu regulatorów nie są żadnym elementem SCA) oraz wpisać kodu PIN. Konieczne będzie zastosowanie np. wirtualnego tokenu i potwierdzenie transakcji w aplikacji mobilnej.

Z jednej strony mamy więc oczekiwanie klientów, że wykonywanie płatności czy dostęp do rachunku będą szybkie i proste, a z drugiej strony mamy wymogi regulacji i regulatorów, które proces ten znacznie wydłużają. Samo wdrożenie tych rozwiązań zostało również w całości przerzucone na banki.

Fintechy, które zamierzają działać jako Third Party Providers (TPP) będą musiały jedynie „nauczyć się” przekazywania danych uwierzytelniających bankowi za pomocą API (więcej tutaj). Dodatkowym wyzwaniem jest fakt, że „neutralność technologiczna” Rozporządzenia 2018/389 spowodowała, że przepisy są dość niejasne i wątpliwości jest coraz więcej (przykładem są prace EBA Working Group on APIs), a czasu na wdrożenia jest przecież coraz mniej.

A czy Fintechom (niebankowym) będzie łatwiej?

I tak, i nie. Nie muszą one wdrażać SCA, ale w kontekście nowych usług, jak Payment Initiation Service (PIS – więcej tutaj) czy Account Information Service (AIS – więcej tutaj), nadal będą one musiały spełnić liczne wymagania wynikające chociażby z ustawy o usługach płatniczych czy Rozporządzenia 2018/389. Są to wymogi licencyjne, jak kapitał, ale również te związane z bezpieczeństwem i raportowaniem do KNF. Otworzenie systemów banków przez API na pewno przyczyni się do rozwoju konkurencji, ale czy będzie to koniec „ery banków”? Skłaniałbym się raczej ku wzajemnej współpracy i taki trend wydaje się wchodzić na salony. Każda ze stron może wnieść „coś” atrakcyjnego dla drugiej. Warto więc skorzystać na takiej synergii.

Czy regulacje stoją na drodze innowacji?

Nie powiem tak, nie powiem nie. Nie wspomniałem jeszcze o innych regulacjach, które bez wątpienia wpływają na rozwój innowacji, szczególnie wśród banków, np. outsourcing (więcej tutaj) czy wymogach ostrożnościowych (tutaj ma się to zmienić wraz z wejściem CRDV/CRRII).

Wiele zależy od podejścia regulatorów i skłonności do testowania nowych rozwiązań. Jeżeli regulatorzy będą jeszcze silniej współpracować z rynkiem to odbędzie się to z pewnością z korzyścią dla wszystkich. Ważne jest przy tym takie (biznesowe) podejście do regulacji, które zapewnia z jednej strony bezpieczeństwo klientów (i ich środków), jak i ich satysfakcję z usług. Financial inclusion promowane m.in. przez FinTechy to również prostota i szybkość, której na przeszkodzie niekiedy mogą stać nadmiernie sztywne regulacje.

Jeżeli dołożymy do tego ekosystem, który wspiera współpracę Fintechów z bankami, to możemy liczyć, że sektor finansowy i cała gospodarka będą rozwijały się szybko i bezpiecznie, bez zbędnego ryzyka dla całego systemu i z korzyścią dla wszystkich zaangażowanych w rozwój innowacji finansowych.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech