piątek, Grudzień 6

 Trochę przemyśleń o (najbliższej) przyszłości bankowości – czy PSD2 to regulacyjny game changer?

Google+ Pinterest LinkedIn Tumblr +

Dzisiaj w trochę innej formule (i bez linków odsyłających), bo i jesienna aura sprzyja refleksji. Nadal jednak pozostaję w nurcie regulacji, choć napomknę też nieco o aspektach biznesowych. Ostatnie miesiące to okres wytężonej pracy, zarówno po stronie banków, jak i fintechów występujących w roli Third Party Providers. W mediach co chwilę pojawiały się wizje końca „tradycyjnej” bankowości i otwarcia nowej ery OPEN BANKINGU. Za tym wszystkim miał stać pakiet PSD2, czyli dyrektywa oraz implementująca ją ustawa o usługach płatniczych wraz z Rozporządzeniem 2018/389 „odpowiedzialne” za silne uwierzytelnienie klienta, oraz szereg wytycznych EBA i KNF. Rzeczywistość okazała się jednak nieco mniej spektakularna, a liczne wyzwania interpretacyjne związane z implementacją zapisów pakietu regulacyjnego spowolniły cały proces – oczekiwanej – transformacji.

Pakiet PSD2 wprowadził wiele (r)ewolucyjnych zmian, głównie w zakresie bezpieczeństwa klienta (a ściślej jego indywidualnych danych uwierzytelniających) oraz umożliwienia w miarę swobodnego pozyskiwania danych klientów banków (przy założeniu ich zgody). Zmiany te były konieczne, bo i czasy zmieniły – liczba cyberataków stale rośnie i coraz trudniej o zachowanie bezpieczeństwa naszych finansów czy danych osobowych. Nie jest to jednak, jak może się wydawać, odpowiedź na napotkane zagrożenia, ale raczej próba uporządkowania zasad, które w sektorze finansowym (przynajmniej w Polsce) były wdrażane już od dłuższego czasu, m.in. za sprawą wymagań regulatora (np. rekomendacja dotycząca bezpieczeństwa transakcji).

Czy zwiększy(ł) się poziom bezpieczeństwa?

Dwustopniowa autentykacja to z pewnością zwiększenie bezpieczeństwa, ale nie jej gwarant. Już od jakiegoś czasu (a mamy przecież dopiero 23 września) słychać o nowych metodach wyłudzania dostępu do danych i rosnącej liczbie fraudów. Wynika to nie – jak można by sądzić – z wadliwej implementacji zapisów, ale stosowania coraz bardziej wyszukanych metod przestępców, wykorzystujących głównie naszą nieuwagę, a czasem naiwność. Silne uwierzytelnienie klienta nie zawsze jest nas w stanie zabezpieczyć, choć niewątpliwie zmniejsza ryzyko padnięcia ofiarą oszustwa.

Z drugiej strony brakuje sensownych rozwiązań regulacyjnych na transakcje e-commerce i wykorzystanie „klasycznej” biometrii, która jest uważana za jeden z najbardziej pewnych elementów identyfikacji człowieka. Abstrahując jednak od tego czy zastosujemy najnowocześniejsze i certyfikowane rozwiązania, prędzej czy później znajdzie się ktoś, kto spróbuje je obejść. Pakiet PSD2 nie zmienia więc tak bardzo reguł gry, on je tylko nieco modyfikuje i porządkuje. Czas pokaże, czy był to właściwy kierunek i czy w ogóle jest możliwe stworzenie takich przepisów, które będą chroniły użytkownika w 100%.

PSD2 a User Experience

Spójrzmy na to z perspektywy klienta detalicznego. Czy zwiększenie poziomu bezpieczeństwa poprzez wprowadzenie dwustopniowego uwierzytelnienia rzeczywiście wpłynęło tak istotnie na doznania klienta? Nie wspominam tutaj o transakcjach e-Commerce z użyciem karty, bo to odrębny temat. Osobiście nie czuję dużej zmiany, bo wciąż podobnie korzystam z bankowości. . Płatności kartą przez internet to dla mnie rzadkość, a jeżeli, to zazwyczaj na stronach poza Europejskim Okręgiem Gospodarczym, a więc i – zazwyczaj – bez silnego uwierzytelnienia. Ponadto, dodatkowe wymagania to niewielka cena za bezpieczeństwo płatności, które chyba najmocniej narażone są na oszustwa.Tutaj nie widzę więc dużych zmian. Jeżeli coś się zmieniło, to ja tego tak bardzo nie odczułem. A że przy szóstej transakcji bezstykowej muszę wpisywać PIN? Od dawna to robiłem, choć pewnie z mniejszą częstotliwością.

A co z TPP i Open Bankingiem?

Inna sprawa, że z punktu widzenia TPP, które mają (mogą) uzyskać dostęp do rachunku (czy to w usłudze PIS czy AIS), wymogi te mogą być „przytłaczające”. Samo stworzenie rozwiązania korzystającego z API (i umożliwiającego swobodne i efektywne korzystanie z silnego uwierzytelnienia) to jedno, a zapewnienie bezpieczeństwa danych to drugie. Patrząc przez pryzmat Rozporządzenia 2018/389 nie ma tego dużo. Patrząc przez wymagania regulatora i wszelakich wytycznych (np. w zakresie ryzyk operacyjnych, outsourcingu czy bezpieczeństwa – np. opisywane przez mnie rekomendacje grupy ds. PolishAPI), ale również „klasycznych” przepisów, w tym ustawy o usługach płatniczych czy ustawy o cyberbezpieczeństwie – nie jest już tak różowo.

Jest to efekt powierzenia stronie trzeciej bardzo wrażliwych danych stanowiących tajemnicę bankową/zawodową, której naruszenie to nie tylko ryzyko regulacyjne, ale odpowiedzialność administracyjna, cywilna, reputacyjna, a nawet karna. Wszystko musi być więc na najwyższym poziomie bezpieczeństwa. Dostosowanie się do tych wszystkich regulacji, w szczególności dla startującego gracza na rynku fintechowego, może być nie lada wyzwaniem (operacyjnym i finansowym). A fintechom przychodzi również startować w konkurencji o klienta, w której są już mistrzowie olimpijscy.

Z tego względu wydaje mi się, że pakiet PSD2 nie jest „game changerem”.  To dopiero pierwszy krok w kierunku bardziej otwartego (co to w ogóle znaczy?) systemu finansowego. Do gry nie wkroczyły jeszcze BigTech’y, które również mogą namieszać na rynku usług finansowych (tutaj bardzo ważne jest rozsądne podejście regulatorów i prawodawców). Wejście w życie PSD2 traktowałbym raczej jako pilotaż i okazję do zdobycia doświadczenia oraz wybadania potrzeb rynku. Na prawdziwą r(e)wolucję przyjdzie chyba jeszcze pora, chyba że pojawi się ktoś, kto wywróci wszystko do góry nogami (bo tym tak naprawdę jest buzzwordowe „disruption”).

Zgadzam się też z coraz popularniejszą tezą, że fintechy, jeżeli naprawdę chcą ugrać coś więcej, powinny decydować się na współpracę z większymi graczami, a nie stawać – z pewnymi wyjątkami oczywiście – do nierównej rywalizacji, wynikającej z dość dużego zaufania do rynku bankowego. Nie znaczy to oczywiście, że szans na wygraną nie ma. Z pewnością będzie to jednak trudniejsze niż na mniej innowacyjnych i ubankowionych rynkach.

A co z AI, ML czy personalizacją?

W kolejce stoi również wykorzystanie sztucznej inteligencji, rozszerzona rzeczywistość czy lepsze wykorzystanie danych i personalizacja. Te obszary również wymagają odpowiedniego uregulowania i znalezienia ciekawych rozwiązań do wykorzystania, które użytkownikom dadzą „coś więcej”.

Rozwiązań trzeba szukać więc również poza Open Bankingiem, który jest furtką, ale nie rozwiązaniem realnych problemów użytkowników (co widać najlepiej na przykładzie bankowości korporacyjnej). Tych należy szukać gdzie indziej, nie zapominając oczywiście o bezpieczeństwie, które buduje zaufanie i może rodzić lojalność, o którą w tak dynamicznie zmieniającym się świecie coraz trudniej.

Udostępnij.

Zostaw komentarz