niedziela, Grudzień 8

Otwarta bankowość i wykorzystanie API na świecie w ocenie ekspertów Banku Rozliczeń Międzynarodowych (BIS), czyli Report on open banking and application programming interfaces. Cz. 1.

Google+ Pinterest LinkedIn Tumblr +

Open Bank to kierunek rozwoju finansów, którego nie sposób zignorować. Otwarcie (się) banków na podmioty trzecie powoduje, że coraz łatwiej o produkty finansowe, które do tej pory były niedostępne dla części społeczeństwa. Jedną z korzyści, którą „generuje” open banking jest niewątpliwie zwiększenie dostępności innowacji, ale również zmniejszenie kosztów ponoszonych przez klientów. Z drugiej strony pojawienie się tzw. Third Party Providers (TPP) może tworzyć nowe ryzyka (np. data leaks, o których pisałem m.in. tutaj). Tematyce tej przyjrzał się Bank Rozliczeń Międzynarodowych (BIS), który opublikował parę dni temu nowy raport – „Report on open banking and application programming interfaces”, w którym przeanalizowane zostały implikacje dla banków, jak i regulatorów związane z pojawieniem się open bankingu. Przeszedłem przez raport i wybrałem najważniejsze informacje i konkluzje. Zaczynamy!

W raporcie znajdziemy kilka kluczowych wniosków na temat rozwoju open banking, które mogą stanowić punkt wyjścia dla dalszych działań. W kolejnej odsłonie przybliżę nieco więcej na temat aspektów prawnych i regulacyjnych open bankingu.

Koniec tradycyjnej bankowości?

Autorzy raportu nie postawili takiej tezy, ale wskazują wyraźnie, że tradycyjna bankowość – tutaj należy to podkreślić – detaliczna ewoluuje w kierunku bankowości otwartej. Ma to oczywiście związek z możliwością wykorzystania nowych technologii do szybszej i efektywniejszej analizy dużych zbiorów danych, płatności cyfrowych czy po prostu zwiększeniem odczuć użytkowników (UX). Koncepcja open bankingu zyskuje na popularności, co zauważalne jest również w tych jurysdykcjach, które „pokrywa” BIS.

Różne etapy rozwoju

Nie jest jednak tak, że wszędzie open banking jest na zaawansowanym poziomie, co ma związek zasadniczo z trzema podejściami, które zidentyfikowali eksperci Banku:

  1. Prawne zobowiązanie banków do otwarcia (UE oraz pakiet PSD2);
  2. „miękkie” instrumenty, np. wytyczne i rekomendacje, którym towarzyszą standardy API (Hong Kong, Singapur czy Korea Płd);
  3. Market-driven, czyli nakierowane na rozwijanie otwartej bankowości przez sam rynek (samoregulacja) – tutaj dobrym przykładem są Stany Zjednoczone.

Generalnie jednak BIS wskazuje, że open banking jest na wczesnym etapie rozwoju w większości jurysdykcji. Jest to pochodną m.in. tego, że otwarta bankowość może przynieść wiele korzyści, ale jednocześnie rodzi wiele zagrożeń, w szczególności w kontekście dostępu i przetwarzania wrażliwych danych klientów. Dlatego tak bardzo istotne jest znalezienie odpowiedniej równowagi pomiędzy dostępem a bezpieczeństwem klientów (i ich danych). To co ciekawe, to w raporcie podkreślono, że nadal nie jest jasne czy wprowadzenie „przymusowego” open bankingu pokrywa lub pokryje się z oczekiwaniami klientów oraz rozwojem rynku.

Tutaj warto również podkreślić, że w raporcie wskazano na fakt, że w wielu jurysdykcjach otwarciu bankowości towarzyszy lub towarzyszyć będzie zmiana w prawie ochrony danych osobowych, w szczególności jeżeli dostęp do danych będzie szeroki. Podkreślono również, że niektóre jurysdykcje mają bardzo restrykcyjne zasady w tym obszarze, co może blokować rozwój open bankingu.

Ważna będzie koordynacja

Koordynacja i współpraca pomiędzy organami, które odpowiadają za ochronę klientów. Nie chodzi tutaj tylko o kwestie regulacyjne dla sektora finansowego, ale również ochronę danych osobowych czy ochronę konsumentów. Taka koordynacja powinna umożliwić bardziej efektywne wykrywanie luk i ich „łatanie”.

A jakie wyzwania?

No właśnie. Chociaż open banking ma wiele do zaoferowania, w szczególności w kontekście financial inclusion, to rodzi też wiele zagrożeń, nie tylko dla klientów sektora, ale również całego systemu (choć na tą chwilę międzynarodowego organizacje nie dostrzegają ryzyka systemowego w tym obszarze).

Dużym wyzwaniem dla banków będzie dostosowanie się do nowych modeli biznesowych (pisałem o tym w kontekście raportu ESMA oraz IMF) i konkurencji, która wydaje się „nieco” bardziej elastyczna (agile’owa) niż banki, które muszą mierzyć się z tzw. legacy systems. Open banking niejako wymusza transformację cyfrową, w tym kulturową, która pozwoli na zatrzymanie klientów i oferowaniem im lepszych, nowocześniejszych i tańszych produktów i usług.

To także konieczność dostosowania tych systemów do zmieniającego się otoczenia, w tym w zakresie cyberbezpieczeństwa (o cyberbezpieczeństwie w sektorze finansowym pisałem m.in. tutaj), co ma szczególne znaczenie w kontekście użycia Application Programming Interfaces (APIs). Wyzwaniem będzie również stworzenie takich rozwiązań, które z jednej strony będą bezpieczne, a z drugiej nie wydłużą nadmiernie tzw. customer journey. Samo utworzenie API to również koszty i czas, którego bankom może zacząć brakować.

A co z odpowiedzialnością?

O konsekwencjach prawnych tzw. data leaks po stronie Third Party Providers pisałem w tym artykule. Ta tematyka został również wyeksponowana w raporcie BIS. Eksperci Banku zwrócili uwagę, że kwestia pokrycia odpowiedzialności i sposobu uzyskania ewentualnego odszkodowania przez klientów ma istotne znaczenie i powinna znaleźć odzwierciedlenie w prawie i regulacjach oraz oczywiście ich efektywności. Tym bardziej, że – tutaj również potwierdza to raport – ryzyko reputacyjne najczęściej materializuje się po stronie banków, a nie TPP, które przyczynić się mogły do oszustwa (fraudu). W raporcie wskazano nawet, że klienci najczęściej w pierwszej kolejności zgłaszają się z reklamacjami i skargami do banków, nawet jeżeli wina nie leżała po ich stronie.

Największe wyzwania będą jednak w tych jurysdykcjach, w których nie ma jasnych – prawnych lub regulacyjnych – standardów w zakresie open bankingu. O ewentualnej odpowiedzialności będzie przesądzał bowiem odpowiednio skonstruowany kontrakt. Pojawia się jednak ryzyko, że TPP może w takiej sytuacji nie być podmiotem regulowanym podlegającym nadzorowi organu publicznego, co może utrudnić egzekucję ewentualnych roszczeń (tutaj warto przypomnieć, że dostawcy usług PIS i AIS obowiązani są do posiadania stosownego ubezpieczenia/gwarancji – więcej w tym artykule).

Udostępnij.

Zostaw komentarz