Jakie wyzwania dla IT niesie za sobą dyrektywa PSD2

Połowa września 2019 roku to początek nowego rozdziału dla polskiej bankowości. Obowiązek uzyskania zgodności z Dyrektywą PSD2 otwiera przed instytucjami finansowymi nowe możliwości, zwiększa konkurencję i rodzi szereg wyzwań. Konieczność dostosowania się do wymogów dyrektywy PSD2 zmieni miejsce banków na rynku. Obszary, które do tej pory były zarezerwowane wyłącznie dla instytucji bankowych, staną się dostępne m.in. dla fintechów, czy sklepów. Innowacje technologiczne, towarzyszące wdrażaniu dyrektywy, pozwolą wypracować nowe usługi i produkty, przy zachowaniu dbałości o interesy klientów.

Grzegorz Abramczyk. Od ponad 10 lat buduje rozwiązania dla klientów. Zaczynał swoją karierę w IBM Polska, a obecnie pracuje w firmie TUATARA na stanowisku Architekta IT. Zajmował się większością elementów wytwarzania oprogramowania – od web developmentu do optymalizacji zapytań, od automatyzacji testów do projektowania w UML, od integracji do przewodzenia zespołowi developerskiemu. Po pracy dzieli czas pomiędzy rodzinę, programowanie i gry RPG.

Co nowego?

Dyrektywa PSD2 zobowiązuje banki do otwarcia się i udostępnienia informacji o rachunkach oraz historii transakcji. Swoje dane i operacje banki muszą udostępnić Małym Instytucjom Płatniczym (MIP), dostawcom świadczącym wyłącznie usługę dostępu do informacji o rachunku i usługodawcom z branży cyfrowej. Wszystkie te firmy nazywane są w terminologii PSD2 Third Party Provider (TPP, z ang. zaufane strony trzecie). Dostęp do tych danych ograniczony jest przez zgodę posiadacza konkretnego rachunku.

Uzyskanie statusu TPP i korzystanie z przysługujących mu uprawnień rysuje nowe perspektywy, zarówno dla urozmaicenia już oferowanych usług, jak i tworzenia całkowicie nowych modeli biznesowych. Istniejące już portfolio może zostać wzbogacone o nowe formy płatności za towary i usługi, przy pominięciu pośredników. Nowy model biznesowy może opierać się na agregacji, analizie i prezentacji danych z wielu banków. Powstały na jego podstawie produkt umożliwia klientowi wgląd w dane ze wszystkich jego rachunków w całkiem innowacyjnej i atrakcyjnej formie – w jednym, przyjaznym dla użytkownika miejscu. To przykład tylko jednego z wielu możliwych modeli, które mają szansę zaistnieć dzięki współpracy banków z TPP.

Przed MIP i innymi firmami, starającymi się wprowadzić nowe typy usług płatniczych i uzyskać status Third Party Provider, stoi nie mało wyzwań.

Zobacz też

B2B Tworzysz oprogramowanie, pracujesz na B2B? Sprawdź, czy opłaci Ci się IP Box - nowa ulga podatkowa

Czas ucieka

Sama dyrektywa PSD2 weszła w życie 13 stycznia 2018. Jednak banki zobowiązane są faktycznie udostępnić TPP dane z rachunków swoich klientów nieco później. Interfejsy do pobierania danych i wyzwalania operacji muszą zostać uruchomione do 14 września 2019.

Zanim to jednak nastąpi, sposób implementacji PSD2 danego banku musi zostać zatwierdzony przez Komisję Nadzoru Finansowego. Aby uzyskać akceptację, bank musi udostępnić TPP dokumentację oraz środowisko testowe na 6 miesięcy przed uruchomieniem produkcyjnym. Dodatkowo ma obowiązek efektywnie testować interfejs z TPP przez co najmniej trzy miesiące, niezwłocznie odpowiadając na ich uwagi i usuwając błędy zgłoszone przez TPP. Oznacza to, że środowiska testowe i dokumentacja muszą być udostępnione już do połowy marca 2019 roku.

Regulacje to za mało

Ramy operowania TPP definiuje szereg regulacji:

• dyrektywa parlamentu europejskiego i rady (UE) 2015/2366, tzw. PSD2;
• rozporządzenia delegowane, przygotowywane przez European Banking Authority (EBA), z których jedno z najistotniejszych dotyczy regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych, bezpiecznych otwartych standardów komunikacji;
• znowelizowana ustawa o usługach płatniczych z dnia 10 maja 2018.

Powyższe dokumenty definiują intencję prawodawcy, prawa i obowiązki stron, a także sugerują lub narzucają pewne standardy. Nie dostarczają jednak ani nie wskazują wprost specyfikacji technicznej determinującej implementację. Oznacza to, że opierając się tylko na regulacjach, każdy bank w Europie mógłby implementować PSD2 na swój własny, unikalny sposób.

Standardy ułatwiające wdrożenie

Taka swoboda wdrożenia dyrektywy przez poszczególne banki stanowiłaby dla TPP niezwykle trudną przeszkodę. Trudno sobie wyobrazić sytuację, w której TPP miałoby integrować się z bankami, z których każdy zastosował zupełnie inną formę implementacji. Aby do podobnych okoliczności nie dopuścić, powstało w Europie kilka inicjatyw standaryzacyjnych, mogących znacznie ułatwić TPP integrację. Co istotne, standaryzacja oznacza również mniejszą pracochłonność przy implementacji po stronie banków oraz potencjalnie łatwiejsze wykazanie zgodności własnej implementacji z wymogami regulacji.

Do najważniejszych standardów europejskich należą:

• opracowany w Wielkiej Brytanii Open Banking,
• NextGenPSD2, autorstwa The Berlin Group,
• francuski standard STET oraz
• przygotowany przez Związek Banków Polskich Polish API.

Ten ostatni rozwijał się dotąd dość dynamicznie. Po raz pierwszy został udostępniony do konsultacji publicznych 17 stycznia 2018. Wersja 1.0 pojawiła się 24 kwietnia 2018, a 9 lipca 2018 weszła modyfikacja oznaczona numerem 2.0. Wersja 2.1 opublikowana została 18 września 2018, a aktualna wersja, 2.1.1, 10 grudnia 2018 roku.

Standardy te skupiają się na aspektach technicznych. Definiują modele danych, przepływy biznesowe i protokoły komunikacyjne.

Oferty pracy z

Uzyskanie statusu TPP

Każda firma, starająca się o status TPP musi zostać zarejestrowana przez uprawniony do tego organ. W Polsce obowiązek ten spoczywa na Komisji Nadzoru Finansowego. Rejestracja nie wymaga uzyskania licencji, a jedynie spełnienia pewnych określonych wymogów i może dotyczyć jednego z kilku rodzajów działalności TPP:

• Account Information Service Provider (AISP) — Dostawca Świadczący Usługę Dostępu do Informacji o Rachunku korzystający z Account Information Services (AIS) – świadczenie usług dostępu do informacji o rachunku;
• Payment Initiation Service Provider (PISP) — Dostawca Świadczący Usługę Inicjowania Transakcji Płatniczej korzystający z Payment Initiation Services (PIS) – świadczenie usług zlecania płatności;
• Payment Instrument Issuer Service Provider (PIISP) — Dostawca Wydający Instrumenty Płatnicze Oparte na Karcie korzystający z Confirmation of Availability of Funds (CAF) – potwierdzanie dostępności środków na koncie.

Co istotne, gdy dany podmiot uzyska status TPP, bank nie może decydować o jego niedopuszczeniu do interfejsu dostępowego PSD2 ani różnicować poziomu udzielonych uprawnień. Przed wejściem w życie regulacji PSD2, uzyskanie dostępu do informacji finansowych klientów wymagało zawarcia umowy z każdym bankiem z osobna. Obecnie zdobycie statusu TPP wyeliminuje całkowicie ten obowiązek.

O ile rejestracja i uzyskanie statusu TPP znacząco ułatwia pozyskanie dostępu do danych bankowych, o tyle sfera techniczna nadal stawia przed TPP liczne wyzwania. Mowa tu o niejednorodności i zmienności standardów, jak również o uwarunkowaniach czasowych.

Niejednorodność

Dostawcy usług płatniczych będą musieli zmierzyć się także z różnorodnym podejściem do implementacji PSD2. Mimo prób ujednolicenia standardów, wciąż istnieje szereg czynników powodujących brak jednorodnego wzorca

Brak obligatoryjnego standardu sprawia, że bank może nie tylko, wybrać dowolny interfejs, ale także zaproponować całkowicie unikalne rozwiązanie w tym zakresie. Jeśli zdecyduje się na istniejący standard, może wybrać z niego wyłącznie odpowiadające mu elementy, a pozostałe w znacznym stopniu interpretować na własny sposób. Jedynie zdolność udowodnienia przed regulatorem zgodności dokonanej implementacji z dyrektywą, rozporządzeniami delegowanymi i ustawą o usługach płatniczych stanowi ograniczenie wolności banków w tym zakresie.

Wyznacznikiem zgodności z PSD2 jest oferowanie w interfejsie dostępowym PSD2 tego samego zakresu danych i funkcjonalności, co w kanale internetowym i mobilnym. Bank posiadający dodatkowe dane czy funkcjonalności będzie miał obowiązek je udostępnić. Może to jednak zrobić w sposób, który odpowiada mu najbardziej. Bank nieposiadający pewnych informacji czy operacji, wystawi względem poprzedniego banku znacznie mniej usług. Pojawią się więc kolejne rozbieżności.

Również niektóre aspekty samych standardów nie zostały w pełni zdefiniowane. Pewne elementy zostały celowo usunięte – przykładowo obszar technicznej rejestracji i onboardingu TPP zostały wyłączone z Polish API. Każdy taki przypadek wymaga osobnych decyzji na etapie wdrożenia.

Co więcej, nawet jeśli Polish API w pełni przyjmie się na polskim rynku, trudno oczekiwać, by zyskał uznanie za granicą. Jeżeli więc TPP rozważają zagraniczną ekspansję, muszą być przygotowane na równoczesną obsługę wielu standardów.

Zobacz też

Polski Ład Ten zawiły Polski Ład - kto zyska, a kto straci? Wywiad z Maciejem Oniszczukiem

Zmienność

Banki zobowiązane są do udostępnienia nowych wersji interfejsów PSD2 na trzy miesiące przed ich wdrożeniem, by dać tym samym TPP czas na ich przetestowanie i zgłoszenie uwag. Jednak to wciąż nie lada wyzwanie, by w tak krótkim czasie dostosować się do zmian. Biorąc pod uwagę liczbę banków na rynku, można też spodziewać się nawet kilku nowych wersji interfejsów wchodzących w życie tygodniowo. Dla TPP zintegrowanych z większą ilością banków oznacza to każdorazowo konieczność dostosowania interfejsów do każdego z nich.

Na generowanie zmian w interfejsach dostępowych PSD2 wpływa kilka czynników. Jednym z nich jest fakt, że TPP mogą wykrywać błędy i sugerować udoskonalenia. Długoterminowo proces ten podniesie jakość i poprawi stabilizację interfejsów, początkowo będzie prawdopodobnie jednak generować dość uciążliwe zmiany.

Także bieżące zmiany, czy to te związane z regulacjami prawnymi, czy z wprowadzeniem nowych produktów, mogą z czasem wymusić na bankach bezwarunkowo udostępnienie nowych funkcjonalności poprzez interfejs PSD2.

Dla TPP mających aspiracje operowania na skalę europejską, mnogość standardów może okazać się dużym utrudnieniem. Ponadto, jeśli jedne standardy zaczną wypierać inne, będzie to wiązało się z dużymi zmianami w interfejsach banków, które postawiły wcześniej na wypierany standard. Łączenie się standardów może natomiast oznaczać jednostkowo mniejsze zmiany, dotykające jednak większą liczbę banków. Ostatecznie wypracowanie wspólnego europejskiego standardu jest mocno pożądane.

Standardy same w sobie także mogą i będą podlegać ewolucji. Polish API zostało początkowo opracowane jako teoretyczna specyfikacja, nieuwzględniająca implementacji referencyjnej. Przechodziło znaczące przeobrażenia na skutek pojawiających się na bieżąco uwag banków, próbujących je zaimplementować. Do tej pory jednak standard ten nie został gruntownie przetestowany przy współpracy z realnym TPP i kontami klientów. Można się zatem spodziewać, że etap testów z TPP przyniesie pierwszą falę korekt, uruchomienie produkcyjne natomiast kolejną. Prawdopodobnie banki początkowo będą korygować wykryte niedoskonałości na własną rękę. Po zebraniu i uspójnieniu doświadczeń, można oczekiwać wypracowania kolejnych wersji standardu, których implementacja ponownie zmieni interfejsy dostępowe banków.

Lokalni i europejscy regulatorzy będą z pewnością uważnie obserwować wdrożenia PSD2 i dopiero na ich podstawie powstaną wnioski i nowe wytyczne dla banków i TPP.

Czas

Dopóki banki nie udostępnią swoich środowisk testowych na potrzeby TPP, integracja pozostaje czystą teorią a sześć miesięcy na testy i integrację to wcale nie tak dużo czasu. Tym bardziej, jeśli TPP chciałoby się integrować ze wszystkimi, czy choćby z większością banków.

W zaistniałych okolicznościach można by wyobrazić sobie dwie główne strategie działania TPP. Część z podmiotów poczeka, aż standardy i zalecenia odnośnie implementacji wyklarują się, i przystąpią do integracji z opóźnieniem. Skorzystają one wtedy z już dostępnej zewnętrznie wiedzy i doświadczeń innych firm, jak również z wypracowanych dotychczas produktów, wspierających ich działania. Strategia ta może być dobrym wyborem dla podmiotów, dla których PSD2 stanowi jedynie wzbogacenie istniejącej funkcjonalności (np. chcących oferować nowy wariant płatności za swoje usługi).

Niektóre firmy zdecydują się na odwrotne działanie – przystąpią do integracji możliwie wcześnie, by od początku zdobyć cenne doświadczenie i opanować skomplikowane procesy integracji z wieloma bankami. Ta strategia może okazać się korzystna dla firm, których produkt oparty jest głównie na PSD2 (takich jak np. agregatorzy kont).

Rys niedalekiej przyszłości

Co prawda dyrektywa PSD2 stwarza szereg nowych możliwości dla organizacji, które uzyskają status TPP, należy się jednak spodziewać, że na początku korzystanie z tego przywileju wymagać będzie umiejętności radzenia sobie ze znacznym stopniem skomplikowania i zmienności.

Z czasem zainteresowane strony będą mogły oczekiwać pojawienia się produktów i usług ułatwiających działanie TPP, takich jak zapowiadany przez KIR — HUB PSD2. Stopniowo, doświadczenia i pogłębiona wiedza, zdobyte przez kolejne firmy wdrażające wytyczne dyrektywy, pozwolą ujednolicić standardy, co zaś znacznie ułatwi wszystkim podmiotom uzyskanie, a następnie dowodzenie zgodności z regulacjami.

Zdjęcie główne artykułu pochodzi z pexels.com.