PSD2: Co nás čeká a nemine v roce 2019

Od 13. ledna loňského roku platí v České republice nový zákon o platebním styku, obsahující transpozici PSD2 směrnice EU nařizující poskytovatelům platebních služeb vedoucích účet (PPS) mimo jiné otevřít přístup ke svým službám třetím stranám (TPP). Reálné vystavení těchto rozhraní a nabídka na ně navázaných uživatelských aplikací třetích stran se pomalu, ale jistě začíná objevovat společně s opatrnými vyjádřeními regulátorů k pravidlům hry tohoto nového byznysu.

Bez ohledu na aktuální stav implementací se nezadržitelně blíží i termín platnosti dalšího důležitého nařízení, a to regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (dále jen „RTS k SCA“) coby jedné z regulačních technických norem k směrnici samotné. Ta začne platit ve všech státech EEA od 14. 9. 2019 přesto, že se kolem ní vedou stále velmi živé diskuse a vychází velké množství vyjádření jak z EU, tak od lokálních regulátorů, asociací a zájmových skupin.

Mimo samotnou směrnici a RTS je třeba brát v potaz různé „Opinion a Consultation papery“ společně s „Guidelines“ od Evropského orgánu pro bankovnictví (dále jen „EBA“), více či méně závazná vyjádření lokálních regulátorů a asociací nebo nově vznikajících zájmových skupin, jako je například API Evaluation Group. Banky se zahraniční účastí budou muset zřejmě řešit i vztah k Berlin standardu pro vystavená API coby ekvivalentu lokálního, tzv. českého standardu pro open banking (dále jen „ČOBS API Standard“), ke kterému se většina tuzemských bank, byť neformálně, přihlásila a který se bude také upravovat.

Část bank již dopady aktivně řeší a část „takticky“ vyčkává, až se dovyjasní poměrně nepřehledné požadavky, vyjdou finální verze závazných dokumentů a k nim konkrétnější vyjádření regulátorů.

Nicméně některé dopady jsou už dnes v podstatě jisté a nevyhne se jim žádný poskytovatel platebních služeb. Z těch hlavních jsou to například:

  • Rozšíření rozhraní pro zadávání platebních příkazů (dále jen „PISP služby“) o další typy plateb jako trvalé, hromadné a v některých dokumentech zmiňovaná inkasa. To s sebou samozřejmě nese další otázky k rozšíření o možnosti rušení a změn trvalých plateb a inkas, případně i k adekvátnímu rozšíření možnosti sledovat své výpisy z účtu prostřednictvím aplikací vyvinutých autorizovanými třetími stranami (dále jen „AISP služby“) o informace typu zadaná inkasa a trvalé příkazy.
  • Povinnost vystavit tzv. nouzový mechanismus pro třetí strany, nebo případné vyřízení výjimky z této povinnosti. RTS k SCA a k němu vydaný „Consultation paper“ celkem jasně popisují podmínky, které musí vyhrazené rozhraní pro přístup třetích stran splňovat, mimo jiné včetně povinnosti vystavit tzv. nouzový mechanismus pro případný výpadek vyhrazeného rozhraní, ale současně povoluje vyřízení výjimky z této povinnosti, o což se většina poskytovatelů vzhledem k vysokým nákladům zcela jistě pokusí.
  • Revize bezpečnosti a případné úpravy všech elektronických kanálů poskytovatelů platebních služeb. Zjednodušeně řečeno banky musí ověřit všechny bezpečnostní metody použité v elektronických kanálech platebního styku a informování o účtu, zda odpovídají poměrně přísným požadavkům na SCA.
  • Sladění smluv sjednaných mezi poskytovatelem služby a jejím uživatelem a klíčové ukazatele výkonnosti (dále jen „SLA a KPI“) pro jednotlivé elektronické kanály. Stávající SLA a KPI kanálů, které banky nabízí svým zákazníkům, musí sladit s nově vzniklým Vyhrazeným rozhraním pro přístup přes třetí strany, tak aby ho nijak neznevýhodňovaly.
  • Zavedení nebo úpravy reportingu, monitoringu a publikace jejich výstupů. RTS a další dokumenty EBA popisují požadavky na jednotlivé typy reportingu o provozu, incidentech, statistikách a fraudulentním jednání jak na Vyhrazeném rozhraní, tak v porovnání s ostatními kanály. Stejně tak i požadavky na monitoring výkonu a dostupnosti včetně publikace výstupů.
  • Zavedení nebo úpravy prováděných auditů. Společně s možností udělování výjimek z SCA vyjmenovaných v RTS k SCA plyne i povinnost auditovat nastavení a provoz Vyhrazeného rozhraní v porovnání s ostatními kanály, popřípadě ověřovat správnost výpočtu míry podvodů a dalších parametrů.
  • Samostatnou kapitolou pak zůstává splnění nové normy v oblasti platebních karet, kterou budou muset banky řešit ve spolupráci s karetními asociacemi.

Co z toho všeho plyne? Je evidentní, že aktuálně neexistuje fixní a dostatečně konkrétní seznam změn, který by banky mohly jednoduše vzít a realizovat bez rizika zbytečně vynaložených nákladů. O to větší důraz by tak měly věnovat přípravě, mapování jednotlivých dopadů a návrhu variant jejich budoucího řešení. Plus se samozřejmě aktivně zapojit do diskusí k požadovaným změnám a standardům, ať již na úrovni České bankovní asociace/EBA nebo ve vyjasňování pravidel přímo s Českou národní bankou.

Kontaktujte nás

Na váš byznys se dokážeme podívat z jiné perspektivy. Proto můžeme přijít i na nová řešení, která dokážeme jasně popsat, rozpracovat a navrhnout jejich technickou realizaci. Originální nápad je totiž na začátku každého dobrého byznysu. Díky zkušenostem rychle poznáme, v čem chcete a potřebujete pomoci.

Domníváte se, že jsme porušili etická pravidla?
Dejte nám vědět.