Komisja Europejska opublikowała dzisiaj standardy techniczne (RTS) do dyrektywy PSD II
„Dzisiaj Komisja Europejska opublikowała treść RTS czyli rozporządzenia delegowanego w sprawie określenia regulacyjnych standardów technicznych w sprawie zasad komunikacji między ASPSP (banki) a tzw. podmiotami trzecimi (TPPs) – Commission Delegated Regulation supplementing Directive 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication. Ten akt prawny to efekt długiego procesu legislacyjnego, który prowadzony był przez European Banking Authority oraz Komisję Europejską. Rozporządzenie delegowane jest aktem wykonawczym do Dyrektywy o usługach płatniczych 2.
Zasada ogólna opublikowanych standardów mówi, że musi być zapewniony dostęp dla podmiotów trzecich, albo przez API (dedykowany dostęp), a jeśli go nie ma – to poprzez interfejs, z którego korzysta konsument logując się do e-bankowości. Jeśli API nie działa to TPP może logować się przez interfejs konsumencki. Możliwość tę można wyłączyć jeśli bank używa sprawdzonego zatwierdzonego przez nadzór API.” – mówi szef przedstawicielstwa ZBP w Brukseli.
Poniżej dyrektor Piotr Gałązka na naszą prośbę w punktach omawia najważniejsze fragmenty uchwalonych RTS:
Podstawowa zasada: bank ma obowiązek zapewnić albo interfejs dedykowany albo umożliwić dostęp przez interfejs konsumencki (art. 31 RTS).
Dokumentacja techniczna interfejsu będzie zapewniona i udostępniona na rzecz TPPs co najmniej 6 miesięcy wcześniej. Zmiany w dokumentacji (z wyjątkiem sytuacji nadzwyczajnych) będą udostępniane co najmniej 3 miesiące wcześniej. Ponadto bank jest zobowiązany stworzyć środowisko testowe interfejsu dostępne nieodpłatnie dla TPPs dostępne co najmniej 6 miesięcy wcześniej.
Obowiązki banku w zakresie dedykowanego interfejsu (art. 32):
– zapewnienie tego samego poziomu dostępności i funkcjonalności, w tym wsparcia, jak w przypadku interfejsu konsumenckiego.
– określenie transparentnych key performance indicators interfejsu i określenie poziomu usług tak samo wysokich jak w przypadku interfejsu konsumenckiego (obowiązek monitorowania i stress-testów przez nadzorcę).
– zakaz utrudnień dla wykonywania usług AIS i PIS poprzez w szczególności: uniemożliwianie korzystania przez TPP z loginów i haseł PSU, wprowadzanie obowiązku redirection, wymaganie dodatkowej autoryzacji lub obowiązku rejestracji innych niż określonych w art. 11(zezwolenia), 14 (rejestracja) i 15 (rejestr EBA) Dyrektywy PSD2.
RTS określa także środki zaradcze w przypadku niedostępności dedykowanego interfejsu dla podmiotów trzecich:
– nieplanowana niedostępność interfejsu ma miejsce wg RTS gdy pięć następujących po sobie żądań dostępu do informacji bądź zainicjowania płatności w ciągu 30 sekund nie znajdują odpowiedzi po stronie dedykowanego interfejsu
– bank musi zapewnić opis natychmiast dostępnych alternatywnych opcji działania dla TPPs
– w ramach środków zaradczych TPPs mają prawo korzystać z interfejsu konsumenckiego w przypadku niedostępności interfejsu dedykowanego
– bank ma obowiązek zapewnić możliwość identyfikacji i autoryzacji przez TPPs przy dostępie via interfejs konsumencki
– korzystając z interfejsu konsumenckiego, TPPs mają obowiązek: (i) podjąć środki zapewniające że nie będą przetwarzać, mieć dostępu ani przechowywać danych dla celów innych niż wykonanie usługi płatniczej zgodnie z żądaniem PSU; (ii) wypełniać obowiązki z art. 66(3) i 67(2) Dyrektywy PSD2 (m.in. zakaz przetrzymywania środków, nakaz działania zgodnego ze zgodą PSU etc.); (iii) zapisywać logi danych uzyskanych via interfejs konsumencki i na żądanie przekazać logi nadzorcy; (iv) prawidłowo uzasadnić potrzebę korzystania z interfejsu konsumenckiego nadzorcy; (v) poinformować odpowiednio bank o tej potrzebie.
Istnieje możliwość wyłączenie obowiązku udostępniania przez bank dostępu przez interfejs konsumencki na rzecz podmiotów trzecich:
– KNF po konsultacji z EBA wyłączy możliwość korzystania z dostępu konsumenckiego przez TPPs jeśli dostęp dedykowany spełnia określone wymogi:
- dostęp spełnia wymogi określone w RTS
- dostęp został zaprojektowany i przetestowany zgodne z art. 30(5) (tj. 6-miesięcy okres próbny)
- jest szeroko używany przez co najmniej 3 miesiące przez TPPs
- jakikolwiek problem związany z dostępem był zawsze rozwiązywany bez zbędnej zwłoki
– KNF może cofnąć ww. wyłączenie jeśli przez okres co najmniej dwóch tygodni następujących po sobie dostęp nie spełnia wymogów z RTS albo problemy z nim związane nie są niezwłocznie rozwiązywane