Bezpieczeństwo usług opartych o otwarte interfejsy programistyczne (API) w kontekście implementacji Dyrektywy PSD 2

Za zgodą dr. Miłosza Brakonieckiego z Obserwatorium.biz przedstawiamy główne rekomendacje dla banków sformułowane w ramach raportu „Bezpieczeństwo usług opartych o otwarte interfejsy programistyczne (API) w kontekście implementacji Dyrektywy PSD 2”:

1.Określone podmioty (ASPSP, TPP, PSP) w wyniku pogłębionej analizy ryzyka powinny zwrócić uwagę na specyficzne wewnętrzne uwarunkowania organizacyjne, które pozwolą na wypracowanie szczegółowej listy ryzyk wraz z oszacowaniem prawdopodobieństwa ich materializacji oraz doborem konkretnych zabezpieczeń. Stworzenie i bieżąca aktualizacja  takiej polityki zarządzania ryzykiem na poziomie każdej z instytucji jest niezbędna dla efektywnego i bezpiecznego funkcjonowania ekosystemu finansów cyfrowych w przyszłości.

2. Niezbędna jest współpraca sektorowa, w której środowisko bankowe ściśle współpracuje z podmiotami trzecimi na rzecz rozwoju rynku w zakresie legislacji, zarządzania ryzykiem, w tym cyberbezpieczeństwem oraz komunikacją do klientów.

3. Potrzebne jest wypracowanie i uspójnienie jednego standardu komunikacji z konsumentami na rynku, w tym jednolitego nazewnictwa podmiotów uczestniczących na rynku oraz nowych procesów biznesowych związanych z pobieraniem danych i inicjowaniem transakcji przez podmioty trzecie.

4. Rekomenduje się również wypracowanie na poziomie lokalnym rejestru i baz wszystkich dokumentów związanych z aspektami rejestracji, autoryzacji, licencjonowania dostawców usług płatniczych, który dodatkowo będzie na bieżąco aktualizowany. Wypracowanie jednego źródła procedur i standardów.

5. Samo wdrożenie dyrektywy PSD2 stanowi jedynie punkt wyjścia dla potencjalnych zmian na rynku szeroko pojętych cyfrowych finansów, zarówno w Polsce, jak i na całym obszarze geograficznym obowiązywania Dyrektywy. Rozwój rynku wynikającego z wdrożenia dyrektywy PSD2 w znacznej mierze będzie wynikał z realnych wdrożeń biznesowych poszczególnych graczy – tak banków, jak i TPP, ergonomii i bezpieczeństwa plasowanych na rynku nowych i rozwijanych aplikacji.

Już teraz wiadomo jednak, że dyrektywa ma szansę spowodować:

a. Zwiększenie konkurencyjności rynku w kontekście wejścia graczy z sektora pozafinansowego oraz zwiększenia puli dostępnych narzędzi w rywalizacji między samymi bankami na bardzo istotnym polu cyfrowych finansów;

b. Koncentrację na walce o rolę finansowej „aplikacji wiodącej” dla klienta końcowego, w której będą mogły dzięki mechanizmom PSD2 uczestniczyć podmioty pozabankowe (FinTechy, Merchanci (Stacje paliw, supermarkety itd.);

c. Zwiększenie wagi biznesowych i wizerunkowych konsekwencji kompromitacji danych. Kompromitacja po stronie podmiotów trzecich jak TPP może negatywnie odbić się również na samych bankach;

d. Zmniejszenie przychodów z bieżącej działalności banków – dalsze ograniczenie marży na biznesie płatniczym oraz spadek dochodów np. z kredytów, gdy dzięki wykorzystaniu mechanizmów PSD2 do weryfikacji zdolności kredytowej, część biznesu przejdzie do podmiotów trzecich;

e. Wykorzystanie popularności bankowości elektronicznej do rozwoju innych obszarów gospodarki oraz administracji publicznej, które dzięki mechanizmom PSD2 będą mogły być bardziej wydajnie scyfryzowane.