Czy nasze bankowe loginy i hasła będą dostępne dla wszystkich?

Europejska dyrektywa PSD II daje możliwość dostępu do rachunków bankowych klientów tak zwanym podmiotom trzecim, które uzyskają odpowiedni status np. firmom telekomunikacyjnym, różnego rodzaju portalom, dostawcom wielu usług. Każdy bank, czy też instytucja płatnicza, prowadząca rachunki płatnicze klienta, będzie miała obowiązek umożliwienia dostępu do informacji o rachunku uprawnionym podmiotom trzecim, a także umożliwienia im zlecania płatności z tego rachunku. Jednak za każdym razem zgodę na taki dostęp będzie musiała wyrazić osoba uprawniona do korzystania z  danego rachunku płatniczego.

Podmioty trzecie – czyli kto?

Kim będą te podmioty trzecie w przyszłości, trudno jest w tej chwili przewidzieć – zauważa rozmówca aleBank.pl.

– To może być każdy podmiot, który będzie chciał zaoferować wybrane usługi, np. polegające na analizie rachunku klienta i doradzaniu mu, jak inaczej może zarządzać swoim rachunkiem płatniczym. Będą to podmioty, które mają relacje z danym klientem, i w swoim procesie biznesowym potrzebują wiarygodnych informacji o tym, co się na rachunku płatniczym tego klienta dzieje – wylicza ekspert KIR.

Kluczowym celem prac organów UE było ułatwienie  klientom dostępu do danych dotyczących rachunków płatniczych w różnych bankach. Aby w jednym miejscu, np. w aplikacji na telefonie klient mógł sprawdzić stan środków na wszystkich swoich rachunkach.

– I, po uzyskaniu naszej zgody, tę samą wiedzę miałby podmiot trzeci – konkluduje Krzysztof Pycia.

Potrzebny jeden standard dla wszystkich banków

Teoretycznie każda instytucja płatnicza może samodzielnie wdrożyć system dostępu podmiotów trzecich do konta klienta, posługując się wytycznymi wynikającymi z dyrektywy PSD II. Jednak zdaniem eksperta KIR, najrozsądniejszym rozwiązaniem jest stworzenie wspólnego standardu dla wszystkich działających w Polsce banków, w tym banków spółdzielczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych SKOK. Tym standardem, który proponuje wprowadzić Związek Banków Polskich, jest właśnie Polish API.

– Wdrożenie jednego standardu będzie tańsze, prostsze i bardziej efektywne niż tworzenie przez każdą instytucję własnych rozwiązań. Jeden standard ułatwi rozwój rynku, upraszczając dostęp podmiotów trzecich do rachunków klientów, a z drugiej strony zwiększając bezpieczeństwo klientów – wyjaśnia Krzysztof Pycia.

Wspólne rozwiązanie opracowane jako propozycja sektora ma charakter win-win. To sytuacja, w której korzyści odnoszą wszyscy. Rynek może się rozwijać w oparciu o najlepsze praktyki   bez potrzeby samodzielnego tworzenia i wdrażania własnych API.

Również w  sytuacji gdy podmiotem trzecim będzie inny podmiot niż bank, bezpieczeństwo dostępu do środków klienta na jego rachunku zostanie zachowane na dotychczasowym wysokim poziomie.

– Dostęp podmiotów trzecich do rachunku na podstawie uproszczonych procedur –  choć pamiętajmy, że uzyskiwany zawsze za zgodą klienta – rodzi pytania o bezpieczeństwo zgromadzonych tam środków. Kluczową kwestią będzie zatem wysoki poziom świadomości potencjalnych zagrożeń po stronie klienta – zwraca uwagę ekspert KIR.

Wszyscy chcą naszego loginu i hasła

Część Fintechów, czyli firm technologicznych funkcjonujących w szeroko rozumianym obszarze finansów,  chciałoby – jako podmioty trzecie – mieć prosty dostęp do kont klientów, znając ich loginy i hasła.

Dzisiaj dane wykorzystywane do logowania w bankowości elektronicznej są elementem bezpieczeństwa klienta banku, otwierają bowiem dostęp do naszego rachunku. W regulaminach banków w Polsce, a także w innych krajach są zapisy, które zabraniają udostępniania tego typu wrażliwych danych.

– Jeśli ten rynek nowych usług odniesie sukces, to może się okazać, że tysiące firm będzie chciało być podmiotami trzecimi – zauważa Krzysztof Pycia.

I dodaje, że jeżeli przyjmie się, że możemy swobodnie podawać swoje loginy i hasła tysiącom podmiotów, to w praktyce będzie oznaczało, że te dane są powszechnie znane. – Jak w tej sytuacji zagwarantować bezpieczeństwo klientów? – pyta retorycznie ekspert KIR.

Polish API zwiększy bezpieczeństwo klientów…

I właśnie dlatego projekt Polish API jest tak ważną inicjatywą. Przyjęto w nim założenie, że zgoda dla podmiotu trzeciego na dostęp do naszego rachunku będzie się odbywała na dotychczasowych zasadach, czyli tak jak w pay-by-linkach, a więc zawsze w środowisku bankowym.

– To rozwiązanie nie tylko zwiększa bezpieczeństwo klientów, ale także sprzyja rozwojowi konkurencji. Bo wyobraźmy sobie, jak zareagujemy jeśli  mała, jeszcze nieznana firma, poprosi o dane do logowania. Wiadomo, że tylko znikoma liczba osób udostępni swoje dane takiej firmie. Świadomi klienci wiedzą, że jest to ryzykowne. Ale jeśli o to samo poproszą największe na świecie koncerny, to można założyć, że znacznie więcej klientów udostępni swoje loginy i hasła – tłumaczy Krzysztof Pycia.

I zauważa, że takie rozwiązanie faworyzowałoby największe i dobrze rozpoznawalne podmioty trzecie.

…i zapewni wszystkim podmiotom równy dostęp do rynku

Jeśli z zasady wszystkie podmioty trzecie będą przekierowywane na stronę banku lub do bankowej aplikacji mobilnej, rynkowe szanse będą zrównoważone, bo  to, czy pomiot świadczący daną usługę jest duży czy mały, znany czy nieznany nie będzie już tak istotne.

– Dzięki temu swoją autoryzację jako klient będę realizował w banku, w bezpiecznym i zaufanym środowisku. To gwarantuje, że dane logowania nadal będą istotną  częścią systemu bezpieczeństwa naszych rachunków – podkreśla Krzysztof Pycia, ekspert obszaru usług kartowych i internetowych w Krajowej Izbie Rozliczeniowej.

W tej chwili dyrektywa PSD II jest implementowana do prawa polskiego, czyli do ustawy o usługach płatniczych. Natomiast otwarcia rynku dla podmiotów trzecich, zgodnie z harmonogramem prac legislacyjnych w UE, można się spodziewać w 2019 roku.

Materiał wideo dostępny na kanale youtube

Robert Lidke