Forum Usług Płatniczych: otwarta bankowość już nadeszła – czy chronicie swoich klientów przed ryzykiem oszustwa?

– Miałem przyjemność wypowiadać się na imprezach Związku Banków Polskich w ciągu ostatnich kilku lat, omawiając otwartą bankowość i to, co ma nadejść. Jednak dzisiaj nie chodzi o to, „co nadejdzie”, ale raczej o to, „co jest teraz” – rok od momentu, gdy dyrektywa PSD2 Access-to-accounts, obecnie częściej określana mianem otwartej bankowości, zaczęła obowiązywać w całym Europejskim Obszarze Gospodarczym – powiedział na wstępie swojej prezentacji Brendan Jones.

410 organizacji jest regulowanych jako dostawcy zewnętrzni

Przypomniał, że  otwarta bankowość jest już rzeczywistością. Rozporządzenie unijne weszło w życie 14 września 2019 r. i zobowiązuje wszystkie instytucje finansowe w całym Europejskim Obszarze Gospodarczym do wdrożenia dedykowanych interfejsów, dzięki którym regulowany dostawca zewnętrzny, za wyraźną zgodą użytkownika usług płatniczych, może uzyskać dostęp do rachunków płatniczych konsumenta w celu uzyskania dostępu do danych lub wykonania transakcji płatniczej.

– Co jest naprawdę uderzające to fakt, że od września 2020 r., rok po wejściu rozporządzenia w życie, w sumie 410 organizacji jest regulowanych jako dostawcy zewnętrzni, a niektóre kraje mogą nie mieć wielu lub żadnych stron trzecich podlegających obecnie ich jurysdykcji.

Kraje EOG łącznie mają 85 regulowanych stron trzecich upoważnionych do świadczenia usług w ramach ich jurysdykcji na podstawie europejskiego prawa paszportyzacji – mówił dyrektor handlowy firmy Konsentus.

110 dostawców zewnętrznych może oferować swoje usługi w Polsce

Zauważył, że sześć miesięcy temu Polska miała tylko 2 zewnętrznych dostawców zarejestrowanych w kraju, a obecnie liczba ta wynosi 10, co plasuje ją w pierwszej dziesiątce krajów w całym EOG.

Jeśli chodzi o paszportowanie w usługach (tj. zewnętrzni dostawcy, którzy uzyskali paszportyzację), liczby rosną w znacznie szybszym tempie.

Istnieje 110 dostawców zewnętrznych, którzy mogą paszportować swoje usługi do Polski, więc jeśli dodamy do tego zewnętrznych dostawców regulowanych przepisami krajowymi, daje to łączną liczbę 120 dlaPolski.  

-Jednakże należy pamiętać, że liczby te nie obejmują instytucji kredytowych, tj. banków działających w charakterze zewnętrznych dostawców – stwierdził.

Open banking w Europie rozpoczął się w Wielkiej Brytanii

Odnosząc się do Wielkiej Brytanii przypomniał, że jako pierwsza rozpoczęła etap otwartej bankowości. Wdrożyła ją 18 miesięcy przed resztą Europy, głównie w oparciu o działania rządu Wielkiej Brytanii.

4% populacji w Wielkiej Brytanii korzysta obecnie z usług otwartej bankowości

9 największych banków w Wielkiej Brytanii jest zobowiązanych do comiesięcznego raportowania liczby pomyślnie przetworzonych transakcji w zakresie otwartej bankowości.  

Większość tych transakcji to wezwania do obsługi informacji o koncie (ok. 99,9%), ponieważ obecnie liczba transakcji PISP jest ograniczona. Jednak w nadchodzących miesiącach liczba ta znacznie wzrośnie, gdy na rynku brytyjskim pojawią się nowe usługi inicjowania płatności.

-Z momentu startowego zera transakcji w styczniu 2018 r. kiedy uruchomiono otwartą bankowość, otwarta bankowość w Wielkiej Brytanii wzrosła do 534,6 mln transakcji zgłoszonych w sierpniu 2020 r. w przypadku 9 największych banków – mówił podczas swoje prezentacji.

Poinformował również, że 4% populacji w Wielkiej Brytanii korzysta obecnie z usług otwartej bankowości. A wszystkie te liczby stale rosną z miesiąca na miesiąc.

Jak banki wykorzystują otwartą bankowość?

Jak zauważył  wiele banków dostrzega strategiczne możliwości otwartej bankowości i podał przykłady niektórych usług przez nie uruchamianych Są to:

• Pozyskiwanie klientów poprzez nowe produkty i usługi cyfrowe, czasami we współpracy z fintechami.
• Personalizacja produktów poprzez wgląd w zachowania klientów, a także ich preferencje.
• Tworzenie rynków internetowych zapewniających klientom dostęp do „platformy usługowej” zintegrowanej z ich kontem bankowym, oferującej usługi organizacji partnerskich.
• Nowe kanały płatności, ponieważ płatności bankowe w czasie rzeczywistym stają się rzeczywistością, która stanowi wyzwanie dla tradycyjnych transakcji kartowych.
• W Wielkiej Brytanii udzielanie pożyczek staje się popularne wśród banków, które obecnie przyjmują wnioski i przetwarzają wnioski o pożyczkę w czasie rzeczywistym, online, aby lepiej obsługiwać klientów.

Open banking i zagrożenia, które rodzi

Jednak, jak przyznaje gość Forum Usług Płatniczych otwarta bankowość wiąże się również z nowymi zagrożeniami, ponieważ instytucje finansowe wdrażają interfejsy i API otwartej bankowości.

Instytucja finansowa nie ma już kontroli nad danymi klientów. Rozporządzenie wymaga, aby instytucja finansowa zezwoliła na dostęp upoważnionych dostawców zewnętrznych do rachunków za wyraźną zgodą klientów.

Obowiązkiem instytucji finansowej jest ustalenie legalności dostawcy będącego stroną trzecią

Instytucje finansowe muszą określić, kto jest prawowitą stroną trzecią, zanim zezwolą na dostęp do rachunków klientów. Weryfikacja dostawców zewnętrznych i zapobieganie oszustwom są podstawowymi elementami otwartej bankowości.

Ponadto, jak mówi Brendan Jones, ryzyko otwartej bankowości obejmuje:

• utratę kontroli danych – banki będą wchodzić w interakcje ze stronami trzecimi bez pełnego zrozumienia ich środków bezpieczeństwa.
• Może dojść do utraty lub kradzieży danych osobowych, co może doprowadzić do naruszenia ochrony danych, prania pieniędzy. Co gorsza, może do doprowadzić do możliwości finansowania terrorystów.
• Istnieją dane o dużej wartości – atakujący traktują salda i dane transakcji bankowych jako informacje o dużej wartości
• Kolejnym problemem jest ryzyko nieuczciwych transakcji. Istnieje niebezpieczeństwo, że osoby korzystające z Open API będą mogły dokonywać nieautoryzowanych płatności od klientów banku. W takim przypadku bank może ponieść straty finansowe na każdej dokonanej transakcji.
• Zgodność z RODO i PSD2 jest oczywiście najważniejsza dla wszystkich.
• Klienci mogą żądać odszkodowania od banków, jeśli doszło do naruszenia danych lub nieautoryzowanych transakcji płatniczych.
• Oprócz strat finansowych może ucierpieć również reputacja banków. W efekcie może to bezpośrednio wpłynąć na liczbę klientów i partnerów chętnych do współpracy.

Gość Forum Usług Płatniczych podkreśla:

– Obowiązkiem instytucji finansowej jest ustalenie legalności dostawcy będącego stroną trzecią (tj. jego tożsamości i aktualnego statusu regulacyjnego)

Problem z ustaleniem kto jest kim

Aby to zrobić, instytucje finansowe muszą zadać sobie dwa proste pytania za każdym razem gdy strona trzecia próbuje uzyskać dostęp do konta klienta:

• Pierwsze pytanie to: kim jesteś?
• Drugie pytanie to: czy jesteś upoważniony do świadczenia usług, dla których próbujesz uzyskać dostęp do konta?

Instytucje finansowe muszą się bronić przed oszustwami, ryzykiem i stratami związanymi z otwartą bankowością – w interesie banku i jego klientów

Bardzo proste pytania, które można zadać, ale bardzo trudno jest udzielić na nie odpowiedzi w obecnej gospodarce API w czasie rzeczywistym, co powoduje problemy regulacyjne ze względu na liczbę źródeł danych, do których należy uzyskać dostęp w czasie rzeczywistym online, a także wiąże się to z poważnymi problemami operacyjnymi, ponieważ instytucje finansowe nie wiedzą, kto się z nimi komunikuje.

Brendan Jones zwraca uwagę na fakt, że w ramach europejskiego prawa paszportyzacji strony trzecie mogą i będą podlegać regulacjom właściwych organów krajowych innych krajów, i że nie ma jednego centralnego rejestru, który zapewniałby kontrolę tożsamości i kontrolę regulacyjną.

– Otwarta bankowość stwarza dla instytucji finansowych nowe możliwości, ale także zagrożenia. Instytucje finansowe muszą się bronić przed oszustwami, ryzykiem i stratami związanymi z otwartą bankowością – w interesie banku i jego klientów.

Wszystkie strony muszą współpracować, aby stworzyć bezpieczny ekosystem otwartej bankowości, budujący zaufanie do open bankingu- tak podsumował swoją prezentację  Brendan Jones, gość Forum Usług Płatniczych.