Otwarta bankowość i wykorzystanie API na świecie − w ocenie Banku Rozliczeń Międzynarodowych

Z drugiej strony pojawienie się tzw. Third Party Providers (TPP) może tworzyć nowe ryzyka, np. data leaks.

Tematyce tej przyjrzał się Bank Rozliczeń Międzynarodowych (BIS), który opublikował nowy raport – „Report on open banking and application programming interfaces„, w którym przeanalizowane zostały implikacje dla banków, jak i dla regulatorów, związane z pojawieniem się open bankingu.

W Raporcie znajdziemy kilka kluczowych wniosków na temat rozwoju open banking, które mogą stanowić punkt wyjścia dla dalszych działań.

Koniec tradycyjnej bankowości?

Autorzy Raportu nie postawili takiej tezy, ale wskazują wyraźnie, że tradycyjna bankowość – tutaj należy to podkreślić – detaliczna ewoluuje w kierunku bankowości otwartej.

Ma to oczywiście związek z możliwością wykorzystania nowych technologii do szybszej i efektywniejszej analizy dużych zbiorów danych, płatności cyfrowych czy po prostu zwiększeniem odczuć użytkowników (UX).

Koncepcja open bankingu zyskuje na popularności, co zauważalne jest również w tych jurysdykcjach, które „pokrywa” BIS.

Różne etapy rozwoju

Nie jest jednak tak, że wszędzie open banking jest na zaawansowanym poziomie, co ma związek zasadniczo z trzema podejściami, które zidentyfikowali eksperci Banku:

− prawne zobowiązanie banków do otwarcia (UE oraz pakiet PSD2);

− „miękkie” instrumenty, np. wytyczne i rekomendacje, którym towarzyszą standardy API (Hong Kong, Singapur czy Korea Płd);

− market-driven, czyli nakierowane na rozwijanie otwartej bankowości przez sam rynek (samoregulacja) – tutaj dobrym przykładem są Stany Zjednoczone.

Generalnie jednak BIS wskazuje, że open banking jest na wczesnym etapie rozwoju w większości jurysdykcji. Jest to pochodną m.in. tego, że otwarta bankowość może przynieść wiele korzyści, ale jednocześnie rodzi wiele zagrożeń, w szczególności w kontekście dostępu i przetwarzania wrażliwych danych klientów.

Dlatego tak bardzo istotne jest znalezienie odpowiedniej równowagi pomiędzy dostępem a bezpieczeństwem klientów (i ich danych). Co ciekawe, to w raporcie podkreślono, że nadal nie jest jasne czy wprowadzenie „przymusowego” open bankingu pokrywa lub pokryje się z oczekiwaniami klientów oraz rozwojem rynku.

Tutaj warto również podkreślić, że w Raporcie wskazano na fakt, że w wielu jurysdykcjach otwarciu bankowości towarzyszy lub towarzyszyć będzie zmiana w prawie ochrony danych osobowych, w szczególności jeżeli dostęp do danych będzie szeroki.

Podkreślono również, że niektóre jurysdykcje mają bardzo restrykcyjne zasady w tym obszarze, co może blokować rozwój open bankingu.

Koordynacja i współpraca

Ważna będzie koordynacja i współpraca pomiędzy organami, które odpowiadają za ochronę klientów. Nie chodzi tutaj tylko o kwestie regulacyjne dla sektora finansowego, ale również o ochronę danych osobowych czy ochronę konsumentów. Taka koordynacja powinna umożliwić bardziej efektywne wykrywanie luk i ich „łatanie”.

A jakie wyzwania?

No właśnie. Chociaż open banking ma wiele do zaoferowania, w szczególności w kontekście financial inclusion, to rodzi też wiele zagrożeń, nie tylko dla klientów sektora, ale również całego systemu.

Choć na tą chwilę międzynarodowego organizacje nie dostrzegają ryzyka systemowego w tym obszarze.

Dużym wyzwaniem dla banków będzie dostosowanie się do nowych modeli biznesowych i konkurencji, która wydaje się „nieco” bardziej elastyczna (agile’owa) niż banki, które muszą mierzyć się z tzw. legacy systems.

Open banking niejako wymusza transformację cyfrową, w tym kulturową, która pozwoli na zatrzymanie klientów i oferowaniem im lepszych, nowocześniejszych i tańszych produktów i usług.

To także konieczność dostosowania tych systemów do zmieniającego się otoczenia, w tym w zakresie cyberbezpieczeństwa, co ma szczególne znaczenie w kontekście użycia Application Programming Interfaces (APIs).

Wyzwaniem będzie również stworzenie takich rozwiązań, które z jednej strony będą bezpieczne, a z drugiej nie wydłużą nadmiernie tzw. customer journey.

Samo utworzenie API to również koszty i czas, którego bankom może zacząć brakować.

Co z odpowiedzialnością?

Tematyka konsekwencji prawnych tzw. data leaks po stronie Third Party Providers została również wyeksponowana w raporcie BIS. Eksperci Banku zwrócili uwagę, że kwestia pokrycia odpowiedzialności i sposobu uzyskania ewentualnego odszkodowania przez klientów ma istotne znaczenie i powinna znaleźć odzwierciedlenie w prawie i regulacjach oraz oczywiście ich efektywności.

Tym bardziej, że – co potwierdza Raport – ryzyko reputacyjne najczęściej materializuje się po stronie banków, a nie TPP, które przyczynić się mogły do oszustwa (fraudu).

W Raporcie wskazano nawet, że klienci najczęściej w pierwszej kolejności zgłaszają się z reklamacjami i skargami do banków, nawet jeżeli wina nie leżała po ich stronie.

Największe wyzwania będą jednak w tych jurysdykcjach, w których nie ma jasnych – prawnych lub regulacyjnych – standardów w zakresie open bankingu. O ewentualnej odpowiedzialności będzie przesądzał bowiem odpowiednio skonstruowany kontrakt. Pojawia się jednak ryzyko, że TPP może w takiej sytuacji nie być podmiotem regulowanym, podlegającym nadzorowi organu publicznego, co może utrudnić egzekucję ewentualnych roszczeń.

Warto przypomnieć, że dostawcy usług PIS i AIS obowiązani są do posiadania stosownego ubezpieczenia/gwarancji.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,

Counsel w Citi Handlowy, założyciel www.finregtech.pl

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.