PSD2: kto poniesie odpowiedzialność za grzechy fintechów?

PSD2: kto poniesie odpowiedzialność za grzechy fintechów?
Debata MF BANK
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Otwarcie rynku płatniczego wskutek wejścia w życie dyrektywy PSD2 generuje rozliczne wyzwania dla tradycyjnych instytucji finansowych. Możliwość skorzystania z bankowego API przez podmioty trzecie, pozostające poza restrykcyjnymi regulacjami, stanowić może okazję dla doskonale zorganizowanych grup cyberprzestępców. Czy cała odpowiedzialność za ewentualne szkody spadnie na tradycyjne banki?

#JacekSkorupka: Problemem będzie zbudowanie mechanizmów, które pozwolą w jednoznaczny sposób wykazać, że za wyciek nie odpowiada bank #ZBP #SocieteGenerale #Fortinet @IdeaBankSA @MiesiecznikBANK @MiesiecznikBANK @BOS__Bank @uknf

Kwestia ta stanowiła jeden z wiodących wątków debaty „Miesięcznika Finansowego BANK”, która odbyła się 29 października br. Dyskusję, której hasło przewodnie brzmiało „Bank jako cyfrowa platforma usługowa. Wyzwania bezpieczeństwa” moderował Robert Lidke, redaktor naczelny portalu aleBank.pl.

Uczestnicy panelu zwracali uwagę, iż asymetria regulacyjna na rynku płatniczym, jaka powstała wskutek obowiązywania unijnego prawa oznacza nowe ryzyka, zarówno dla tradycyjnych dostawców usług jak też przede wszystkim konsumentów.

Po jednej stronie mamy bank, który pozostaje pod silnym nadzorem KNF. Takie regulacje jak Rekomendacja D czy inne wytyczne nadzorcze w zakresie bezpieczeństwa stanowią rzecz jasna poważne obciążenie finansowe, dla podmiotów nadzorowanych, ale równocześnie stymulują podnoszenie ich dojrzałości w zakresie bezpieczeństwa.

Tymczasem na ten sam rynek wchodzą fintechy, nad którymi nadzór jest znikomy, wobec których regulacje nie wymuszają stosowania mechanizmów bezpieczeństwa danych. Co się stanie, kiedy dojdzie do wycieku? Dla banków będzie to podwójny kłopot, gdyż w pierwszej kolejności będą  musiały zidentyfikować podmiot, który dopuścił się naruszenia, a to nie będzie łatwe.

Po drugie, pojawia się poważne ryzyko natury reputacyjnej. Problemem będzie zbudowanie mechanizmów, które pozwolą w jednoznaczny sposób wykazać, że za wyciek nie odpowiada bank – stwierdził Jacek Skorupka, dyrektor bezpieczeństwa IT w Idea Banku.

Konsument ma prawo do… ignorancji

Nie wiadomo też, jak na ewentualne grzeszki fintechów reagować będą sądy, które dotychczas nierzadko wydawały orzeczenia jednoznacznie prokonsumenckie.

Dr Krzysztof Spirzewski, dyrektor zarządzający Departamentem Bankowości Transakcyjnej w polskim oddziale Societe Generale przypomniał orzeczenia, na mocy których bank został zobowiązany do zwrotu środków klientowi, który utracił je wskutek udostępnienia danych uwierzytelniających osobie trzeciej.

Była to oczywiście ewidentna wina użytkownika, jednak w praktyce niezwykle trudno ją udowodnić. W takich przypadkach bank jest de facto na straconej pozycji – zauważył Krzysztof Spirzewski.

O tym, jak trudno udowodnić niefrasobliwemu konsumentowi rażące niedbalstwo doskonale wie Kamil Kasprzak, kierownik Zespołu Analiz i Przeciwdziałania Przestępczości w Departamencie Bezpieczeństwa Banku Ochrony Środowiska.

Ustawodawca kierując się racjonalne duchem tych przepisów obniża odpowiedzialność klienta za transakcję. To jest kwestia bardzo istotna dla ludzi którzy zajmują się praktycznym zarządzaniem incydentami. Bank musi w czasie zbliżonym do rzeczywistego zarządzić incydentem, zweryfikować incydent poprzez pryzmat klienta, jego tożsamości oraz wcześniejszych transakcji i zadecydować, czy tę transakcje wypuszczamy i to w czasie zbliżonym do rzeczywistego.

Z drugiej strony klient jest praktycznie zwolniony z odpowiedzialności za transakcję, teraz jest ona ograniczona zaledwie do 50 euro. Jakie są konsekwencje takiego podejścia? Banki są obciążone nie tylko odpowiedzialnością za samą transakcję, ale ponoszą też koszty wdrażania aktywnych narzędzi systemowych – podkreślił reprezentant BOŚ.

Fintech weźmie zyski, bankom zostanie odpowiedzialność?

Ubocznym efektem nowych przepisów może być też pewna marginalizacja roli banków w kontaktach z klientem, który to obszar będzie sukcesywnie przejmowany przez podmioty trzecie. Na ten problem zwrócił uwagę Marcin Pycka, FCCA i dyrektor Biura Analiz Zdalnych w Departamencie Audytu Wewnętrznego Banku Pekao. – Powierzenie fintechom czy zaufanym trzecim stronom obsługi klientów generuje poważne ryzyko, że bank będzie odpowiedzialny za utrzymanie bazy danych, zapewnienie bezpieczeństwa, wypełnienie Rekomendacji D i innych regulacji nadzorczych, co się wiąże z ogromnymi kosztami, natomiast część przychodową przejmą podmioty trzecie.

W konsekwencji doszłoby do niekorzystnej sytuacji, w której bank ponosi koszty a przychody płyną gdzie indziej. Naszym celem powinno być zapewnienie, by te przychody pozostawały po naszej stronie – zauważył Marcin Pycka.

Możliwość wystąpienia asymetrii pomiędzy starymi i nowymi graczami na rynku płatniczym dostrzega również Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich. Zwrócił on uwagę, iż przepisy mogą przyczyniać się do zwiększenia harmonii i wyrównania szans na rynku, tak jak to miało miejsce w przypadku wejścia w życie Rekomendacji D KNF.

Ona dobrze zaplotła w jedną linę obszar biznesu, technologii i bezpieczeństwa. To rozwiązanie faktycznie wzmocniło sektor bankowy, widzimy po współpracy międzybankowej że różnice stały się mniejsze – zauważył reprezentant ZBP.

Niestety, wizja otwartej bankowości przyjęta głosami europosłów idzie w skrajnie odmiennym kierunku. Silne uwierzytelnianie faktycznie zwiększa ochronę przed nieautoryzowanym logowaniem do bankowości elektronicznej, jednak równocześnie pojawia się istotne ryzyko związane ze współpracą na linii banki-fintechy.

Regulator wskazuje, że klient w pierwszej kolejności powinien złożyć reklamację do banku, nie do podmiotu trzeciego, który umożliwił mu zarządzanie kilkoma rachunkami z zewnątrz. To są problemy, z którymi już za chwilę możemy się spotkać, a ich skutki w postaci masowych wycieków danych osobowych będą  obciążały Bank w pierwszej kolejności.

Mając mały apetyt na ryzyko, banki zaczną profilaktycznie zawiadamiać urząd ochrony danych osobowych o takich zdarzeniach – zauważył Piotr Balcerzak.

Relacja z debaty ukaże się w grudniowym wydaniu Miesięcznika Finansowego BANK, a jej fragmenty  na portalu aleBank.pl

Patronem debaty był FORTINET

Źródło: aleBank.pl