BANK 2017/12

Technologie: Polskie API, stan prac i nadzieje sektora

Maciej Kowal
Technologie: Polskie API, stan prac i nadzieje sektora
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Sektor finansowy stara się pogodzić wymagania dyrektywy PSD2 związane z obowiązkiem umożliwienia tzw. stronom trzecim dostępu do rachunków płatniczych klientów banków. To duże wyzwanie organizacyjne i technologiczne, jeśli chce się spełnić wymogi regulacyjne i zachować wysoki poziom bezpieczeństwa bankowości internetowej. Czy wchodzimy też w świat sharing access i collaborative economy?

Maciej Kowal

Interfejsy API (Application Programming Interface) są powszechnie wykorzystywane w świecie cyfrowym i stanowią fundament cyfrowej transformacji. Z punktu widzenia regulatorów, każde monopolizowanie dostępu do danych i informacji ogranicza dziś w wielu działach gospodarki konkurencję na rynku. Z koniecznością udostępnienia własnej infrastruktury innym podmiotom zmierzyły się już wcześniej telekomy. Musiały udostępnić swoje sieci tzw. operatorom wirtualnym (MVNO z ang. Mobile Virtual Network Operator). Jak wynika z „Raportu o stanie rynku telekomunikacyjnego w 2016 r.”, opublikowanego przez Urząd Komunikacji Elektronicznej (UKE), w minionym roku na naszym rynku działało 29 operatorów. Własną infrastrukturę mają: Orange Polska, Polkomtel, T-Mobile Polska, P4 i Aero 2 (operatorzy MNO), a pozostali (MVNO) korzystają z sieci partnerów technologicznych. Liczba tych ostatnich zwiększyła się w porównaniu do 2015 r. o cztery podmioty. Na koniec 2016 r. operatorzy telekomunikacyjni obsługiwali 55,5 mln abonentów. Jednak z tej liczby abonenci Aero 2 i wszystkich pozostałych operatorów MVNO, stanowili tylko 4,1%.

Trudno porównywać branżę telekomunikacyjną z finansową, ale to pokazuje, że wejście na rynek nowych podmiotów, które będą mogły korzystać z usług infrastruktury zbudowanej przez banki, wcale nie musi oznaczać rewolucji na rynku. Jednak nadal pozostaje ryzyko związane z bezpieczeństwem. Przypomnijmy, że zgodnie z dyrektywą w sprawie usług płatniczych (PSD2), każdy ich dostawca, udostępniający je przez bankowość elektroniczną, będzie zobowiązany do udostępnia co najmniej jednego interfejsu API, pozwalającego stronom trzecim na świadczenie usług: inicjowania płatności w imieniu klientów (PIS – Payment Initiation Service), dostępu do informacji o ich rachunkach (AIS – Account Information Services) i potwierdzania dostępności na nich środków przy użyciu kart wydanych przez strony trzecie (CoF – Confirmation of Funds).

W maju tego roku Mateusz Górnisiewicz, doradca zarządu ZBP, informował podczas IX Forum Technologii Bankowości Spółdzielczej, że w Polish API – projekt zainicjowany i prowadzony przez Związek było zaangażowanych ponad 100 osób zarówno z banków, jak i pozostałych podmiotów sektora usług płatniczych. Celem projektu jest opracowanie wspólnej specyfikacji interfejsu na potrzeby usług świadczonych na podstawie dostępu do rachunków płatniczych. Zwracał on wtedy uwagę na możliwy podział dostępnych w ramach projektu usług na Usługi Zgodności (compliance) wymagane przez przepisy zawarte w regulacji PSD2 oraz niewymagające relacji umownej pomiędzy ASPSP a TPP (Third Party Provider), Usługi Dodane, niepowiązane wprost ze świadczeniem usług między ASPSP a TPP oraz budzące duże zainteresowanie Usługi Premium – wykraczające poza wymogi prawne. W dyskusjach w środowisku bankowym zwraca się coraz częściej uwagę na możliwość wykorzystania zaangażowania w prace nad zgodnością z wymogami regulacyjnym (które i tak trzeba wykonać) z rozwojem i wykorzystaniem nowych technologii. Z jednej strony spełnia się wymagania (często efektywniej), a z drugiej otwiera to przed organizacją możliwość budowania nowych usług i zmiany w modelu biznesowego na bardziej przyszłościowy.

Nowa ekonomia

W październiku w Klubie Polska 2025+ odbyła się dyskusja pt. „Sharing economy w Polsce i na świecie – zwykły pomysł na biznes czy pożądany element zrównoważonego rozwoju?”. Swój pogląd na ideę sharing economy przedstawili: prof. dr hab. Roman Sobiecki ze Szkoły Głównej Handlowej, prof. dr hab. Bolesław Roka z Akademii Leona Koźmińskiego oraz Maciej Panek, prezes zarządu Panek S.A. (wynajem samochodów). Ekonomia współdzielenia dla jednych jest zagrożeniem, dla innych efektywne dzielenie się zasobami i współpraca na różnych płaszczyznach może być szansą na odniesienie sukcesu na rynku. Ta nowa idea dobrze wpasowuje się w promowane przez Unię Europejską zwiększenie konkurencyjności na rynku i w efekcie lepsze zaspokajanie potrzeb obywateli krajów członkowskich.

W połowie 2016 r. Komisja Europejska opublikowała opracowanie pt. „Europejski program na rzecz gospodarki dzielenia się”. Zauważono w nim, że obejmuje ona różne sektory i szybko rozwija się w całej Europie. Wiele osób w UE już korzystało z takich usług, a gospodarka dzielenia daje nowe możliwości obywatelom i innowacyjnym przedsiębiorcom. Z drugiej strony – tworzą się również napięcia pomiędzy nowymi usługodawcami a już istniejącymi operatorami rynku. Wydaje się, że ekonomia współdzielenia będzie się rozwijać, a KE zamierza wspierać rozwój nowych, innowacyjnych usług i dbać, by czasowe korzystanie z aktywów nie ograniczało ochrony konsumentów i ochrony socjalnej pracujących w tym systemie. W lutym 2017 r. zainicjowano m.in. serię warsztatów dla krajów UE i zainteresowanych stron, w których prezentowano i omawiano praktyki regulacyjne, koncentrując się na współpracy w zakresie krótkoterminowego wynajmu mieszkań. Poprzez ten projekt KE, we współpracy z właściwymi organami krajów UE i przemysłu, chce przełożyć ogólne wytyczne i zalecenia dotyczące polityki na bardziej konkretne wskazówki dla sektora zakwaterowania turystycznego. Celem jest promowanie najlepszych praktyk w całej UE i zwalczanie fragmentacji na jednolitym rynku. To jedno z działań w kierunku regulowania rynku ekonomii współdzielenia.

Również w branży finansowej mówi się coraz więcej o sharing access i collaborative economy, czyli o gospodarce, w której dzielimy zasoby funkcje i usługi w jakimś ekosystemie. Dobrym przykładem gospodarki współdzielenia jest otwarta bankowość – open API banking. Mówił o tym w trakcie tegorocznego „Laboratorium Przyszłości First Data Polska”, dr Jakub Górka, adiunkt w Wydziale Zarządzania Uniwersytetu Warszawskiego. Jak stwierdził, otwartą bankowość napędza legislacja europejska – regulacja PSD2. Organizacjami TPP, które otrzymają dostęp do kont klientów banków mogą być fintechy, ale również inne banki. Ostatecznie beneficjentem regulacji powinien być klient. Zwrócił on uwagę, że PSD2 to również 11 aktów towarzyszących – regulacyjnych standardów technicznych (RTS) i wytycznych do opracowania przez Europejski Urząd Nadzoru Bankowego (EBA). Jeden z dokumentów RTS dotyczy silnego uwierzytelnienia i bezpiecznej komunikacji pomiędzy podmiotami prowadzącymi rachunki płatnicze a tymi, które uzyskują do nich dostęp. Trzeba zauważyć, że z tymi zmianami wiążą się też inne akty prawne, takie jak RODO, eIDAS (podpis elektroniczny i usługi zaufania) itp. Wymieniony RTS spowoduje, że silne uwierzytelnienie stanie się standardem, przy czym przewidziane są pewne wyłączenia dla płatności zbliżeniowych, płatności zdalnych i płatności na rzecz zaufanych odbiorców. W tym roku KE zmieniła projekt RTS, wprowadzając tzw. fallback option, mechanizm awaryjny polegający na tym, że usankcjonowany zostałby screen scraping (technika, za pomocą której program komputerowy wydobywa dane z wyjścia innego programu) oraz dzielenie się loginem i hasłem z podmiotem trzecim. To budziło duże kontrowersje ze strony środowiska bankowego.

Trudno porównywać branżę telekomunikacyjną z finansową, ale to pokazuje, że wejście na rynek nowych podmiotów, które będą mogły korzystać z usług infrastruktury zbudowanej przez banki, wcale nie musi oznaczać rewolucji na rynku.

Dr Górka podał, że 24 listopada KE miała opublikować RTS, w którym co prawda pozostanie fallback option i screen scraping jednak tak ukształtowany, że jeśli zostaną stworzone lub wystawione dobrze działające interfejsy, wówczas nie będzie już możliwości korzystania ze screen scrapingu. Zwrócił też uwagę na ryzyko fragmentacji na obszarze UE związanej z istnieniem obecnie kilku inicjatyw dotyczących budowy otwartych API w branży finansowej na poziomie krajowym, np. w Polsce, Francji i Wielkiej Brytanii, jak i paneuropejskim, nawet jeśli są one podobne w części technologicznej. Jego zdaniem, TTP działające w skali ogólnoeuropejskiej nie będą miały łatwego życia i przynajmniej przez jakiś czas dostępu do różnych banków w różnych krajach.

Adam Marciniak, wiceprezes zarządu PKO Banku Polskiego, w wypowiedzi dla portalu aleBank.pl wymienił powody uczestniczenia w tworzeniu wspólnego dla polskiego sektora bankowego standardu API. Jest to bezpieczeństwo, jakie może zapewnić system scentralizowany (zgromadzenie w jednym miejscu wszystkich metod zabezpieczeń) i zapewnienie jednolitego dostępu dla wszystkich (przy równym traktowaniu). Wymienił też powód ekonomiczny – przekazanie do spółki technologicznej pewnych funkcji dzielonych przez wiele instytucji, co wpłynie na obniżenie kosztu ich implementacji.

Wydaje się, że w najbliższych latach budowa otwartych API będzie dotyczyła coraz większej liczby branż. Jeśli przekonujemy się dziś, że powszechny dostęp do danych i informacji wspiera konkurencję na rynku, to powinniśmy oczekiwać kolejnych regulacji, które będą to – dla dobra konsumentów – „wymuszały”. Dlatego instytucje powinny się przygotować do funkcjonowania w takim otoczeniu biznesowym. Dzieląc się własnymi zasobami, otrzymujemy równocześnie dostęp do zasobów innych. Dlatego warto wykorzystać otwarte API do poszerzania własnego biznesu i zajmowania niedostępnych dotychczas nisz.