A bankok, az új piacra lépők és a személyes adatok őreinek figyelme is a részletszabályokra irányul. Holnap, azaz 2016. október 12-én lezárul a folyószámla hozzáféréshez szükséges fogyasztói authentikációs eljárásról  szóló piaci konzultáció. A téma az egyik legfontosabb – az új piacra lépők piaci lehetőségeit jelentősen befolyásoló szabályozás – a PSD2 implementációja során.

 

A szabályozási tervezet a fogyasztói adatvédelem terén explicit elvárásokat, követelményeket fogalmaz meg, míg a piaci szereplők együttműködésében teret enged a kereskedelmi szerződéses kapcsolatoknak, a szabványok szélesebb körű alkalmazásának.

 

Az EBA menetrendje szerint 2017 januárjában kerül sor az RTS elfogadására. Az implementálásra 18 hónap áll rendelkezésre, azaz legkorábban 2018 októberétől kell alkalmazni a szabályokat. Ez a bankok számára előny, hisz ezalatt az időszak alatt kereskedelmi szerződések alapján dolgozhatnak, köthetnek partnerségi szerződéseket e vonatkozásban is.

 

Az érdekek – több kérdésben – eltérőek a leendő TPP-k (Third Party Provider = harmadik feles szolgáltató) és a bankok között.

 

Nézzük, hol tartunk most, mit jelent ez a szabályozási tervezet a bankok szemszögéből?

A PSD2 high level szintű iránymutatásának pontosítása, azaz az RTS konzultációs eredményei alapján készült szabályozási tervezet a bankszektor számára összességében finomabb, kedvezőbb szabályokat fogalmaz meg. Néhány fontosabb elem:

  • a bank saját maga dönt az authentikáció metódusáról, amivel akár nehezítheti a TPP felkészülését, ugyanakkor ez a lehetőség felelősséggel is párosul. A bank felelős az authentikációért, továbbá rendszeres, dokumentált, független szereplő által végzett audit kötelezettségét fogalmazza meg a bankok számára a szabályozási tervezet. Az eredményt hatósági kérésre teljes egészében be kell tudni mutatni. (megjegyzés: a távközlési iparágban jól működő megoldás a folyamatok zártságának, hitelességének biztosítására, bár a kezdet ott sem volt könnyű.
  • A banki érdek úgy kívánja, hogy a kivétel kezelésben is önállóan döntsenek. Az új szolgáltatók piacralépését nehezíti és drágítja, ha – a bankok körében tapasztalható eltérő kockázat viselési szokások miatt – minden egyes bank esetében más folyamatot kell kidolgozniuk a kivételkezelésre. Miután a szabályozás célja a verseny támogatása, az új piacralépők helyzetének könnyítése, ezért a szabályozás itt nem engedett a bankszektor érveinek, egységesen, jogszabályban határozza meg a kivételeket, pl.
    • Egyszeri 50 Euró (max napi 150 Euró) érintésnélküli fizetésnél nincs erős authentikáció.
    • Csak tanácsadási szolgáltatás (AISP) esetén nincs erős ügyfélazonosítás.
    • Lesz “white list”, azaz a fogyasztó egy általa meghatározott körnek – pl. családtagok, rendszeres címzettek -, vagy saját bankján belüli átvezetések esetén a white list összeállításánál köteles kettős azonosítással igazolni döntését, ezt követően viszont egyszerű azonosítással indíthat fizetéseket feléjük.
  • Az új piacralépő és a bank közötti kommunikációt biztosító – nyílt – interfész regisztráció köteles lesz. A bankszektor javaslata egy független regisztrációs hatóság létrehozása. A regisztráció lassíthatja a fintech piacralépését, ugyanakkor segítheti a piaci szolgáltatókat a regisztrált API-k listájával. Szóval, összességében ez várhatóan inkább hasznos, mint innovációt hátráltató tényező lesz.
  • A bankoknak legalább 1 publikusan hozzáférhető API-t kell biztosítaniuk a TPP hozzáférések kezelésére. Az API dokumentációnak ingyenesen a bank honlapjáról letölthetőnek kell lennie. Ha nem ezt használja a TPP, a bank megtagadhatja a hozzáférést. Tehát nem összesen egy API-ról beszélünk, hanem publikus API-król. Versenyösztönzés, piacnyitás szempontjából kérdés lesz az, hogy ez nyílt API és milyen szabvány elemeket tartalmazzon, vagy a bank diszkrecionális joga az API meghatározása.

 

Az erős ügyfélazonosítás jelenleg elképzelt alkalmazása az Amazon one-click szolgáltatás Európán belüli ellehetetlenüléséhez vezethet 2018-tól:

Az RTS szerint, az erős ügyfélhitelesítés az alap,  jogszabály adhat kivételt ez alól. Az EU jelenlegi álláspontja szerint a kereskedő pénzügyi szolgáltatója nem fogadhat olyan fizetési tranzakciót, ahol a fizető ügyfél azonosítása nem erős ügyfélazonosítási eljárással történt. Az Amazon One-Click nem az. Ennek egyenes következménye lehet – ha a draft nem változik -, hogy Európában a fogyasztók nem vehetik igénybe az Amazon eme szolgáltatását.

Vajon jó ez a fogyasztónak?

Hol van az egészséges kompromisszum a biztonság és az innovatív szolgáltatások befogadásának támogatása között?

 

 

Az RTS kapcsán a csata alapvetően a bankszektor korábbi beruházásainak megtéríttetéséért, egy “jól bejáratott”, biztosnak hitt piac védelméért folyik.

 

Érdemes volna a szereplőknek azt is szem előtt tartani, hogy a technológiai fejlődés és a szabályozás adta lehetőségek kihasználása új tortaszeleteket jelenthet az innovatív bankoknak:

  • A PSD2 nyomán a bankok is léphetnek a többi bank felé AISP (Account Informations Services Provider = számlainformációkat összesítő szolgáltató)  és PISP  (Payment Initiation Service Provider = fizetés kezdeményezési szolgáltató) szolgáltatóként, ezáltal onnan is tudnak egyrészt ügyfelet akvirálni, illetve szerződéses kötelezettség alapján ügyfél adatokat gyűjteni, ezeket felhasználva pedig értéknövelt pl.: PFM, ajánló, vagyonmenedzsment és egyéb szolgáltatásokat nyújtani.
  • Másrészt a cross selling lehetőségeik is nőnek, hiszen saját ügyfeleiknek további értéknövelt ajánlatokat tudnak kidolgozni. Előnyük a jelentős ügyfélbázis fizetési viselkedésének ismerete.
  • Várhatóan a bankoknak érdeke a SEPA beruházásaik megtéríttetése, azaz a SEPA infrastruktúrához fogják varrni a hozzáféréshez szükséges API-t. Viszont mivel a SEPA során valószínűleg hasonló technikai szabványokkal dolgoztak, így egymáshoz a PSD2 kapcsán hamarabb/olcsóbban tudnak felcsatlakozni, mint adott esetben egy valódi TPP partner. Azaz, a bankok közötti verseny hamarabb megindulhat, mint ahogy a fintech felkészül a versenyre.

 

A piaci konzultáció lehetőséget ad arra, hogy a piaci szereplők kifejtsék véleményüket, érveljenek, eloszlassák a szabályozói aggodalmakat. Október 12-én lezárul a véleményezés, majd a PSD2 menetrendje szerint 2017 elején jelenik meg a már végrehajtandó RTS.