Az Európai Bizottság kihirdette az erős ügyfélhitelesítés (SCA), valamint a biztonságos, nyílt kommunikáció (API) szabályairól szóló rendeletet. A bankoknak legkésőbb 2019. március 14-től elérhetővé kell tenniük a jogszabályban előírt rendszereikhez hozzáférést biztosító technikai dokumentációkat.
Elfogadták az erős ügyfélhitelesítésre, a nyílt kommunikációs szabványokra vonatkozó PSD2 előírásokat
A viták során az Európai Bizottság és az Európai Parlament is kiállt amellett, hogy a bankszektor versenyképességét a piac megnyitásával, új szereplők „beengedésével” lehet fokozni. Ennek a feltételeit teremtette meg a második pénzforgalmi irányelv (PSD2 – Payment Services Directive), az ahhoz kapcsolódó szabályozástechnikai standardok (RTS), valamint az EU nemrég elfogadott FinTech Akcióterve is. Az RTS a bank és a banki infrastruktúrára rátelepülő új szolgáltatók – pl. fintech startupok, kereskedők, távközlési, vagy közműszolgáltatók – összekapcsolódásának technikai előírásait tartalmazó legfontosabb részletszabálya.
RTS: a szabályozástechnikai standardok
Az RTS meghatározza a felhasználók hitelesítésének és a szolgáltatók egymás közötti azonosításának módját. Részletes szabályokat fogalmaz meg a szolgáltatók együttműködésére a fizetési számlaadatokhoz való hozzáférés, a tranzakció lebonyolítása, dokumentálása kapcsán. Kivételi eseteket rögzít az alacsony kockázatú, kisértékű tranzakciók gyors teljesítése érdekében.
Transzparens API követelmények
Legkésőbb 2019. március 14-ére a bankoknak biztosítaniuk kell, hogy a PSD2 szerinti új szolgáltatók (Számlainformációkat Összesítő Szolgáltatók – AISP, Fizetés-kezdeményezési Szolgáltatók – PISP) a folyószámlavezető rendszerhez hozzáférést biztosító interfészeket, az API-kat elkezdhessék tesztelni.
A bankoknak a weboldalukon díjmentesen hozzáférhetővé kell tenniük az interfész specifikációkat és azok összefoglaló dokumentációját. Az új szolgáltatók kiszolgáltatottságát csökkenti a szabályozás azzal, hogy a banki API hozzáféréseken keresztül ugyanolyan rendelkezésre állást kell biztosítani, mint amit a netbankon keresztül nyújtanak a felhasználóknak. Ennek ellenőrzésére a bankok negyedévente kötelesek nyilvánosságra hozni az API és a netbank rendelkezésre állásának statisztikáit.
A tartalékmechanizmus intézményének bevezetése
Az Európai Bizottság javaslatára a szabályozásba bekerült tartalékmechanizmus célja, hogy az AISP és a PISP szolgáltatók a banki API-k „meghibásodása” vagy nem kielégítő működése esetén is tudjanak szolgáltatni. A szabályozás alapján, ha 5 egymást követő API hívás esetén 30 másodperc alatt nem érkezik válasz, a banknak biztosítania kell, hogy a szolgáltató a felhasználó fizetési számla adataihoz a felhasználói interfészen keresztül hozzáférhessen (pl. screen scraping eljárással).
A helyi hatóságok adhatnak a banknak mentességet a tartalékmechanizmus kötelezettsége alól, amennyiben az API paraméterei az RTS-nek teljeskörűen megfelelnek és ezt legalább 3 hónapos piaci tesztekkel is igazolni tudják. Ez a mentesség azonban nem szól korlátlan ideig. Amennyiben egymást követő 2 héten túl az API nem teljesíti a dokumentációban leírt rendelkezésre állással és a teljesítménnyel kapcsolatos paramétereket, a bank elveszíti a mentességet.
Az API-n keresztül elérhető adatok és az API lekérdezés gyakoriságának szabályozása
Az RTS előírja, hogy a Számlainformációs Szolgáltató (AISP) ugyanazokhoz a fizetési számla adatokhoz férjen hozzá, mint amiket a felhasználó a netbanki felületén lát. Továbbá a PISP a fizetési megbízás befogadásához és végrehajtásához ugyanazokat az információkat kapja meg, mintha a felhasználó közvetlenül indítaná a megbízást. Az AISP szolgáltató minden olyan esetben, amikor a felhasználó aktív kéréssel fordul hozzá haladéktalanul, aktív felhasználói kérés hiányában naponta négyszer kérhet le adatokat.
Az adatlekérés módja és az alkalmazott ügyfélhitelesítés
Alapszabály, hogy minden alkalommal, amikor az AISP vagy a PISP szolgáltató a fizetési számlához hozzá akar férni, erős ügyfélhitelesítést (SCA) kell alkalmazni. Ugyanakkor az RTS megfogalmaz kivételeket, pl:
- az AISP csak a legelső adatkérésnél köteles erős ügyfélhitelesítést alkalmazni, ezt követően 90 napig nem kell alkalmaznia.
- A felhasználó a bankján keresztül létrehozhatja a saját ”Megbízható kedvezményezettek listáját”. A lista létrehozásakor és módosításakor szükséges erős ügyfélhitelesítést alkalmazni, a listán szereplő kedvezményezettnek a fizetés indításakor nem – akár közvetlenül, akár PISP szolgáltatóján keresztül történik.
- Ugyanazon felhasználónak szóló, ugyanazon összegű rendszeres fizetési megbízás esetén is csak az első alkalommal kell erős ügyfélhitelesítést alkalmazni.
- Kivételt képeznek ugyanazon bankszámlatulajdonos azonos bankon belüli számlaátvezetései is.
Jönnek az API szabványok is
Az API szabványosításán a piaci munkacsoportok már dolgoznak. A Berlin Group és az angol Open Banking Implementation Entity is közzétették API szabvány javaslataik első változatát. A javaslatok alapján az Európai Bizottság a Fintech Akciótervben 2019 második negyedévét jelölte meg, amikorra az API szabványok publikálásra kerülhetnek.
A PSD2 mini Akadémián a hazai szabályozóval közösen vitatjuk meg az RTS szabályait, tekintjük át a piacra lépés kihívásait fintech és szabályozói szemmel. Részletek: FinTechShow 2018.