Az MNB publikálta az API nem megfelelő működése esetére kidolgozandó tartalékmechanizmus alóli mentesség feltételeit. Az ajánlás a jelenlegi formájában jelentős üzleti kockázatokat tartalmaz a fintech cégek számára, így az open bankinggel kapcsolatos törekvések, a fintech innovációk veszélybe kerülhetnek Magyarországon.

A PSD2 Irányelv alapján piacra lépő új szolgáltatók – a számlainformációs szolgáltatók és a fizetéskezdeményezési szolgáltatók az ügyfelek fizetési számla adataihoz 2019. szeptember 14. napját követően nyílt, nemzetközileg elismert szabványokon alapuló, erre a célra kialakított interfészeken, API-kon keresztül férhetnek hozzá. Az API-k kialakítása, megnyitása és működtetése a számlavezető bankok jogszabályi kötelezettsége. A verseny és a biztonságos, egységes működés érdekében jogszabályok rendelkeznek az interfészek minimális funkcionalitásáról és teljesítményéről, a működési alapelveiről.

Külön szerződéses jogviszony a két szolgáltató között nem jön létre, ami jelentősen felértékeli az API megbízható működésének fontosságát. A megbízható működés mellett

az új belépő szolgáltatók versenyesélyeit az API tervezése, funkcionalitása és teljesítménye is jelentősen befolyásolja

(pl. az API kapcsolat létrehozásának fejlesztési költségei miatt).

Mi a tartalékmechanizmus?

A tartalékmechanizmus célja, hogy az AISP (Számlainformációs) és a PISP (Fizetéskezdeményezési) szolgáltatók a banki API-k „meghibásodása” vagy nem kielégítő működése esetén is tudjanak szolgáltatni. A szabályozás alapján, ha 5 egymást követő API hívás esetén 30 másodperc alatt nem érkezik válasz, a banknak biztosítania kell, hogy a szolgáltató a felhasználó fizetési számla adataihoz a felhasználói interfészen keresztül hozzáférhessen (pl. screen scraping eljárással).

Miért fontos a tartalékmechanizmus?

Az API stratégiai szerepe a digitális pénzügyi szolgáltatások terjedésében megkérdőjelezhetetlen. Tekintve, hogy az API-k létrehozásáért, kialakításáért a bankok felelősek, ez jó eszköz a bankok kezében a verseny befolyásolására.

Az Európai Bizottság az innováció, a tiszta verseny jegyében elrendelte ú.n. tartalékmechanizmus biztosítását arra az esetre, ha a kiajánlott API nem felel meg a PSD2 Irányelv és „Az erős ügyfélhitelesítésről és biztonságos kommunikációról szóló rendelet” (továbbiakban: SCA r.) követelményeinek, valamint nem biztosít legalább olyan szolgáltatási minőséget, amit a bank a saját ügyfelei felé kialakított közvetlen elérésre (pl. netbank) garantál.

Ugyanakkor, a szabályozás elismeri, hogy a tartalékmechanizmus kialakítása a banki oldalon többletköltséget okoz, ezért azon bankoknál, ahol az API működése bizonyítottan és tartósan kiváló, lehetőséget adott a mentességre.

Miért problémás az MNB ajánlása a tartalékmechanizmus kapcsán?

Az aggreg8.io – első hazai regisztrált AISP, számlainformációs szolgáltató – egyik alapítójával, Mudri Györggyel elemeztük az MNB ajánlást és arra a következtetésre jutottunk, hogy

az ajánlás a jelenlegi formájában jelentős üzleti kockázatokat tartalmaz a fintech cégek számára.

Az ajánlás problémás része, hogy a mentesség megszerzésének nem feltétele, hogy a bank éles környezetben, külső partnerrel végezze el az előírt 3 hónapos tesztet.

  • Ebből a kevésbé problémás, bár azért a felmentés kiadásánál feltételként eredetileg elvárt széleskörű használatot is elváró szabályozás lényeges felpuhítását jelenti, hogy elegendő, ha a bank – az ajánlásban foglaltak szerint – bizonyítja, hogy mindent megtett annak érdekében, hogy a potenciális partnerek minden információ birtokában lehessenek és jelezhessék együttműködési szándékukat, tesztelhessék a bank által fejlesztett API-kat, azaz amennyiben a fintech-ek nem élnek ezzel a tesztelési lehetőséggel, akkor akár külső partner nélküli teszteredmények alapján is kiadható a mentesség.
  • Ami viszont önmagában is különösen kritikus pont az ajánlásban, hogy az ajánlást betű szerint értelmezve a hazai bankok, akár az éles adatok elérésére is lehetőséget biztosító éles API környezet nyílt tesztelése nélkül, pusztán a sandbox környezetek tesztelési eredményei alapján is kérvényezhetik a mentesség megszerzését. Ez utóbbi több szempontból is kritikus állítás:
  • egyrészt mivel az API sandboxok tesztelésével nem szerezhető bizonyosság arról, hogy a bankok az éles API-juk és a számlavezető rendszerük között épített integrációt is megfelelően építették meg, ezért a Sandbox sikeres tesztelésével sem vonható le arra vontatkozóan következtetés, hogy az éles API megfelelően fog működni. Ezért is írt elő az EU-s RTS 3 hónapos éles API üzemeltetési időszakot a mentességi kérelem megszerzésének feltételeként.
  • További szintén komoly problémát okoz, hogy bár a bankoknak 2019. március 14-ig közzé kellett volna tenniük azokat az API sandboxokat, amik segítségével a fintech vállalkozások elkezdhetik tesztelni a banki API-khoz történő integrációt, most július 16-án, azaz kevesebb, mint két hónappal az éles API indulás előtt is

kevés olyan magyar bank van, amelynek Sandbox környezete egyáltalán a tesztkörnyezethez történő integráció teljes folyamatának a tesztelésére alkalmas, sőt olyan bank is van, amelyiknél semmilyen sandbox nem érhető el jelen pillanatban.

Ilyen formában viszont elképzelhető, hogy az ajánlás alapján a magyarországi bankok közül többen úgy fognak felmentést kapni a tartalékmechanizmus nyújtásának kötelezettsége alól, hogy közben az API-juk az éles környezetben nem működik megfelelően és a tartalékmechanizmusra mégis szükség lenne. Viszont a mentesség előzetes megadása miatt ez a tartalékmechanizmus egyáltalán nem került kialakításra.

És bár a mentesség visszavonható, azaz a nem megfelelő működés esetén a felügyelet kötelezi a bankot a tartalékmechanizmus kiépítésére (pl. az ügyfél netbankján keresztüli hozzáférés biztosítása), ám ez a folyamat időigényes. Közben pedig a regisztrációt szerzett AISP, vagy PISP nem tud szolgáltatni, piaci kára keletkezik.

A mentesség kiadása ezért csupán a sandboxokban – és akár külsős partner nélkül – történt tesztelés alapján piaci,- szolgáltatásbiztonsági kockázatot tartalmaz, melyet jelenleg a fintech cégek viselnek.

Ősszel a PayTechShow-n, külön workshop keretében foglalkozunk a PSD2 következményeivel, a pénzügyi közvetítői rendszer átalakulását meghatározó szabályozói kérdésekkel, a szabályozás üzleti hatásaival.

A tartalékmechanizmus kialakítása alóli mentesség megszerzésének feltételei az MNB ajánlása alapján

Az MNB a 14/2019 (VII.3.) számú ajánlásában az Európai Bankhatósággal folytatott konzultációkat követően meghatározta a tartalékmechanizmus kialakítása alóli mentesség megszerzésének feltételeit.

A mentesítés nem automatikus, kérelemre indul, melyet elektronikus formanyomtatvány kitöltésével és az előírt mellékletek (pl. tesztjegyzőkönyvek) becsatolásával indíthatnak a bankok.

A mentesség kiadásának legfontosabb feltételei:

  • az API funkcionális és technikai specifikációjának leírása és annak bemutatása, hogy hogyan tesz eleget a Pft-ben és az SCA rendeletben foglalt követelményeknek. Fontos, hogy az API működésére vonatkozóan legalább olyan szigorú teljesítménymutatókat és szolgáltatási szint célokat határozzon meg a bank, mint amit a saját ügyfeleinek a netbanki hozzáférésre irányzott elő.
  • Tájékoztatást kell adni a kérelemben arról, hogy az API kialakítása során mely piaci szabványosítási kezdeményezést (pl. Berlin Group, vagy Open Banking Standard) követte a bank és ha eltért az adott szabványtól, hogyan.
  • Az API-n keresztül használható hitelesítési eljárások leírása során részletesen be kell mutatni, hogy az AISP és a PISP szolgáltatók hogyan támaszkodhatnak a bank által biztosított hitelesítési eljárásra és bizonyítani, hogy annak igénybevétele nem okoz sem késedelmet, sem ügyféloldali nehézséget a szolgáltató szolgáltatásainak igénybevétele során.
  • Be kell mutatnia a banknak, hogy az API sandbox elérhető a jogosult szolgáltatók számára és a tesztkörnyezetben az igénybevevők nem valós adataival tesztelhetik az API-t, többek között a kapcsolat stabilitása, biztonságossága, tanúsítványcserék sikeressége, az adathozzáférési kérések teljesítése és a hitelesítési eljárások sikeressége szempontjából.
  • A bank tesztjegyzőkönyvekkel, mérési eredményekkel kell, hogy bizonyítsa az API működésének megfelelését, illetve be kell mutatnia, hogy hány AISP, PISP vagy CISP szolgáltatóval történt a tesztelés. Be kell mutatnia a tesztelő szolgáltatóktól beérkezett kérések, az arra adott válaszok számát, a használat tapasztalatait.
  • Tájékoztatást kell adni arról, hogy az API dokumentumok a jogosult harmadik feles szolgáltatók számára egyszerűen, térítésmentesen elérhetők, valamint az összefoglaló publikusan is hozzáférhető. Fontos annak bemutatása, hogy a bank kapcsolatba lépett-e AISP és PISP szolgáltatókkal és ha igen, hogyan. Be kell mutatnia a banknak, hogy minden ésszerű erőfeszítést megtett annak érdekében, hogy a jogosult szolgáltatók értesüljenek az API-k elérhetőségéről.

Ha a PSD2 szerint kötelezően publikálandó banki API-k tesztelése kapcsán megosztaná tapasztalatait, kérjük, vegye fel velünk a kapcsolatot a hello@fintechzone.hu e-mail címen! Célunk, hogy a hazai fintech cégek ne kerülhessenek versenyhátrányba és egyenlő esélyt kaphassanak EU-s társaikhoz hasonlóan.