Hátrányos helyzetbe kerülhetnek a fintech cégek az MNB ajánlása miatt

írta | 2019.07.18. | Összes hír, PSD2

Az MNB publikálta az API nem megfelelő működése esetére kidolgozandó tartalékmechanizmus alóli mentesség feltételeit. Az ajánlás a jelenlegi formájában jelentős üzleti kockázatokat tartalmaz a fintech cégek számára, így az open bankinggel kapcsolatos törekvések, a fintech innovációk veszélybe kerülhetnek Magyarországon.

A PSD2 Irányelv alapján piacra lépő új szolgáltatók – a számlainformációs szolgáltatók és a fizetéskezdeményezési szolgáltatók az ügyfelek fizetési számla adataihoz 2019. szeptember 14. napját követően nyílt, nemzetközileg elismert szabványokon alapuló, erre a célra kialakított interfészeken, API-kon keresztül férhetnek hozzá. Az API-k kialakítása, megnyitása és működtetése a számlavezető bankok jogszabályi kötelezettsége. A verseny és a biztonságos, egységes működés érdekében jogszabályok rendelkeznek az interfészek minimális funkcionalitásáról és teljesítményéről, a működési alapelveiről.

Külön szerződéses jogviszony a két szolgáltató között nem jön létre, ami jelentősen felértékeli az API megbízható működésének fontosságát. A megbízható működés mellett

az új belépő szolgáltatók versenyesélyeit az API tervezése, funkcionalitása és teljesítménye is jelentősen befolyásolja

(pl. az API kapcsolat létrehozásának fejlesztési költségei miatt).

Mi a tartalékmechanizmus?

A tartalékmechanizmus célja, hogy az AISP (Számlainformációs) és a PISP (Fizetéskezdeményezési) szolgáltatók a banki API-k „meghibásodása” vagy nem kielégítő működése esetén is tudjanak szolgáltatni. A szabályozás alapján, ha 5 egymást követő API hívás esetén 30 másodperc alatt nem érkezik válasz, a banknak biztosítania kell, hogy a szolgáltató a felhasználó fizetési számla adataihoz a felhasználói interfészen keresztül hozzáférhessen (pl. screen scraping eljárással).

Miért fontos a tartalékmechanizmus?

Az API stratégiai szerepe a digitális pénzügyi szolgáltatások terjedésében megkérdőjelezhetetlen. Tekintve, hogy az API-k létrehozásáért, kialakításáért a bankok felelősek, ez jó eszköz a bankok kezében a verseny befolyásolására.

Az Európai Bizottság az innováció, a tiszta verseny jegyében elrendelte ú.n. tartalékmechanizmus biztosítását arra az esetre, ha a kiajánlott API nem felel meg a PSD2 Irányelv és „Az erős ügyfélhitelesítésről és biztonságos kommunikációról szóló rendelet” (továbbiakban: SCA r.) követelményeinek, valamint nem biztosít legalább olyan szolgáltatási minőséget, amit a bank a saját ügyfelei felé kialakított közvetlen elérésre (pl. netbank) garantál.

Ugyanakkor, a szabályozás elismeri, hogy a tartalékmechanizmus kialakítása a banki oldalon többletköltséget okoz, ezért azon bankoknál, ahol az API működése bizonyítottan és tartósan kiváló, lehetőséget adott a mentességre.

Miért problémás az MNB ajánlása a tartalékmechanizmus kapcsán?

Az aggreg8.io – első hazai regisztrált AISP, számlainformációs szolgáltató – egyik alapítójával, Mudri Györggyel elemeztük az MNB ajánlást és arra a következtetésre jutottunk, hogy

az ajánlás a jelenlegi formájában jelentős üzleti kockázatokat tartalmaz a fintech cégek számára.

Az ajánlás problémás része, hogy a mentesség megszerzésének nem feltétele, hogy a bank éles környezetben, külső partnerrel végezze el az előírt 3 hónapos tesztet.

  • Ebből a kevésbé problémás, bár azért a felmentés kiadásánál feltételként eredetileg elvárt széleskörű használatot is elváró szabályozás lényeges felpuhítását jelenti, hogy elegendő, ha a bank – az ajánlásban foglaltak szerint – bizonyítja, hogy mindent megtett annak érdekében, hogy a potenciális partnerek minden információ birtokában lehessenek és jelezhessék együttműködési szándékukat, tesztelhessék a bank által fejlesztett API-kat, azaz amennyiben a fintech-ek nem élnek ezzel a tesztelési lehetőséggel, akkor akár külső partner nélküli teszteredmények alapján is kiadható a mentesség.
  • Ami viszont önmagában is különösen kritikus pont az ajánlásban, hogy az ajánlást betű szerint értelmezve a hazai bankok, akár az éles adatok elérésére is lehetőséget biztosító éles API környezet nyílt tesztelése nélkül, pusztán a sandbox környezetek tesztelési eredményei alapján is kérvényezhetik a mentesség megszerzését. Ez utóbbi több szempontból is kritikus állítás:
  • egyrészt mivel az API sandboxok tesztelésével nem szerezhető bizonyosság arról, hogy a bankok az éles API-juk és a számlavezető rendszerük között épített integrációt is megfelelően építették meg, ezért a Sandbox sikeres tesztelésével sem vonható le arra vontatkozóan következtetés, hogy az éles API megfelelően fog működni. Ezért is írt elő az EU-s RTS 3 hónapos éles API üzemeltetési időszakot a mentességi kérelem megszerzésének feltételeként.
  • További szintén komoly problémát okoz, hogy bár a bankoknak 2019. március 14-ig közzé kellett volna tenniük azokat az API sandboxokat, amik segítségével a fintech vállalkozások elkezdhetik tesztelni a banki API-khoz történő integrációt, most július 16-án, azaz kevesebb, mint két hónappal az éles API indulás előtt is

kevés olyan magyar bank van, amelynek Sandbox környezete egyáltalán a tesztkörnyezethez történő integráció teljes folyamatának a tesztelésére alkalmas, sőt olyan bank is van, amelyiknél semmilyen sandbox nem érhető el jelen pillanatban.

Ilyen formában viszont elképzelhető, hogy az ajánlás alapján a magyarországi bankok közül többen úgy fognak felmentést kapni a tartalékmechanizmus nyújtásának kötelezettsége alól, hogy közben az API-juk az éles környezetben nem működik megfelelően és a tartalékmechanizmusra mégis szükség lenne. Viszont a mentesség előzetes megadása miatt ez a tartalékmechanizmus egyáltalán nem került kialakításra.

És bár a mentesség visszavonható, azaz a nem megfelelő működés esetén a felügyelet kötelezi a bankot a tartalékmechanizmus kiépítésére (pl. az ügyfél netbankján keresztüli hozzáférés biztosítása), ám ez a folyamat időigényes. Közben pedig a regisztrációt szerzett AISP, vagy PISP nem tud szolgáltatni, piaci kára keletkezik.

A mentesség kiadása ezért csupán a sandboxokban – és akár külsős partner nélkül – történt tesztelés alapján piaci,- szolgáltatásbiztonsági kockázatot tartalmaz, melyet jelenleg a fintech cégek viselnek.

Ősszel a PayTechShow-n, külön workshop keretében foglalkozunk a PSD2 következményeivel, a pénzügyi közvetítői rendszer átalakulását meghatározó szabályozói kérdésekkel, a szabályozás üzleti hatásaival.

A tartalékmechanizmus kialakítása alóli mentesség megszerzésének feltételei az MNB ajánlása alapján

Az MNB a 14/2019 (VII.3.) számú ajánlásában az Európai Bankhatósággal folytatott konzultációkat követően meghatározta a tartalékmechanizmus kialakítása alóli mentesség megszerzésének feltételeit.

A mentesítés nem automatikus, kérelemre indul, melyet elektronikus formanyomtatvány kitöltésével és az előírt mellékletek (pl. tesztjegyzőkönyvek) becsatolásával indíthatnak a bankok.

A mentesség kiadásának legfontosabb feltételei:

  • az API funkcionális és technikai specifikációjának leírása és annak bemutatása, hogy hogyan tesz eleget a Pft-ben és az SCA rendeletben foglalt követelményeknek. Fontos, hogy az API működésére vonatkozóan legalább olyan szigorú teljesítménymutatókat és szolgáltatási szint célokat határozzon meg a bank, mint amit a saját ügyfeleinek a netbanki hozzáférésre irányzott elő.
  • Tájékoztatást kell adni a kérelemben arról, hogy az API kialakítása során mely piaci szabványosítási kezdeményezést (pl. Berlin Group, vagy Open Banking Standard) követte a bank és ha eltért az adott szabványtól, hogyan.
  • Az API-n keresztül használható hitelesítési eljárások leírása során részletesen be kell mutatni, hogy az AISP és a PISP szolgáltatók hogyan támaszkodhatnak a bank által biztosított hitelesítési eljárásra és bizonyítani, hogy annak igénybevétele nem okoz sem késedelmet, sem ügyféloldali nehézséget a szolgáltató szolgáltatásainak igénybevétele során.
  • Be kell mutatnia a banknak, hogy az API sandbox elérhető a jogosult szolgáltatók számára és a tesztkörnyezetben az igénybevevők nem valós adataival tesztelhetik az API-t, többek között a kapcsolat stabilitása, biztonságossága, tanúsítványcserék sikeressége, az adathozzáférési kérések teljesítése és a hitelesítési eljárások sikeressége szempontjából.
  • A bank tesztjegyzőkönyvekkel, mérési eredményekkel kell, hogy bizonyítsa az API működésének megfelelését, illetve be kell mutatnia, hogy hány AISP, PISP vagy CISP szolgáltatóval történt a tesztelés. Be kell mutatnia a tesztelő szolgáltatóktól beérkezett kérések, az arra adott válaszok számát, a használat tapasztalatait.
  • Tájékoztatást kell adni arról, hogy az API dokumentumok a jogosult harmadik feles szolgáltatók számára egyszerűen, térítésmentesen elérhetők, valamint az összefoglaló publikusan is hozzáférhető. Fontos annak bemutatása, hogy a bank kapcsolatba lépett-e AISP és PISP szolgáltatókkal és ha igen, hogyan. Be kell mutatnia a banknak, hogy minden ésszerű erőfeszítést megtett annak érdekében, hogy a jogosult szolgáltatók értesüljenek az API-k elérhetőségéről.

Ha a PSD2 szerint kötelezően publikálandó banki API-k tesztelése kapcsán megosztaná tapasztalatait, kérjük, vegye fel velünk a kapcsolatot a hello@fintechzone.hu e-mail címen! Célunk, hogy a hazai fintech cégek ne kerülhessenek versenyhátrányba és egyenlő esélyt kaphassanak EU-s társaikhoz hasonlóan.

Itt követhetsz minket:

NÉMETH MONIKA

NÉMETH MONIKA

A Magyar Telekomnál szabályozással, majd “smart” projektekkel foglakozott. A pénzügyi szektorban végmenő digitális transzformáció kísértetiesen hasonlít a telko iparág átalakulására, így korábbi tapasztalatait most a digi pénzügyek világában hasznosítja. Ha ma lenne óvodás, akkor a PSD2 lenne belevarrva a takarójába. A #regtech trendeket és megoldásokat is vizsgálja a szabályozói kihívások mellett. #banktech #regtechguru
A FinTechZone.hu kiadója a FinTech Group Kft.

ELEKTRONIKUS FIZETÉSI TÉRKÉP

“elektronikus fizetesi terkep
Betekintést adunk az elektronikus fizetési piac átalakulásába, az új fizetési megoldások világába.

HUNFINTECH 20/20

“HUNFINTECH FINTECH BOOK
A Magyar FinTech Book: A 20 legígéretesebb magyar fintech.

GPE softPOS

softpos gpe bankkartya elfogadas mobilon globalpayments
Androidos mobilod van? Töltsd le a GPE softPOS alkalmazást és fogadj egyszerűen érintés nélküli fizetéseket közvetlenül az okostelefonodon keresztül!

Azonnali Fizetési Megoldások

“simplepay azonnali fizetési kiadvanyok
Új lehetőségek az elektronikus fizetésben. Azonnali fizetési megoldások kereskedőknek, bankoknak, technikai aggregátoroknak.