Nem lesz screen-scraping, de lesz dedikált API, és több a kivétel az erős authentikáció alól. Megjelent az RTS final draft szövege – ez kerül a Bizottság elé jóváhagyásra.

Mutatjuk a legfontosabb változásokat

1. Egy összegben maximum 30 euróig fizethetünk egyfaktoros authentikáció mellett. Ezt egymás után maximum 5-ször tehetjük meg, illetve egy nap maximum 100 euró-t fizethetünk így.
2. Az EBA azon kereskedők számára, amelyek kockázat alapú tranzakció elemzést alkalmaznak, betartják a szigorú fraud szabályokat és a fraud arányt egy meghatározott szint alatt tartják, max 500 euró összegig engedélyezi az egyszerű authentikáció alkalmazását. Bár e kivételi szabály tényleges piaci relevanciáját, hatását még elemezni szükséges, értékelni kell a szabályozói szándék jelentőségét: a kockázatalapú tranzakció elemzést a szabályozó elismeri és kedvezményt rendel hozzá! Ez komoly lépés a konzultáció előtti állapothoz képest.
3. Logikus, a felhasználók számára kényelmet, gyorsaságot eredményező változás, hogy a felügyelet nélküli POS-oknál – autópálya kapu, parkolóórák –  sem kell 30 euró felett a kettős autentikációt alkalmazni, azaz a kivételi szabály alá tartoznak.
4. PFM szolgáltatók számára rossz hír, hogy a screen scraping a PSD2 alkalmazásának időpontjától nem engedélyezett. Jó hír ugyanakkor, hogy van helyette 7/24-es folyamatos kiszolgálást technológia semlegesen, open szabványok mellett biztosító dedikált API kötelezettség.
5. Az API hozzáférés real time vagy mégsem? AISP szolgáltatás esetében a fogyasztói felhatalmazást követő 30 napig akkor is érvényes az AISP hozzáférhetősége a fogyasztó adataihoz, ha az nem igényel szolgáltatást. Ebben az időszakban – hiszen a fogyasztó nem kér szolgáltatást –  a szabályozás maximálja az AISP adatlekérések számát. Az RTS szerint egy nap maximum 4-szer kérhet az AISP hozzáférést (a korábbi tervezetben ez 2 volt) az adott fogyasztó bankszámla adataihoz. Fontos: a bank és az AISP ennél gyakoribb lekérdezésben is megállapodhat! 🙂
6. Az RTS az ISO20022 szabványt nevezi meg, mint a fizetési tranzakciók kommunikációs szabványa – ez eddig is így volt, de a további biztonsági és kommunikációs szabvány megszüntette. Ezáltal a technológia semlegesség érvényesül, az innovatív szolgáltatások lehetősége megmarad.
7. A potenciális új szereplők (tech cégek és fintech-ek) aggálya volt, hogy az authentikáció módjának meghatározásával a bankok nehezíthetik az új belépők helyzetét, többletköltséget okozhatnak, illetve az általuk nyújtott szolgáltatási élményt – és ezáltal a piaci lehetőségeiket – ronthatják. A szabályozó az authentikáció módszerének meghatározását továbbra is a bank hatáskörében tartotta, de kimondta, hogy ugyanolyan SLA-k mellett, mintha maga szolgálná ki közvetlenül a fogyasztót, kell kiszolgálnia a banknak az új szolgáltatókat. Az RTS arra is kötelezi a bankokat, hogy készenléti tervet dolgozzanak ki technikai problémákra és más nem várt helyzetekre.
8. A szabályozás a PISP (pl. Amazon) érdekeit védi azzal, hogy a bank számára előírja, hogy azonnali választ adjon az adott  fogyasztó fizetőképességére vonatkozóan a fintech cég felé. A szándék nemes, de mégis a hozzáférést, rugalmasságot, végső soron az új piacralépő szolgáltatási esélyeit a bank határozza meg.

A 24. órában vagyunk: üzleti stratégák és BC gyártók munkára fel!

Bár még az EU Bizottsága és a Parlament módosíthat az RTS szövegén, nagy változások ebben a szakaszban már nem várhatóak. 3 hónap áll a Bizottság rendelkezésére az RTS jóváhagyására, a kihirdetést követően pedig 18 hónapja lesz a piaci szereplőknek a felkészülésre, a beruházások, fejlesztések, belső folyamatok kialakítására. Legkorábbi alkalmazhatóság időpontját így 2018 novemberére tehetjük.

Fanatikusoknak és szabályozóknak: az RTS benyújtott változatának része az a – korábban megígért – részletes táblázat is, melyben az EBA reagál a mintegy 224 beérkezett felvetésre. Érdemes és tanulságos – mindamellett, hogy igazi kihívás – végigolvasni, hiszen az érdekeltségi rendszerek szépen felvázolhatóak.  Mi elolvastuk 🙂

Az EBA weboldalán elérhető az RTS teljes szövege.

A cikkhez felhasználtuk: “Final PSD2 SCA & CSC RTS released“, Killian Clifford, 2017.02.23.