Te mit kezdenél Magyarország, vagy Európa összes bankjának adatvagyonával? Milyen szolgáltatásokat építenél erre? 2018-tól Európa összes bankjának meg kell nyitnia adatvagyonát más szolgáltatók számára. A Tesco, a Spar, a Netrisk, az Extreme Digital, a Vodafone, a fintech startupok, vagy épp Te hasznosítod majd ezeket az adatokat? „Csak” a fantáziánk szab határt annak, mit kezdhetünk majd a megnyíló banki adatvagyonnal.
Gyorsabbá válhat a hitelezés, olcsóbbá válhatnak a banki szolgáltatások, egy kattintással részletfizetést kaphatsz a kereskedőnél, vagy egyetlen kattintással kifizetheted a céges számlákat. Csak egy pár példa arra, ami 2018-tól, a banki infrastruktúra megnyitása után megvalósulhat Magyarországon is. A minap publikálták azokat a szabványokat, amelyek leírják, miképpen lehet majd a bankok infrastruktúrájára rátelepülni.
A PSD2 háttere
Az Európai Unió 2015 végén elfogadta a Pénzforgalmi Szolgáltatásokról szóló módosított irányelvet (röviden PSD2), mely lehetővé teszi, hogy ne csak bankok nyújthassanak pénzügyi szolgáltatásokat. Ettől az irányelvtől az EU azt reméli, sok-sok új és innovatív digitális pénzügyi szolgáltatás jelenik majd meg.
A bankoknak a harmadik feles szolgáltatók (röviden TPP) számára hozzáférést kell adniuk a folyószámlavezető rendszerükhöz, amelyen keresztül a TPP-k tranzakciós adatokat kérhetnek le, vagy fizetési tranzakciókat kezdeményezhetnek szabványos hozzáférésen (ún. API-n) keresztül. Az előbbieket Számlainformációkat Összesítő Szolgáltatóknak (röviden AISP), az utóbbiakat Fizetés Kezdeményezési Szolgáltatóknak (röviden PISP) hívják.
AISP – Account Information Service Providers
A számlainformációkat összesítő szolgáltatók (Account Information Service Providers – AISP) a bankoknál vezetett folyószámlánk egyenlege, illetve a tranzakciós adataink elemzésével segítik pénzügyi döntéseinket. Ezen adatok más adatbázisok, illetve digitális lábnyomunk fejlett, mesterséges intelligencián alapuló elemzésével a szolgáltatók az életvitelünkhöz igazodó szolgáltatásokat, pl. bankszámla csomagokat, biztosítási ajánlatokat, megtakarítási lehetőségeket ajánlhatnak, tanácsot nyújthatnak pénzügyeink optimalizálásához.
2018. január 13-tól az EU minden tagállamában alkalmazni kell az új irányelvet, azaz ettől a pillanattól kezdve lehet beadni a felügyelethez az engedélykérelmet AISP, vagy PISP váláshoz. Az engedélyezési folyamatról korábban már írtunk, ami iránymutató lehet a felkészüléshez, ugyanakkor még mindig vannak nyitott kérdések (pl. incidens kezelés, ügyfélazonosítás, regisztrációs központ stb.), amelyek az indulás feltételeit módosíthatják, nehezíthetik. A felkészüléshez érdemes még végiggondolni a lehetséges partnerségi modelleket, illetve áttekinteni a PSD2-höz kapcsolódó egyéb szabályozásokat.
PISP – Payment Initiation Service Providers
A fizetés kezdeményezési szolgáltatók a fogyasztói felhatalmazással a fogyasztó helyett, annak bankszámlájáról intézik a fizetési megbízásokat. A PISP például közműszámláinkat, biztosítási díjunkat, vagy egyéb fizetési kötelezettségeinket a felhatalmazásunkat követően, a nevünkben eljárva pontosan, határidőre intézheti. Emellett pl. a céges számlákba ágyazott fizetési szolgáltatást is nyújthat a PISP.
A publikált szabványok tartalma
Az angol Open Banking munkacsoport publikálta a banki adatok hozzáféréséhez szükséges szabványok specifikációját. A specifikáció választ ad a bankok és a harmadik feles szolgáltatók hatékony és biztonságos együttműködésére.
Az API dokumentáció részletesen leírja a rendszerek összekapcsolásának módját, az authentikációs és adatlekérési folyamat lépcsőit, az adatok tartalmát és a felhasznált szabványokat. Emellett a specifikáció kitér az adatok formátumára, valamint a fogyasztói adatok biztonságos kezelésére és feldolgozására is.
API – Application Programming Interface
Az API hozzáférés kapcsolatot teremt a harmadik feles szolgáltató és a bank informatikai rendszerei között. A PSD2 irányelv nyílt szabványokon alapuló API biztosítását írja elő kötelezettségként a bankok számára, amelyek leírják az API funkcionalitását, műszaki paramétereit, az SLA-kat, az API felépítését, a hozzáférési szabályokat.
Mit tartalmaz az AISP és PISP szabvány tervezet?
Az AISP API szabvány specifikáció tartalmazza a számlainformációk és a tranzakció történet lekérésének, kategorizálásának, valamint a fogyasztói felhatalmazás regisztrálásának és az authentikációnak a módját.
AISP API működési logika. Forrás: „Account and Transaction API Specification – v1.0.0” (Open Banking)
A fizetések indítására szolgáló API specifikáció (PISP API) az azonnali belföldi fizetési tranzakció indításához szükséges folyamatokat, adatmodellt írja le. A TPP az API-n keresztül képes lesz arra, hogy fizetési kérelmet regisztráljon és indítson, megadja azokat az instrukciókat, amelyek a fizetés lebonyolításához szükségesek. A specifikáció tartalmazza a szolgáltató és a fogyasztó authentikációjának, valamint a fogyasztói felhatalmazás megszerzésének és regisztrálásának módját.
PISP API működési logika. Forrás: „Payment Initiation API Specification – v1.0.0” (Open Banking)
Igaz, a publikált szabványok még tervezetek, és a szolgáltatók hozzászólásai eredményeként kis mértékben változhatnak, de mindenképpen nagy előrelépés a PSD2-re való felkészülésben, a digitális pénzügyi innováció kiterjesztésében.
A PSD2 szabványok publikálásához vezető út
A PSD2 irányelv a digitális pénzügyi innováció katalizálása és gyorsabb terjedése érdekében fogalmaz meg szabályokat. Ezek között az egyik leglényegesebb, hogy a bankoknak az ügyfelek folyószámla adataihoz szabványos, nyílt API-n keresztül kell hozzáférést biztosítaniuk harmadik feles szolgáltatóknak (TPP). A TPP-k ezen adatok felhasználásával további szolgáltatásokat nyújthatnak az ügyfeleknek.
A szabványok kialakítására az Európai Bankhatóság (EBA) az angolok által kezdeményezett Open Banking munkacsoportot kérte fel. A munkacsoport tavaly létrehozta az AIPS és PISP API szabványok implementálásával foglalkozó szervezetet.
Az angol versenyhatóság legutóbbi jelentésében elrendelte, hogy az Egyesült Királyság 9 legnagyobb bankja 2018 januárjától tegye elérhetővé az API-kat a TPP-k számára. A szabályozás technikai sztenderdek (röviden: RTS) és az angol versenyhatóság rendelete explicit elvárják az ISO 20022 szabvány elemeinek használatát. A most publikált szabvány tervezetek ezeknek a kötelezettségnek megfelelnek.
