Így válhat mindenkiből pénzügyi szolgáltató Magyarországon. Megjöttek az első API szabványok

Szerző: Németh Monika

Kategóriák:

Te mit kezdenél Magyarország, vagy Európa összes bankjának adatvagyonával? Milyen szolgáltatásokat építenél erre? 2018-tól Európa összes bankjának meg kell nyitnia adatvagyonát más szolgáltatók számára. A Tesco, a Spar, a Netrisk, az Extreme Digital, a Vodafone, a fintech startupok, vagy épp Te hasznosítod majd ezeket az adatokat? „Csak” a fantáziánk szab határt annak, mit kezdhetünk majd a megnyíló banki adatvagyonnal.

Gyorsabbá válhat a hitelezés, olcsóbbá válhatnak a banki szolgáltatások, egy kattintással részletfizetést kaphatsz a kereskedőnél, vagy egyetlen kattintással kifizetheted a céges számlákat. Csak egy pár példa arra, ami 2018-tól, a banki infrastruktúra megnyitása után megvalósulhat Magyarországon is. A minap publikálták azokat a szabványokat, amelyek leírják, miképpen lehet majd a bankok infrastruktúrájára rátelepülni.

A PSD2 háttere

Az Európai Unió 2015 végén elfogadta a Pénzforgalmi Szolgáltatásokról szóló módosított irányelvet (röviden PSD2), mely lehetővé teszi, hogy ne csak bankok nyújthassanak pénzügyi szolgáltatásokat. Ettől az irányelvtől az EU azt reméli, sok-sok új és innovatív digitális pénzügyi szolgáltatás jelenik majd meg.

A bankoknak a harmadik feles szolgáltatók (röviden TPP) számára hozzáférést kell adniuk a folyószámlavezető rendszerükhöz, amelyen keresztül a TPP-k tranzakciós adatokat kérhetnek le, vagy fizetési tranzakciókat kezdeményezhetnek szabványos hozzáférésen (ún. API-n) keresztül. Az előbbieket Számlainformációkat Összesítő Szolgáltatóknak (röviden AISP), az utóbbiakat Fizetés Kezdeményezési Szolgáltatóknak (röviden PISP) hívják.

AISP – Account Information Service Providers

A számlainformációkat összesítő szolgáltatók (Account Information Service Providers – AISP) a bankoknál vezetett folyószámlánk egyenlege, illetve a tranzakciós adataink elemzésével segítik pénzügyi döntéseinket. Ezen adatok más adatbázisok, illetve digitális lábnyomunk fejlett, mesterséges intelligencián alapuló elemzésével a szolgáltatók az életvitelünkhöz igazodó szolgáltatásokat, pl. bankszámla csomagokat, biztosítási ajánlatokat, megtakarítási lehetőségeket ajánlhatnak, tanácsot nyújthatnak pénzügyeink optimalizálásához.

2018. január 13-tól az EU minden tagállamában alkalmazni kell az új irányelvet, azaz ettől a pillanattól kezdve lehet beadni a felügyelethez az engedélykérelmet AISP, vagy PISP váláshoz. Az engedélyezési folyamatról korábban már írtunk, ami iránymutató lehet a felkészüléshez, ugyanakkor még mindig vannak nyitott kérdések (pl. incidens kezelés, ügyfélazonosítás, regisztrációs központ stb.), amelyek az indulás feltételeit módosíthatják, nehezíthetik. A felkészüléshez érdemes még végiggondolni a lehetséges partnerségi modelleket, illetve áttekinteni a PSD2-höz kapcsolódó egyéb szabályozásokat.

PISP – Payment Initiation Service Providers

A fizetés kezdeményezési szolgáltatók a fogyasztói felhatalmazással a fogyasztó helyett, annak bankszámlájáról intézik a fizetési megbízásokat. A PISP például közműszámláinkat, biztosítási díjunkat, vagy egyéb fizetési kötelezettségeinket a felhatalmazásunkat követően, a nevünkben eljárva pontosan, határidőre intézheti. Emellett pl. a céges számlákba ágyazott fizetési szolgáltatást is nyújthat a PISP.

A publikált szabványok tartalma

Az angol Open Banking munkacsoport publikálta a banki adatok hozzáféréséhez szükséges szabványok specifikációját. A specifikáció választ ad a bankok és a harmadik feles szolgáltatók hatékony és biztonságos együttműködésére.

Az API dokumentáció részletesen leírja a rendszerek összekapcsolásának módját, az authentikációs és adatlekérési folyamat lépcsőit, az adatok tartalmát és a felhasznált szabványokat. Emellett a specifikáció kitér az adatok formátumára, valamint a fogyasztói adatok biztonságos kezelésére és feldolgozására is.

API – Application Programming Interface

Az API hozzáférés kapcsolatot teremt a harmadik feles szolgáltató és a bank informatikai rendszerei között. A PSD2 irányelv nyílt szabványokon alapuló API biztosítását írja elő kötelezettségként a bankok számára, amelyek leírják az API funkcionalitását, műszaki paramétereit, az SLA-kat, az API felépítését, a hozzáférési szabályokat.

Mit tartalmaz az AISP és PISP szabvány tervezet?

Az AISP API szabvány specifikáció tartalmazza a számlainformációk és a tranzakció történet lekérésének, kategorizálásának, valamint a fogyasztói felhatalmazás regisztrálásának és az authentikációnak a módját.

AISP API működési logika. Forrás: „Account and Transaction API Specification – v1.0.0” (Open Banking)

A fizetések indítására szolgáló API specifikáció (PISP API) az azonnali belföldi fizetési tranzakció indításához szükséges folyamatokat, adatmodellt írja le. A TPP az API-n keresztül képes lesz arra, hogy fizetési kérelmet regisztráljon és indítson, megadja azokat az instrukciókat, amelyek a fizetés lebonyolításához szükségesek. A specifikáció tartalmazza a szolgáltató és a fogyasztó authentikációjának, valamint a fogyasztói felhatalmazás megszerzésének és regisztrálásának módját.

PISP API működési logika. Forrás: „Payment Initiation API Specification – v1.0.0” (Open Banking)

Igaz, a publikált szabványok még tervezetek, és a szolgáltatók hozzászólásai eredményeként kis mértékben változhatnak, de mindenképpen nagy előrelépés a PSD2-re való felkészülésben, a digitális pénzügyi innováció kiterjesztésében.

A PSD2 szabványok publikálásához vezető út

A PSD2 irányelv a digitális pénzügyi innováció katalizálása és gyorsabb terjedése érdekében fogalmaz meg szabályokat. Ezek között az egyik leglényegesebb, hogy a bankoknak az ügyfelek folyószámla adataihoz szabványos, nyílt API-n keresztül kell hozzáférést biztosítaniuk harmadik feles szolgáltatóknak (TPP). A TPP-k ezen adatok felhasználásával további szolgáltatásokat nyújthatnak az ügyfeleknek.

A szabványok kialakítására az Európai Bankhatóság (EBA) az angolok által kezdeményezett Open Banking munkacsoportot kérte fel. A munkacsoport tavaly létrehozta az AIPS és PISP API szabványok implementálásával foglalkozó szervezetet.

Az angol versenyhatóság legutóbbi jelentésében elrendelte, hogy az Egyesült Királyság 9 legnagyobb bankja 2018 januárjától tegye elérhetővé az API-kat a TPP-k számára. A szabályozás technikai sztenderdek (röviden: RTS) és az angol versenyhatóság rendelete explicit elvárják az ISO 20022 szabvány elemeinek használatát. A most publikált szabvány tervezetek ezeknek a kötelezettségnek megfelelnek.

Címkék:

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description