Az Európai Bizottság kihirdette az erős ügyfélhitelesítés (SCA), valamint a biztonságos, nyílt kommunikáció (API) szabályairól szóló rendeletet. A bankoknak legkésőbb 2019. március 14-től elérhetővé kell tenniük a jogszabályban előírt rendszereikhez hozzáférést biztosító technikai dokumentációkat.

Elfogadták az erős ügyfélhitelesítésre, a nyílt kommunikációs szabványokra vonatkozó PSD2 előírásokat

A viták során az Európai Bizottság és az Európai Parlament is kiállt amellett, hogy a bankszektor versenyképességét a piac megnyitásával, új szereplők „beengedésével” lehet fokozni. Ennek a feltételeit teremtette meg a második pénzforgalmi irányelv (PSD2 – Payment Services Directive), az ahhoz kapcsolódó szabályozástechnikai standardok (RTS), valamint az EU nemrég elfogadott FinTech Akcióterve is. Az RTS a bank és a banki infrastruktúrára rátelepülő új szolgáltatók – pl. fintech startupok, kereskedők, távközlési, vagy közműszolgáltatókösszekapcsolódásának technikai előírásait tartalmazó legfontosabb részletszabálya.

RTS: a szabályozástechnikai standardok

Az RTS meghatározza a felhasználók hitelesítésének és a szolgáltatók egymás közötti azonosításának módját. Részletes szabályokat fogalmaz meg a szolgáltatók együttműködésére a fizetési számlaadatokhoz való hozzáférés, a tranzakció lebonyolítása, dokumentálása kapcsán. Kivételi eseteket rögzít az alacsony kockázatú, kisértékű tranzakciók gyors teljesítése érdekében.

Transzparens API követelmények

Legkésőbb 2019. március 14-ére a bankoknak biztosítaniuk kell, hogy a PSD2 szerinti új szolgáltatók (Számlainformációkat Összesítő Szolgáltatók – AISP, Fizetés-kezdeményezési Szolgáltatók – PISP) a folyószámlavezető rendszerhez hozzáférést biztosító interfészeket, az API-kat elkezdhessék tesztelni.

A bankoknak a weboldalukon díjmentesen hozzáférhetővé kell tenniük az interfész specifikációkat és azok összefoglaló dokumentációját. Az új szolgáltatók kiszolgáltatottságát csökkenti a szabályozás azzal, hogy a banki API hozzáféréseken keresztül ugyanolyan rendelkezésre állást kell biztosítani, mint amit a netbankon keresztül nyújtanak a felhasználóknak. Ennek ellenőrzésére a bankok negyedévente kötelesek nyilvánosságra hozni az API és a netbank rendelkezésre állásának statisztikáit.

A tartalékmechanizmus intézményének bevezetése

Az Európai Bizottság javaslatára a szabályozásba bekerült tartalékmechanizmus célja, hogy az AISP és a PISP szolgáltatók a banki API-k „meghibásodása” vagy nem kielégítő működése esetén is tudjanak szolgáltatni. A szabályozás alapján, ha 5 egymást követő API hívás esetén 30 másodperc alatt nem érkezik válasz, a banknak biztosítania kell, hogy a szolgáltató a felhasználó fizetési számla adataihoz a felhasználói interfészen keresztül hozzáférhessen (pl. screen scraping eljárással).

A helyi hatóságok adhatnak a banknak mentességet a tartalékmechanizmus kötelezettsége alól, amennyiben az API paraméterei az RTS-nek teljeskörűen megfelelnek és ezt legalább 3 hónapos piaci tesztekkel is igazolni tudják. Ez a mentesség azonban nem szól korlátlan ideig. Amennyiben egymást követő 2 héten túl az API nem teljesíti a dokumentációban leírt rendelkezésre állással és a teljesítménnyel kapcsolatos paramétereket, a bank elveszíti a mentességet.

Az API-n keresztül elérhető adatok és az API lekérdezés gyakoriságának szabályozása

Az RTS előírja, hogy a Számlainformációs Szolgáltató (AISP) ugyanazokhoz a fizetési számla adatokhoz férjen hozzá, mint amiket a felhasználó a netbanki felületén lát. Továbbá a PISP a fizetési megbízás befogadásához és végrehajtásához ugyanazokat az információkat kapja meg, mintha a felhasználó közvetlenül indítaná a megbízást. Az AISP szolgáltató minden olyan esetben, amikor a felhasználó aktív kéréssel fordul hozzá haladéktalanul, aktív felhasználói kérés hiányában naponta négyszer kérhet le adatokat.

Az adatlekérés módja és az alkalmazott ügyfélhitelesítés

Alapszabály, hogy minden alkalommal, amikor az AISP vagy a PISP szolgáltató a fizetési számlához hozzá akar férni, erős ügyfélhitelesítést (SCA) kell alkalmazni. Ugyanakkor az RTS megfogalmaz kivételeket, pl:

  • az AISP csak a legelső adatkérésnél köteles erős ügyfélhitelesítést alkalmazni, ezt követően 90 napig nem kell alkalmaznia.
  • A felhasználó a bankján keresztül létrehozhatja a saját ”Megbízható kedvezményezettek listáját”. A lista létrehozásakor és módosításakor szükséges erős ügyfélhitelesítést alkalmazni, a listán szereplő kedvezményezettnek a fizetés indításakor nem – akár közvetlenül, akár PISP szolgáltatóján keresztül történik.
  • Ugyanazon felhasználónak szóló, ugyanazon összegű rendszeres fizetési megbízás esetén is csak az első alkalommal kell erős ügyfélhitelesítést alkalmazni.
  • Kivételt képeznek ugyanazon bankszámlatulajdonos azonos bankon belüli számlaátvezetései is.

Jönnek az API szabványok is

Az API szabványosításán a piaci munkacsoportok már dolgoznak. A Berlin Group és az angol Open Banking Implementation Entity is közzétették API szabvány javaslataik első változatát. A javaslatok alapján az Európai Bizottság a Fintech Akciótervben 2019 második negyedévét jelölte meg, amikorra az API szabványok publikálásra kerülhetnek.

A PSD2 mini Akadémián a hazai szabályozóval közösen vitatjuk meg az RTS szabályait, tekintjük át a piacra lépés kihívásait fintech és szabályozói szemmel. Részletek: FinTechShow 2018.