2019 márciusától elérhető lesz az összes banki API az EU-ban

írta | 2018.03.19. | API bankolás, Open banking, Összes hír, PSD2, Szabályozás

Az Európai Bizottság kihirdette az erős ügyfélhitelesítés (SCA), valamint a biztonságos, nyílt kommunikáció (API) szabályairól szóló rendeletet. A bankoknak legkésőbb 2019. március 14-től elérhetővé kell tenniük a jogszabályban előírt rendszereikhez hozzáférést biztosító technikai dokumentációkat.

Elfogadták az erős ügyfélhitelesítésre, a nyílt kommunikációs szabványokra vonatkozó PSD2 előírásokat

A viták során az Európai Bizottság és az Európai Parlament is kiállt amellett, hogy a bankszektor versenyképességét a piac megnyitásával, új szereplők „beengedésével” lehet fokozni. Ennek a feltételeit teremtette meg a második pénzforgalmi irányelv (PSD2 – Payment Services Directive), az ahhoz kapcsolódó szabályozástechnikai standardok (RTS), valamint az EU nemrég elfogadott FinTech Akcióterve is. Az RTS a bank és a banki infrastruktúrára rátelepülő új szolgáltatók – pl. fintech startupok, kereskedők, távközlési, vagy közműszolgáltatókösszekapcsolódásának technikai előírásait tartalmazó legfontosabb részletszabálya.

RTS: a szabályozástechnikai standardok

Az RTS meghatározza a felhasználók hitelesítésének és a szolgáltatók egymás közötti azonosításának módját. Részletes szabályokat fogalmaz meg a szolgáltatók együttműködésére a fizetési számlaadatokhoz való hozzáférés, a tranzakció lebonyolítása, dokumentálása kapcsán. Kivételi eseteket rögzít az alacsony kockázatú, kisértékű tranzakciók gyors teljesítése érdekében.

Transzparens API követelmények

Legkésőbb 2019. március 14-ére a bankoknak biztosítaniuk kell, hogy a PSD2 szerinti új szolgáltatók (Számlainformációkat Összesítő Szolgáltatók – AISP, Fizetés-kezdeményezési Szolgáltatók – PISP) a folyószámlavezető rendszerhez hozzáférést biztosító interfészeket, az API-kat elkezdhessék tesztelni.

A bankoknak a weboldalukon díjmentesen hozzáférhetővé kell tenniük az interfész specifikációkat és azok összefoglaló dokumentációját. Az új szolgáltatók kiszolgáltatottságát csökkenti a szabályozás azzal, hogy a banki API hozzáféréseken keresztül ugyanolyan rendelkezésre állást kell biztosítani, mint amit a netbankon keresztül nyújtanak a felhasználóknak. Ennek ellenőrzésére a bankok negyedévente kötelesek nyilvánosságra hozni az API és a netbank rendelkezésre állásának statisztikáit.

A tartalékmechanizmus intézményének bevezetése

Az Európai Bizottság javaslatára a szabályozásba bekerült tartalékmechanizmus célja, hogy az AISP és a PISP szolgáltatók a banki API-k „meghibásodása” vagy nem kielégítő működése esetén is tudjanak szolgáltatni. A szabályozás alapján, ha 5 egymást követő API hívás esetén 30 másodperc alatt nem érkezik válasz, a banknak biztosítania kell, hogy a szolgáltató a felhasználó fizetési számla adataihoz a felhasználói interfészen keresztül hozzáférhessen (pl. screen scraping eljárással).

A helyi hatóságok adhatnak a banknak mentességet a tartalékmechanizmus kötelezettsége alól, amennyiben az API paraméterei az RTS-nek teljeskörűen megfelelnek és ezt legalább 3 hónapos piaci tesztekkel is igazolni tudják. Ez a mentesség azonban nem szól korlátlan ideig. Amennyiben egymást követő 2 héten túl az API nem teljesíti a dokumentációban leírt rendelkezésre állással és a teljesítménnyel kapcsolatos paramétereket, a bank elveszíti a mentességet.

Az API-n keresztül elérhető adatok és az API lekérdezés gyakoriságának szabályozása

Az RTS előírja, hogy a Számlainformációs Szolgáltató (AISP) ugyanazokhoz a fizetési számla adatokhoz férjen hozzá, mint amiket a felhasználó a netbanki felületén lát. Továbbá a PISP a fizetési megbízás befogadásához és végrehajtásához ugyanazokat az információkat kapja meg, mintha a felhasználó közvetlenül indítaná a megbízást. Az AISP szolgáltató minden olyan esetben, amikor a felhasználó aktív kéréssel fordul hozzá haladéktalanul, aktív felhasználói kérés hiányában naponta négyszer kérhet le adatokat.

Az adatlekérés módja és az alkalmazott ügyfélhitelesítés

Alapszabály, hogy minden alkalommal, amikor az AISP vagy a PISP szolgáltató a fizetési számlához hozzá akar férni, erős ügyfélhitelesítést (SCA) kell alkalmazni. Ugyanakkor az RTS megfogalmaz kivételeket, pl:

  • az AISP csak a legelső adatkérésnél köteles erős ügyfélhitelesítést alkalmazni, ezt követően 90 napig nem kell alkalmaznia.
  • A felhasználó a bankján keresztül létrehozhatja a saját ”Megbízható kedvezményezettek listáját”. A lista létrehozásakor és módosításakor szükséges erős ügyfélhitelesítést alkalmazni, a listán szereplő kedvezményezettnek a fizetés indításakor nem – akár közvetlenül, akár PISP szolgáltatóján keresztül történik.
  • Ugyanazon felhasználónak szóló, ugyanazon összegű rendszeres fizetési megbízás esetén is csak az első alkalommal kell erős ügyfélhitelesítést alkalmazni.
  • Kivételt képeznek ugyanazon bankszámlatulajdonos azonos bankon belüli számlaátvezetései is.

Jönnek az API szabványok is

Az API szabványosításán a piaci munkacsoportok már dolgoznak. A Berlin Group és az angol Open Banking Implementation Entity is közzétették API szabvány javaslataik első változatát. A javaslatok alapján az Európai Bizottság a Fintech Akciótervben 2019 második negyedévét jelölte meg, amikorra az API szabványok publikálásra kerülhetnek.

A PSD2 mini Akadémián a hazai szabályozóval közösen vitatjuk meg az RTS szabályait, tekintjük át a piacra lépés kihívásait fintech és szabályozói szemmel. Részletek: FinTechShow 2018.

Itt követhetsz minket:

NÉMETH MONIKA

NÉMETH MONIKA

A Magyar Telekomnál szabályozással, majd “smart” projektekkel foglakozott. A pénzügyi szektorban végmenő digitális transzformáció kísértetiesen hasonlít a telko iparág átalakulására, így korábbi tapasztalatait most a digi pénzügyek világában hasznosítja. Ha ma lenne óvodás, akkor a PSD2 lenne belevarrva a takarójába. A #regtech trendeket és megoldásokat is vizsgálja a szabályozói kihívások mellett. #banktech #regtechguru
A FinTechZone.hu kiadója a FinTech Group Kft.

ELEKTRONIKUS FIZETÉSI TÉRKÉP

“elektronikus fizetesi terkep
Betekintést adunk az elektronikus fizetési piac átalakulásába, az új fizetési megoldások világába.

HUNFINTECH 20/20

“HUNFINTECH FINTECH BOOK
A Magyar FinTech Book: A 20 legígéretesebb magyar fintech.

GPE softPOS

softpos gpe bankkartya elfogadas mobilon globalpayments
Androidos mobilod van? Töltsd le a GPE softPOS alkalmazást és fogadj egyszerűen érintés nélküli fizetéseket közvetlenül az okostelefonodon keresztül!

Azonnali Fizetési Megoldások

“simplepay azonnali fizetési kiadvanyok
Új lehetőségek az elektronikus fizetésben. Azonnali fizetési megoldások kereskedőknek, bankoknak, technikai aggregátoroknak.