2019.09.17.

Tényleg elindult 2019. szeptember 14-én a nyílt bankolás Magyarországon?

Kategóriák:

2019. szeptember 14. a pénzügyi világban az új időszámítás kezdete. Legalábbis az volt a szabályozó elképzelése, hogy ettől a naptól kezdve pl. a fintech startupok „rácsatlakozhatnak” a banki infrastruktúrára. Hátha a friss szemlélet, az agilis megközelítés érdemi innovációt eredményez majd a pénzügyi szektorban. Eljött szeptember 14., de az ováció (ismét) elmaradt. Nem tolonganak se a fintech startupok, de úgy tűnik, a nyílt banki API-k sem (úgy) „működnek”, ahogy a szabályozó megálmodta. Merre tovább nyílt bankolás (Magyarországon)?

„Hová tűnt 2019. szeptember 14.?”

2018. január 13. napjától kötelezően alkalmazandó a Második Pénzforgalmi Irányelv (PSD2) Magyarországon is, ám a szabályozó oldali csúszásnak is köszönhetően rögtön kihirdették az EU-ban a 18 hónapos „átmeneti” időszakot. Az új céldátum 2019. szeptember 14. lett, amely naptól kezdődően:

az internetes fizetéseink biztonsága érdekében életbe lépett (volna) az erős ügyfél-hitelesítés, ám a felkészülés nem sikerült.
Ún. harmadik feles szolgáltatók (pl. fintech startupok), amelyek rendelkeznek könnyített felügyeleti engedéllyel (vagy regisztrációval), azok az ügyfelek felhatalmazását (az erős ügyfél-hitelesítést) követően újfajta, innovatívabb, olcsóbb, gyorsabb stb. digitális pénzügyi szolgáltatásokat nyújthat(ná)nak az ügyfelek számlatörténetére alapozva (ezek lennének a Számlainformációs Szolgáltatók – AISP), vagy újfajta elektronikus fizetési megoldásokat kínálhat(ná)nak (utóbbiak a Fizetés-kezdeményezési Szolgáltatók – PISP). Ugyanakkor épp a minap napvilágot látott jelentés szerint a banki API hozzáférések nem teljesítik teljeskörűen a szabályozói elvárásokat.
A szabályozó előrelátó módon már korábban megalkotta a tartalékmechanizmust, ha mégsem működnének azok a bizonyos API-k. Márpedig a hazai AISP szolgáltatókkal folytatott háttérbeszélgetések alapján a hazai banki API-kkal (is) „baj van”.
Az MNB megalkotta a tartalékmechanizmus kialakítása alóli felmentést is a bankok számára, ami fintech-vélemények szerint inkább hátrányosan érinti a fintech startupokat.

Eljött szeptember 14., aminek az eredményei:

az internetes fizetéseknél alkalmazandó erős ügyfél-hitelesítés bevezetése további 12 hónap halasztást kapott.
Összesen 3 fintech startup tudta az elmúlt 18 hónapban megszerezni az MNB-től az AISP regisztrációt, ami elméletileg a legkönnyebb belépési lehetőséget jelentené a szigorúan szabályozott pénzügyi közvetítői rendszerbe. A „könnyítés” valahol „félrement”, mivel a „könnyített” eljárás is kb. 700 oldalnyi dokumentációt és 11 hónapot jelentett eddig regisztrálónként. A már regisztrált, illetve a regisztrálás alatt álló társaságok egyáltalán nem találták fintech-barátnak ezt az eljárást és arra panaszkodtak, olyan IT követelményeket kell teljesíteniük, mintha banki folyószámlavezető rendszert építenének.
Nincs eddig engedélyezett PISP szolgáltató Magyarországon.
Van viszont tartalékmechanizmus alóli mentesség, amelynek jelenlegi formája inkább a fintech startupokat hozza hátrányos helyzetbe.

Kapcsolódó cikkek:

12 nap a PSD2 indulásáig, de nincsenek megfelelő banki API hozzáférések, 2019.09.02.
Hátrányos helyzetbe kerülhetnek a fintech cégek az MNB ajánlása miatt, 2019.07.18.

Cél a jól működő API

A magas ügyfélélményt, az egyszerű ügyfélfolyamatokat, az olcsóbb pénzügyi szolgáltatások piacravitelét a nyílt banki API-hozzáférések alkalmazása támogatja és a szabályozó is ezt a technológiai megközelítést preferálta. Egyúttal a rendelet tartalék eljárás – ú.n. tartalékmechanizmus – kialakítására „kötelezte” a bankokat az API meghibásodása, nem megfelelő működésének esetére.

Az API alapú banki működés ösztönzése érdekében a felügyeletek a tartalékmechanizmus kialakítása alól – a bankok egyedi kérelmére – felmentést adhatnak. A felmentés feltétele, hogy a bankok a PSD2-nek és az SCA rendeletnek teljes mértékben megfelelő API-kat alakítsanak ki, melyeket tesztkörnyezetben legalább 3 hónapon át széles körben tesztelnek. Amennyiben az API működése akadozik, vagy nem megfelelő, a felmentés visszavonható.

A banknak tehát rendelkeznie kell megfelelő, működő API-val, melyet tesztelni lehet(ett) március 14-től a banki sandboxban, azt követően éles üzemben, valamint – amennyiben nem kapott felmentést – tartalékmechanizmussal.

Tartalékmechanizmus

A tartalékmechanizmus a gyakorlatban leginkább a már ismert webscraping olyan továbbfejlesztett módja, melynek során a harmadik feles szolgáltató a kilétét, felügyeleti jogosultságait és a felhasználó felhatalmazását is „bemutatja” a csatlakozást megelőzően.

Mit láttunk eddig?

2019. március 14-20. között a FinTechZone összegyűjtötte, mely bankok publikálták az API dokumentációkat, illetve nyitották meg sandbox-aikat. Bár a felmérésünk szerint már ekkor 14 hazai bank megnyitotta tesztkörnyezetét, a piaci tapasztalatok azt mutatják, hogy

eddig éles, a PSD2 funkcionális követelményeinek megfelelő API nem került megnyitásra. Ugyanígy nem leltük nyomát a tartalékmechanizmust részletesen leíró banki dokumentációknak sem.

A tesztkörnyezetekben jellemzően csupán dokumentáció érhető el az API-król és ezeknél a bankoknál tesztelésre egyáltalán nincs mód. Vannak olyan hazai bankok, ahol az API-k alapfunkcionalitása és a szolgáltató jogosultsága, az ügyfél felhatalmazása, az ügyfél-hitelesítési eljárás is tesztelhető, de a PSD2-ben előírt adatok teljeskörűen nem kerülnek átadásra, így pedig

sérül a harmadik feles szolgáltató által nyújtható szolgáltatás, romlik az ügyfélélmény.

Kapcsolódó cikkek:

Itt a hazai open banking lista! 20-ból 17 magyar bank elstartolt, 2019.03.18.

Bezárulnak a kapuk a nyílt bankolás körül

Amennyiben teljes funkcionalitású, magas SLA-k mellett működő API-k nem érhetők el a bankoknál és a jogszabályban leírt csatlakozáshoz szükséges tartalékmechanizmus nem kerül kialakításra időben, a fintech cégek, harmadik feles szolgáltatók nem, vagy nem olyan ügyfélélménnyel és szolgáltatás tartalommal tudnak szolgáltatásokat nyújtani ügyfeleiknek. Ennek eredményeként a verseny nem tud megindulni, nem kerülnek új szolgáltatások a piacra.
A fintech cégek az elmúlt években temérdek erőforrást fordítottak a felkészülésre bízva abban, hogy a játéktér valóban megnyílik számukra. Ha a banki oldal nem biztosítja a megfelelő/elvárt kapcsolódási lehetőséget, a fintech cégek üzleti várakozásai nem tudnak megvalósulni, ami akár munkahelyek elvesztését is eredményezheti.
Az esetleges késlekedés hátrányosan érinti a gazdaságot és a felhasználókat is, hiszen a szabályozó által elvárt verseny és annak pozitív következményei elmaradnak.

Kapcsolódó cikkek:

Pár hónap múlva, új fizetési megoldásokkal jöhet a nyílt bankolás, 2019.07.25.
Alkonyattól pirkadatig. Open banking körkép a bankszektorból, 2019.01.09.

Indul a nagy banki-API mustra

A FinTechZone partnereivel együtt a következő hetekben felmérést végez, ahol arra keressük a választ, hogy

A gyakorlatban a bankok hogyan állnak az API-kal?
A márciusban megnyitott sandbox-okba érkeztek-e kapcsolódási igények? Hogyan működnek a sandbox-ok?
A regisztrált új szolgáltatók mikor tudnak indulni szolgáltatásaikkal?
Milyen tartalékmechanizmust alkalmaznak a bankok?
Kik kaptak felmentést a tartalékmechanizmus alól és ezen bankoknál milyen a kiajánlott API?

Eddig Európában több mint 200 társaság szerzett a PSD2 alapján szolgáltatási (AISP, PISP, CISP) jogosultságot. Ez azt jelenti, hogy legalább ennyi fintech cég/pénzforgalmi szolgáltató várja, hogy csatlakozhasson a banki kiajánlott interfészekhez.

Címkék:

erős ügyfél-hitelesítés | fintech | PSD2

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description