Otwarte API i otwarta bankowość – 7 pomysłów na nowe produkty

Trwa wielkie odliczanie do rewolucji na rynku finansowym. Banki stoją w obliczu potężnej zmiany, której wynikiem będzie przekształcenie całego rynku bankowości i płatności. Co tak naprawdę oznacza wejście w życie ustawy PSD2? Jakie wymogi wprowadza i w jaki sposób wpłynie ona na życie codzienne Europejczyków?

Nowe prawo nie tylko reguluje dziki dotąd krajobraz usług finansowych, ale też wnosi elementarne zmiany w dotychczasowym prawie, będąc korektą do dotychczas obowiązującej dyrektywy PSD z 2011 roku. Oprócz wprowadzenia wymogu XS2A (Access to Accounts – Dostęp do kont) dla banków i nowych kategorii podmiotów: ASPSP (Account Servicing Payment Service Provider), PISP (Payment Initiation Service Provider) i AISP (Account Information Service Provider), nowa ustawa określa również strukturę i zasady, którymi mają się kierować wszyscy gracze na rynku. Techniczne wytyczne dla banków i innych firm, pragnących otworzyć się zgodnie z dyrektywą, zawarte będą w dokumencie RTS (Regulatory Technical Standards), którego finalny kształt mamy poznać jeszcze w tym roku.

Otwartość

Ustawa obliguje banki do otwarcia swoich zasobów danych i umożliwienia przyłączania podmiotów i usług zewnętrznych do kont klientów. To zachowanie otwartości danych spotęguje ilość sposobów ich wykorzystywania.

Jawność i przejrzystość

Przed dokonaniem płatności, klient będzie musiał być bezwzględnie i wyraźnie poinformowany o szczegółach transakcji i ewentualnych opłatach. Transparentne w zakresie certyfikatów, pozyskiwanych danych i ich ochronie muszą być wszystkie zainteresowane podmioty biznesowe.

Zaufanie

Każda zmiana szczegółów transakcji będzie musiała być potwierdzona i zaakceptowana. Dynamiczne powiązania opisane w PSD2 oznaczają, że uwierzytelnianie musi być jednoznacznie przypisane do konkretnej transakcji i w przypadku zmiany jej danych, np. kwoty, należy ponownie zastosować uwierzytelnianie.

Bezpieczeństwo

Ustawa wymaga silnego uwierzytelnienia dla większości transakcji płatniczych i dostępów do konta. Wyjątki wiążą się z weryfikacją innymi sposobami i są szczegółowo zdefiniowane w RTS. W praktyce, będą musiały być spełnione dwa z trzech ustalonych w danej sytuacji warunków bezpieczeństwa (np. token i hasło, skan tęczówki i PIN, itd.), żeby dostęp stał się możliwy.

Prywatność

Dyrektywa PSD2 szczególnie zajmuje się kwestią spersonalizowanych poświadczeń bezpieczeństwa. Pewność i zaufanie użytkownika są priorytetowe w ustawie. Zwłaszcza w świetle zatwierdzonej w 2016 GDPR, unijnej General Data Protection Regulation. Wchodzi w życie w maju 2018, porządkuje dotychczasowe zapisy i zabezpiecza prawa obywateli EU do zarządzania dostępem do swoich danych. GDPR daje też centralne wskazówki do legislacyjnych porządków na poziomie krajowym.

Ochrona konsumentów

Dyrektywa narzuca restrykcyjne zasady uwierzytelniania klientów w trosce o bezpieczeństwo transakcji elektronicznych i danych osobowych uczestników tych transakcji. RTS zawierają wiele wskazówek, jak należy chronić te procesy i jak weryfikować, by jednocześnie nie pogarszać jakości obsługi klienta. Są też w dyrektywie dopuszczone nieliczne wyjątki od silnego uwierzytelnienia, bardziej szczegółowo opisane w RTS-ach.

 Czytaj więcej:  Uwierzytelnianie biometryczne, standardy FIDO i bezpieczeństwo naszych pieniędzy

Powyższe priorytety, wraz z ustandaryzowanymi wytycznymi technicznymi RTS, otwierają szybszą drogę do nowych produktów finansowych. Będzie ich coraz więcej i będą coraz bardziej zaawansowane, w miarę rejestracji kolejnych podmiotów typu PISP i AISP, w miarę zwiększania się w sieci liczby różnych API, które będą udostępniać, pobierać i przetwarzać dane finansowe klientów banków.

W świetle tej zmiany, możemy przewidzieć również część konsekwencji, jakie będą efektem ustawy PSD2. Jej autorzy liczą się z tym, że rynek europejski pomaga wyznaczyć standardy światowe, przyczyniając się do rozwoju nowej, rozproszonej ekonomii. Rozróżniliśmy 7 kluczowych grup usług i produktów, które będą pojawiały się w codziennym życiu Europejczyków po 2018.

1. Usługi od dostawców z sektora FinTech

   Firmy te już nie od dziś podejmują współpracę z bankami, rozwijając dotychczasowe i tworząc nowe, angażujące doświadczenia klientów w zakresie finansów. W przyszłości mogą być nimi konta obsługujące wiele walut, oparte o rozszerzoną rzeczywistość zabezpieczenia, automatyczne pożyczki, faktoring dla małych firm i freelancerów czy serwisy obsługujące i automatyzujące wypłaty. Z opcją świadczenia usług zarządzania informacją o koncie (AISP) czy usług płatności, technologiczne przedsiębiorstwa i startupy wydają się mieć nieograniczone możliwości. Dzięki dyrektywie otrzymujemy komplet standardów autoryzacji naszych transakcji, tworzący transparentny i bezpieczny potencjał komercyjny. W ramach tego środowiska, organizacje i fintechy będą rozwijać dla nas nowe usługi.

2. Super banki

   Korzystanie z usług bankowych i dokonywanie płatności będzie się odbywało za pośrednictwem zewnętrznego portalu, który może ewoluować w stronę agregatora produktów i usług wielu instytucji finansowych. Poprzez funkcjonalny i atrakcyjny interfejs, serwis taki prezentować będzie użytkownikom skonsolidowane usługi i wielowymiarową analizę ich finansów. Niesie to za sobą ryzyko dla banków, że klienci stracą z nimi kontakt, ale jednocześnie będzie okazją do udostępnienia nowych danych, takich jak pożyczki, oszczędności i hipoteki. Mogą pojawić się portale inwestycyjne czy kredytowe, lub dedykowane konkretnym niszom, np. dla małego biznesu. Super bank może ponadto gromadzić informacje o całkowitej historii transakcyjnej swojego klienta, z dostępem do analizy wydatków w skali życia czy np. okresu studiów. Warto też zastanowić się nad rolą bankomatów w przyszłym finansowym krajobrazie bez oddziałów bankowych. Pozostaną tam obecne, ale będą mogły oferować nowe produkty i rozwinąć dotychczasową rolę, przejmując funkcję np. zautomatyzowanych, wirtualnych „kasjerów” i stać się minibankami.

3. Dostawcy usług księgowych (AISP) i parki kont

   Możemy oczekiwać pojawienia się dostawców, tworzących nowe i innowacyjne rozwiązania do zarządzania tożsamością, oparte na kontach, transakcjach i danych historycznych swoich klientów. Ustawodawcy wzorują się na precedensie Wielkiej Brytanii, która pierwsza wytyczyła nowe standardy w zakresie usług użyteczności publicznej i produktów ubezpieczeniowych, ich agregatory całkowicie przekształciły rynek, pozwalając konsumentom na porównywanie polis. Dzisiaj to przede wszystkim cena staje się kluczem do zakupu danej usługi, należy więc się spodziewać, że nie inaczej będzie po wejściu w życie ustawy PSD2.

4. Zarządzanie ryzykiem jako usługa

   Już dziś powstają rozwiązania automatyzujące zarządzanie ryzykiem. Ustawa uwolni kolejne dane, dzięki czemu będą możliwe nowe rozwiązania, monitorujące i zarządzające elementami ryzyka. Umożliwią instytucjom finansowym doradzanie lepszych decyzji, przy zachowaniu maksymalnego komfortu użytkownika.

5. Nowe metody uwierzytelniania

   Opisane w ustawie wymagania Silnego Uwierzytelnienia Klienta SCA (Strong Customer Authentication), zwiększą bezpieczeństwo transakcji poprzez wprowadzenie trzech czynników weryfikujących tożsamość klienta. Czynniki te autoryzują niezależnie od siebie. W takim sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Dwa z tych czynników muszą zostać spełnione, by uwierzytelnienie zostało zaakceptowane. Czynnikami tymi będą: wiedza (coś, co wie wyłącznie użytkownik, np. hasło), posiadanie (coś, co posiada wyłącznie użytkownik, np. token w smartfonie) i cechy klienta (coś, czym jest użytkownik, np. jego linie papilarne). Pojawią się nowe firmy oparte o model AaaS (Authentication as a Service), specjalizujące się w uwierzytelnianiu (w postaci software), produkcji autentykatorów dla biznesu (tokenów, smart cards etc.), skanerów tęczówek i linii papilarnych, oprogramowania do analizy głosu, ochronie danych dostępowych czy cyfrowych poświadczeniach tożsamości.

6. Agregatory płatności

   W miarę rozwoju nowych modeli płatności, wzorem serwisów typu payU czy Przelewy 24, pojawią się inni gracze, zapewniający dostęp do usługi płatności (PISP). Do wejścia na rynek już przygotowują się tacy giganci, jak Amazon czy Google. Obsługiwać płatności zamierzają również sieci społecznościowe, min. operatorem transakcji elektronicznych zostanie Facebook. To może być ciekawym impulsem rozwoju takich usług, zważywszy na politykę otwartego API od lat prowadzoną przez zespół Marka Zuckerberga.

7. Nowe modele płatności

   Dzisiaj w samym kanale mobilnym mamy wiele różnych modeli płatności, takich jak płatność przez SMS, zbliżeniowa czy płatność P2P (Peer-to-Peer). Wielu wirtualnych sprzedawców i sieci handlowe szukają alternatywnych opcji dla kart płatniczych. Podmioty te mogą odtąd stać się PISP, dzięki czemu zapewnią tak pożądaną dziś wartość dodaną: polepszenie doświadczenia klientów, zapewnienie niższej ceny i ryzyka. Rozumiejąc korzyści wynikające z udostępniania danych, sam koncern VISA udostępnił API Visa Checkout, by ułatwić płatności alternatywne dla PayPal czy Square. Wszystko prowadzi do kanału mobilnego, który stanie się podstawowym w łączności usług finansowych z użytkownikiem. Technologie takie jak NFC będą się rozwijać. Smartfon zostanie wyposażony w funkcje, dzięki którym ludzie będą rzadko pamiętać, jakie było pierwotne przeznaczenie tego urządzenia. Płatności mobilne stopniowo wyprą czeki, następnie karty, a w końcu gotówkę.

Portfele mobilne i inteligentne systemy płatności to już technologie w użyciu. Za chwilę nasz wirtualny, oparty o sztuczną inteligencję doradca, na podstawie danych o tym, w jaki sposób operujemy pieniędzmi, będzie wiedział o nas całkiem sporo. Policzy, ile ich mamy, jakie mamy zadłużenie, jakie produkty kupujemy, kiedy będzie wypłata, jakie czekają nas wydatki czy jak na miesięczny budżet wpłyną dzisiejsze zakupy.

Istotą rzeczy jest to, żeby banki znały swoich klientów, a klienci – ufali swoim bankom. Wtedy system, którego rozwój stymuluje nowe prawo unijne, stanie się powszechny.
Instytucje finansowe muszą zacząć myśleć o ludziach i o jednostkach, wykształcić społeczną wrażliwość. Banki nieszczególnie kojarzą się nam jako aktywne i obsługujące klientów w sieciach społecznościowych marki. Branża ta będzie musiała przejść długą drogę do takiej obsługi klienta, do jakiej inne – już nas przyzwyczaiły.

 Czytaj więcej:  3 kroki do PSD2 – czy Twój bank jest gotowy na zmianę?

W banku przyszłości chodzi przede wszystkim o zmianę, o czym pisał już w 2013 roku w swojej książce „Bank 3.0” znany finansista Brett King. Kluczem do generowania nowych produktów i usług finansowych jest ich kontekstowość, a przecież kontekst może się zmieniać. Zmieniają się kanały, zmieniają się użytkownicy. Tylko podążając za zmianami, firmy – w tym banki – będą mogły wciąż wygrywać w wyścigu o klienta.

Strategie w biznesie muszą być kształtowane na podstawie dialogu. Wkrótce standardem będzie kształtowanie produktu rękami jego użytkowników. Nowoczesna, nastawiona na rozwój organizacja powinna stale pielęgnować swoje cyfrowe kompetencje i rozwijać technologie dostępne w chmurze. API staje się dzisiaj bramą pomiędzy bankiem a resztą świata, ale tak naprawdę chodzi o to, żeby kiedyś nie musiało być żadnej bramy.