PSD2 RTS - standardy RTS do PSD2
PSD2 RTS – jakie są wytyczne techniczne nowej dyrektywy unijnej?
Finalny kształt regulacyjnych standardów technicznych dla dyrektywy PSD2 (RTS – Regulatory Technical Standards) poznamy najprawdopodobniej w listopadzie tego roku. Pozostawi to bankom i innym zainteresowanym instytucjom kolejne 18 miesięcy na wdrożenie wytycznych. Nowa bankowość jest w drodze.
Kryzys finansowy w 2008 r. zapoczątkował prawdziwą falę nowych przepisów unijnych. Dotyczą min. bezpieczeństwa infrastruktury płatniczej, cyfrowej identyfikacji i autoryzacji, nadzoru i analizy ryzyka, warunków oferowania usług finansowych. Narzucane są coraz to nowe regulacje, które generują ogromne koszty po stronie zainteresowanych podmiotów. Utrzymanie zgodności infrastruktury informatycznej z aktualnymi przepisami, to dla wielu organizacji ciągły i pochłaniający zasoby proces.
Jakkolwiek przemysł finansowy odnotowuje spory wzrost wskaźników zastosowania nowych technologii, banki wydają się nie nadążać za postępującą digitalizacją. A ponieważ stanowią ważne ogniwo globalnego łańcucha ekonomicznego, dyrektywa PSD2 ma na celu zmuszenie ich do otwarcia się i dostosowania w szybszym tempie.
Ekonomia zorientowana na użytkownika
Wynikiem tego działania Unii będzie nie tylko ewolucja infrastruktury informatycznej organizacji finansowych, ale przede wszystkim stymulacja innowacyjności. Nastąpi zwiększenie konkurencyjności. Już dziś dostrzegamy koncentrację całego rynku na użytkownikach końcowych: ich komforcie, bezpieczeństwu i jakości obsługi. W ten sposób Parlament Europejski określa standard, zgodnie z którym będzie wkrótce funkcjonować cały globalny rynek finansowy.
PSD2 nie jest jedyną ustawą, promującą otwarcie się banków – równolegle na rynku brytyjskim toczą się prace nad wdrożeniem wytycznych, zawartych w dokumencie „Open Banking Standard„, przyjętym w 2015 roku.
Nadrzędnymi celami dyrektywy PSD2 jest zapewnienie bezpieczeństwa systemu finansowego i ujednolicenia reguł postępowania dla wszystkich zaangażowanych podmiotów. Z ustawy przebija też jeden ważny wniosek: gracze powinni nauczyć się ze sobą współpracować, rozumiejąc, że w partnerstwie mogą wypracować więcej innowacyjnych rozwiązań. To przyniesie korzyści dla całego rynku, a przede wszystkim dla użytkowników-konsumentów.
Czytaj więcej: 3 kroki do PSD2 – czy Twój bank jest gotowy na zmianę?
Bądź na bieżąco z API economy
Subskrybuj newsletter APILOGIC i otrzymuj najnowsze informacje o innowacjach w branży finansowej.
[FM_form id=”3″]
Przygotowania do rewolucji w bankowości i płatnościach
W grudniu 2015 roku Europejski Urząd Nadzoru Bankowego (EBA – European Banking Authority) opublikował tzw. Discussion Paper (DP), który miał za zadanie przedstawić projekt nowej dyrektywy i poddać go publicznej debacie. EBA rozpowszechniało dokument na wielu konferencjach w obrębie Unii Europejskiej po to, by zyskać jak najwięcej opinii i wskazówek co do potrzeb zainteresowanych podmiotów.
Ze strony branży padła rekordowa liczba odpowiedzi na DP. Dotyczyła łącznie ok. 300 różnych zagadnień i wniosków o doprecyzowanie, nierzadko sprzecznych ze sobą. Temat PSD2 okazał się dla świata finansowego jednym z najmocniej dyskutowanych i wzbudzających zainteresowanie w ostatnich latach.
Dyrektywa jest narzędziem legislacyjnym Unii Europejskiej, którego głównym zadaniem jest nakreślenie celów i ogólnych warunków zmiany. Szczegółowe dostosowanie prawa w państwach członkowskich odbywa się już w oparciu o uwarunkowania lokalne, okoliczności prawne właściwe dla danego kraju. – wyjaśnia Habte Woldu, założyciel i CEO Inteca. – Terminy nie mogą się oczywiście wykluczać z tymi narzuconymi przez prawodawstwo centralne UE, niemniej jednak ramy czasowe dyrektyw dają szansę członkom Traktatu na indywidualne dostosowanie i na wyrażenie w dostosowywanym prawie szczegółowych wskazówek do jego stosowania. W przypadku PSD2, szybkość wdrożenia zmian będzie kluczowa dla przyspieszenia wzrostu gospodarczego w danym kraju. Ta potężna ustawa ma na celu pobudzenie rynku i w ekonomicznym wyścigu zwycięży ten, kto w porę zajmie odpowiednie stanowisko.
Techniczna zgodność z wytycznymi Dyrektywy PSD2 to gwarancja udanego otwarcia zasobów
Regulatory Technical Standards, czyli technikalia praktyczne
W nowym, zaktualizowanym dokumencie regulacyjnym „Final drafts RTS on SCA and CSC under PSD2” znajdziemy efekt trudnych kompromisów, następstw publicznej debaty nad założeniami dyrektywy, opublikowanymi w DP. Dopracowano w nowej wersji RTS kwestie poprawy bezpieczeństwa, wsparcia konkurencyjności, zapewnienia neutralności technologicznej oraz neutralności modelu biznesowego. Ta wersja dokumentu podkreśla też nadrzędny cel dążenia do integracji płatności na obszarze Unii, do wzmocnionej ochrony konsumentów, do zwiększenia potencjału innowacyjności całego rynku oraz zmaksymalizowania wygody klientów końcowych.
Ostateczny kształt wytycznych RTS zostanie przedstawiony do akceptacji Komisji Europejskiej, następnie zostanie zbadany przez Parlament Europejski i opublikowany w oficjalnym Dzienniku Ustaw Unii Europejskiej. 20 dni później Regulacja zyska moc prawną. Przyjęcie i wdrożenie wytycznych w każdym z Państw członkowskich odbędzie się na podstawie ustaw lokalnych. Instytucje finansowe mają więc czas jeszcze do 2019 lub 2020 roku (w zależności od potencjalnych opóźnień w opublikowaniu RTS) na obowiązkowe dostosowanie swojej infrastruktury. Ale zacząć można już teraz, bo jakkolwiek standardy techniczne mogą się jeszcze nieznacznie zmienić, to zawarty w nich przekaz pozostanie ten sam – infrastruktura banku musi zostać otwarta. Nie bez znaczenia pozostaje czas, potrzebny na wdrożenie API i innych technologicznych rozwiązań, nakazywanych ustawą.
Narastająca potrzeba wprowadzenia ram regulacyjnych, zorientowanych na użytkownika
PSD2 wkracza, kiedy rynek nowoczesnych usług finansowych jest już na tyle rozwinięty, że pojawiła się potrzeba uregulowania i uporządkowania kwestii związanych z nimi, głównie w trosce o bezpieczeństwo i komfort użytkownika. Dyrektywa w tym sensie staje na straży naszych pieniędzy, gra toczy się przecież o setki milionów, przesuwanych codziennie między kontami w całej Europie i na świecie. Rosnący gwałtownie wolumen transakcji i podmiotów je obsługujących, powoduje zwiększenie ilości możliwych ataków i wyłudzeń.
Czytaj więcej: Otwarte API, otwarta bankowość – 7 pomysłów na nowe produkty
RTS zostały przygotowane przez EBA w ścisłej współpracy z Europejskim Bankiem Centralnym (EBC). Określają one bardzo szczegółowo wymogi silnego uwierzytelniania klienta (SCA – Strong Customer Authorisation) i dozwolone wyjątki od jego stosowania.
RTS zawierają również wymagania dotyczące środków bezpieczeństwa, które muszą być przestrzegane w celu ochrony poufności i integralności poświadczeń bezpieczeństwa użytkowników usług płatniczych, oraz wymagania dla powszechnych i otwartych standardów komunikacji (CSC – Common Standards of Communication) między wszystkimi zdefiniowanymi w ustawie typami usługodawców (TPP – Third Party Providers): operatorami kont, świadczącymi usługi płatnicze (ASPSPs – Account Servicing Payment Service Providers), operatorami płatności (PISP – Payment Initiation Service Providers), operatorami rachunków bankowych (AISP – Account Information Service Providers), płatnikami, odbiorcami i innymi dostawcami usług płatniczych (PSP – Payment Service Providers).
Standardy RTS do PSD2 – najważniejsze grupy:
1. Minimalne zakresy i neutralność technologiczna rozwiązań adaptacyjnych
– dzięki tym założeniom, wytyczne ustawy pozostaną uniwersalne na lata do przodu. Proponując stosowane już, dostępne i otwarte rozwiązania technologiczne, umożliwi szybsze dostosowanie do nowych warunków.
2. Wyjątki od stosowania wymogów silnego uwierzytelniania
– w przypadku niskiego ryzyka nadużycia, RTS wskazują, kiedy dokładnie mogą być zastosowane mniej rygorystyczne środki weryfikacyjne i jakie to będą środki.
3. Warunki dostępu do kont bankowych przez TPP i standardy komunikacji między uczestnikami rynku
– ich szczegółowe zdefiniowanie ma na celu sprawny przepływ informacji i nakłada obowiązek utrzymania wysokiego poziomu analityki i automatyki transakcyjnej, dla zminimalizowania ryzyka oszustw.
Wraz z zespołem Inteca, przygotowaliśmy również ebooka „Odszyfruj RTS”, który opisuje wytyczne technologiczne w prosty sposób. Dzięki uzyskanej wiedzy, wdrożysz RTSy szybciej.