Nadchodzą otwarte finanse – czy PSD3 zmieni cały rynek finansowy?

Czym są otwarte finanse?

Otwarte finanse to koncepcja, która ma umożliwić klientom instytucji finansowych udostępnianie swoich usług i danych zewnętrznym dostawcom. Ma ona zapewnić użytkownikom większą przejrzystość sytuacji finansowej, ułatwienia w procesie wnioskowania o nowe produkty i swobodę zmiany dostawcy, a także całkiem nowe usługi oparte o dane finansowe użytkownika z różnych instytucji. Podstawowym fundamentem otwartych finansów jest zapewnienie możliwości przekazywania danych o użytkowniku – za jego zgodą – między różnymi instytucjami finansowymi.

W założeniu koncepcja ta ma umożliwiać między innymi efektywne wykorzystywanie danych finansowych z różnych instytucji (np. w celu oceny zdolności kredytowej lub identyfikacji potrzeb klienta), wbudowywanie komponentu finansowego w inne usługi i aplikacje, z których korzystają klienci (tzw. embedded finance) czy w formie narzędzi ułatwiających uczestnikom rynku finansowego zarządzanie swoimi aktywami (np. budowanie niezależnych interfejsów użytkownika i usług PFM).

Koncepcja otwartych finansów jest oparta na otwartej bankowości, dla której prawne fundamenty zbudowała dyrektywa PSD2. Obecnie otwarta bankowość w UE jest jednak ograniczona do rachunków płatniczych dostępnych online – przepisy nie dotyczą innych produktów oferowanych przez banki (np. lokat, produktów inwestycyjnych) ani rachunków prowadzonych wyłącznie w tradycyjny sposób (bez dostępu online). Poza zakresem regulacji są również wszystkie inne produkty finansowe, takie jak np. ubezpieczenia, rachunki maklerskie czy instrumenty finansowe. Zmienić tę sytuację ma właśnie przyjęcie nowych regulacji dla otwartych finansów.
 

Otwarte finanse jako „lepsza” otwarta bankowość?

Budowa otwartych finansów wymaga stworzenia odpowiednich podstaw organizacyjnych i technicznych, które umożliwią swobodną, ale jednocześnie bezpieczną wymianę danych, a także zapewnią standaryzację formatu danych umożliwiającą ich dalsze wykorzystanie. Dla usług otwartej bankowości szczegółowo uregulowała te kwestie dyrektywa PSD2.

Jej celem było m.in. dążenie do wyeliminowania screen scraping’u, czyli praktyki polegającej na niekontrolowanym przez bank dostępie fintechów do środków pieniężnych i informacji o użytkowniku. Korzystanie z tej metody wymagało ujawnienia fintechowi danych logowania przez klienta banku, a następnie zalogowania się przez fintech do standardowego interfejsu bankowości internetowej klienta. Praktyka ta była przedmiotem stanowczej reakcji niektórych unijnych organów nadzoru (w tym Komisji Nadzoru Finansowego), jako naruszająca podstawowe zasady bezpieczeństwa. W praktyce jednak popularność tych rozwiązań rosła, a z oferowanej przez fintechy możliwości zaimportowania danych z rachunku w innych bankach korzystały nawet… same banki.

Od strony organizacyjnej podstawą dla otwartej bankowości w dyrektywie PSD2 jest obowiązek udostępnienia przez banki (a precyzyjnie mówiąc – przez wszystkich dostawców, którzy prowadzą rachunku płatnicze dostępne online) interfejsu, umożliwiającego komunikację między tą instytucją a zewnętrznym dostawcą usług. Dostęp do interfejsu musi być zapewniony nieodpłatnie, na takim samym poziomie jak dostępność standardowego interfejsu użytkownika i bez dodatkowych przeszkód ze strony dostawcy prowadzącego rachunek. Z jednej strony obowiązek prawny wspiera powszechność wdrożenia takiego interfejsu, z drugiej strony jednak projekty wdrożeniowe generowały istotne koszty po stronie banków w całej UE.

Warstwę techniczną open bankingu miały zapewnić inicjatywy standaryzacyjne dla interfejsów, które działały w ramach kilku grup międzynarodowych (np. grupy berlińskiej, która wypracowała wiodący w Europie standard NextGenPSD2) lub krajowych (jak grupa PolishAPI przy Związku Banków Polskich). Zgodnie z przepisami wykonawczymi do dyrektywy PSD2 interfejs służący do komunikacji z zewnętrznymi dostawcami może stanowić odrębne API (ang. application programming interface) lub stanowić odpowiednio zmodyfikowaną bankowość elektroniczną (m.in. poprzez umożliwienie zautomatyzowanej identyfikacji zewnętrznych dostawców). W praktyce większość banków zdecydowała się na wdrożenie specjalnego interfejsu API, przeznaczonego wyłącznie do komunikacji z dostawcami usług otwartej bankowości, choć ich rzeczywisty poziom standaryzacji – przynajmniej w ocenie fintechów – pozostawia wiele do życzenia.

Jednym z najważniejszych argumentów krytycznych wobec regulacji otwartej bankowości było ograniczenie jej tylko do danych i dyspozycji z rachunków płatniczych. Co prawda nie ma przeciwwskazań, aby już dziś banki rozszerzyły zakres udostępnianych zewnętrznym dostawcom danych i dyspozycji o inne produkty (co potwierdzał zresztą Europejski Urząd Nadzoru Bankowego), ale niewiele banków zdecydowało się na taką funkcjonalność API. Nawet możliwość pobierania opłat nie okazała się przekonywująca. Zmienić to mają właśnie nadchodzące regulacje, projektowane aktualnie przez Komisję Europejską.
 

Otwarta bankowość a bezpieczeństwo klientów, czyli lesson learned dla otwartych finansów

Koncepcja otwartych finansów często rodzi obawy związane z bezpieczeństwem danych, środków finansowych i innych aktywów klientów. Praktyka z rynku bankowego wskazuje, że odpowiednie regulacje prawne i standardy pozwalają na znaczne ograniczenie ryzyka nadużyć (oczywiście w granicach, w jakich jest to możliwe technologicznie). Prawodawca unijny wdrożył szereg rozwiązań prawnych, mających na celu ochronę bezpieczeństwa obrotu, w tym:

1. Zgoda użytkownika. Zewnętrzni dostawcy usług mogą uzyskać dostęp do danych finansowych użytkownika albo zainicjować transakcję płatniczą wyłącznie na podstawie zgody udzielonej przez użytkownika. Zgoda jest udzielana zasadniczo wobec zewnętrznego dostawcy, choć banki (przynajmniej te, które opierały konstrukcje interfejsu o standard PolishAPI) niezależnie weryfikują zakres uprawnień udzielanych zewnętrznemu dostawcy przez użytkownika.
2. Obowiązek rejestracji lub zezwolenia. Zewnętrzni dostawcy usług są podmiotami nadzorowanymi przez właściwe organy krajowe. W celu świadczenia usług muszą uzyskać status dostawcy usług płatniczych (np. banku, instytucji płatniczej lub instytucji pieniądza elektronicznego). Wprawdzie dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku nie muszą uzyskać zezwolenia i wymagany od nich jest jedynie wpis do rejestru, w praktyce poziom wymogów związanych z uzyskaniem takiego wpisu jest zbliżony do typowych postępowań licencyjnych, a sam proces rejestracji trwa zwykle ponad pół roku.
3. Silne uwierzytelnianie klienta (SCA). Wraz z uregulowaniem otwartej bankowości, konieczne stało się wzmocnienie mechanizmów kontroli dostępu do danych finansowych. Silne uwierzytelnianie klienta jest rozbudowaną na potrzeby usług finansowych koncepcją uwierzytelnienia dwustopniowego (2FA), wprowadzającą dodatkowe obowiązki m.in. w zakresie samych czynników uwierzytelnienia (wiedza, posiadanie, cechy użytkownika), generowania kodu uwierzytelniającego i dynamicznego łączenia kwoty transakcji z tym kodem. Szczegóły stosowania SCA określa odrębne rozporządzenie delegowane Komisji Europejskiej (tzw. RTS-y).
4. Korzystanie z certyfikatów PSD2. Zewnętrzni dostawcy usług powinni również zapewniać, że w komunikacji z dostawcą prowadzącym rachunek będą identyfikować się certyfikatem, obejmującym m.in. dane o zezwoleniu lub rejestracji, uzyskanym przez dostawcę. Zastosowanie ma podnosić poziom zaufania i bezpieczeństwa w komunikacji za pośrednictwem bankowych interfejsów.
5. Szczegółowe zasady odpowiedzialności. Dyrektywa PSD2 uszczegółowiła zasady odpowiedzialności za transakcję płatniczą, jeśli jej niewykonanie lub nienależyte wykonanie albo wykonanie nieautoryzowanej transakcji jest skutkiem działania zewnętrznego dostawcy. Przenosi ona odpowiedzialność na dostawców usług płatniczych i zapewnia ochronę użytkownika np. w razie oszustwa. Te korzystne zasady mogą być jednak ograniczone w obrocie z użytkownikami innymi niż konsumenci.

Przed publikacją projektu nowych przepisów trudno powiedzieć, na ile Komisja Europejska zdecyduje się wprowadzić analogiczne rozwiązania dla otwartych finansów. Z pewnością rozwiązania te mogą zostać nieco zmodyfikowane w oparciu o doświadczenia wynikające z wdrożenia dyrektywy PSD2 i usług otwartej bankowości w całej UE. Na wysokim poziomie konstrukcja prawna otwartych finansów prawdopodobnie nie będzie jednak znacząco odbiegać od konstrukcji regulacyjnej otwartej bankowości, która wynika z obecnych przepisów.

Rozszerzenie tych zasad na otwarte finanse i zastosowanie ich w innych sektorach rynku finansowego wydaje się obecnie naturalnym kierunkiem rozwoju regulacji. W szczególności obowiązek udostępnienia interfejsu dostępowego nie jest już wyłącznie domeną dyrektywy PSD2, ale zawiera go np. projektowany Data Act. W przypadku takich instytucji jak domy maklerskie lub zakłady ubezpieczeń oferujące ubezpieczenia z UFK obowiązek udostępnienia API może ułatwić dostęp do danych finansowych użytkownika przez zewnętrznych dostawców. Odpowiednie zabezpieczenie interfejsu byłoby natomiast istotnym instrumentem podnoszącym poziom bezpieczeństwa komunikacji, a tym samym zwiększyłoby zaufanie do danych uzyskanych wskutek importu.

Dodatkowo prawdopodobne wydaje się obowiązkowe zastosowanie silnego uwierzytelniania klienta przez inne instytucje finansowe niż tylko dostawcy usług płatniczych. W szczególności taki wymóg byłby z kolei spójny z innymi obowiązkami nakładanymi przez prawodawcę unijnego na instytucje finansowe w obszarze bezpieczeństwa. W szczególności warto zwrócić uwagę na wymóg wdrożenia polityk i protokołów dotyczących silnych mechanizmów uwierzytelniania, opartych na odpowiednich standardach i specjalnych systemach kontroli, zawarty w art. 9 ust. 3 lit. d rozporządzenia DORA.
 

Zewnętrzni dostawcy usług open finance – nowi gracze na rynku finansowym?

Można się spodziewać, że nowa regulacja nałoży obowiązek rejestracji dla zewnętrznych dostawców, w zakresie w jakim uzyskują dostęp do danych finansowych użytkownika w innych instytucjach. Wskazuje na to choćby postulat, aby do regulacji otwartych finansów przenieść – zawarte obecnie w dyrektywie PSD2 – przepisy o rejestracji dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku (AIS). Wyrazili go autorzy raportu „A study on the application and impact of Directive (EU) 2015/2366 on Payment Services (PSD2)” (opublikowanego przez Komisję Europejską w lutym 2023) i argumentują, że zasady dostępu do danych płatniczych nie powinny różnić się od zasad dostępu do innych danych, a ponadto pozwoli to na postulowane od dłuższego czasu wyłączenie dostawców AIS z zakresu stosowania przepisów AML.

Warto też przypomnieć, że podobny obowiązek rejestracji przewiduje już także Akt w sprawie zarządzania danymi (Data Goverance Act), zgodnie z którym od września 2023 r. podmioty świadczące usługi pośrednictwa danych powinny uzyskać wpis do krajowego rejestru, a jednorazowa rejestracja umożliwi im świadczenie usług w całej UE. Zaskoczeniem byłaby więc rezygnacja z obowiązku rejestracyjnego w zakresie zewnętrznych dostawców usług otwartych finansów. Z kolei przyjęcie bardziej restrykcyjnych wymagań (np. obowiązku uzyskania zezwolenia) wydaje się mało prawdopodobne, ponieważ już nawet obecne ramy regulacyjne dla dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku są oceniane jako nadmiernie restrykcyjne.
 

Podsumowanie

Zapowiedzi nadchodzących regulacji prawnych w zakresie otwartych finansów jak na razie nie zostały zwieńczone publikacją projektu rozporządzenia ani dyrektywy (co według oficjalnych zapowiedzi ma mieć miejsce jeszcze w II kwartale 2023 r.). Mimo to na podstawie innych inicjatyw regulacyjnych UE w ostatnich latach, a także dokumentów publikowanych przez organy unijne (Komisja Europejska, EBA) można wywnioskować kierunek nadchodzących regulacji. Jeżeli te przewidywania się potwierdzą, to sektor finansowy czeka kolejna duża regulacja, której wdrożenie będzie wymagało znacznych nakładów.

Webinar: Na drodze do PSD3

Jednocześnie już dziś serdecznie zapraszamy wszystkie osoby zainteresowane tematyką otwartych finansów i nadchodzącej nowelizacji dyrektywy PSD2 na webinar „Na drodze do PSD3”, który odbędzie się 16 czerwca 2023 r. o godzinie 10:00.

Spotkanie poprowadzą dr Michał Mostowik i Marta Merta, eksperci z zespołu doradztwa regulacyjnego Deloitte Legal. Podczas wydarzenia opowiedzą więcej o nadchodzących zmianach prawnych, a także umiejscowią je w kontekście innych regulacji, które czekają sektor finansowy w najbliższych latach.

Bezpłatne seminarium on-line:
16 czerwca 2023 r., godz. 10:00-11:00

Dowiedz się więcej