Ptak_Waw_CTR_2024

Wiceprezes ZBP: Nie będzie konieczności podawania tzw. podmiotom trzecim loginu i hasła do konta bankowego

27 kwietnia 2018
Wiceprezes ZBP: Nie będzie konieczności podawania tzw. podmiotom trzecim loginu i hasła do konta bankowego

Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania im przez klientów danych uwierzytelniających - mówi w rozmowie z PAP wiceprezes Związku Banków Polskich Włodzimierz Kiciński.

Konieczności podawania im loginów i haseł nie będzie - dodaje, nawiązując do ogłoszonego właśnie interfejsu "Polish API", łączącego systemy płatnicze banków i tzw. podmiotów trzecich.

W związku z wejściem w życie unijnej dyrektywy PSD2, regulującej usługi płatnicze w internecie, wprowadzona została nowa kategoria instytucji płatniczych. To tzw. podmioty trzecie, działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych.

Będą to dwie kategorie podmiotów - instytucje płatnicze, inicjujące płatność (świadczące usługę przeprowadzenia płatności w internecie w imieniu klienta), a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji).

W myśl dyrektywy PSD2 i związanego z nią rozporządzenia delegowanego RTS, podmioty trzecie, pośredniczące w transakcjach internetowych, mogłyby mieć prawo pobierania od klientów loginów i haseł do kont bankowych. Przed zagrożeniami z tym związanymi przestrzegali przedstawiciele sektora bankowego.

W rozwiązaniu tego problemu miało pomóc opracowanie interfejsu, tzw. "Polish API", łączącego systemy płatnicze banków z systemami, jakimi mogą operować "podmioty trzecie". "Polish API" został właśnie ogłoszony na stronach internetowych Związku Banków Polskich. O jego najważniejszych elementach PAP rozmawiała z wiceprezesem ZBP Włodzimierzem Kicińskim.

PAP: Jest już gotowy interfejs "Polish API", który, jak rozumiem, ma ułatwić wdrożenie do polskiego systemu dyrektywy finansowej PSD2 i ograniczyć związane z tym zagrożenia. Jak go można scharakteryzować?


Włodzimierz Kiciński: To jest inteligentny i bezpieczny interfejs określany jako standard, który umożliwi komunikację pomiędzy uprawnionymi instytucjami płatniczymi tzw. firmami trzecimi z bankami zgodnie z Dyrektywą PSD2 i jej aktami wykonawczymi oraz właśnie nowelizowaną ustawą o usługach płatniczych. Dyrektywa ta, przypomnijmy, stwarza możliwość korzystania przy realizowaniu płatności nie tylko z banków, ale także z tzw. instytucji płatniczych. Mamy ich w Polsce obecnie zarejestrowanych 44, być może będzie więcej. Z udziałem podmiotów nie bankowych, a także środowisk prawniczych i akademickich przygotowany został bezpieczny interfejs, który umożliwia płatności między bankami, a tymi podmiotami. Projekt interfejsu był poddany także konsultacjom publiczny, w trakcie których 21 podmiotów zgłosiło ponad 300 uwag, z których większość została uwzględniona w opublikowanym właśnie tekście interfejsu.
Kierowaliśmy się przy tworzeniu go czterema głównymi zasadami. Po pierwsze najwyższym poziomem bezpieczeństwa. Interfejs umożliwia korzystanie z rachunków płatniczych, przy silnym uwierzytelnienia przez klienta, za pomocą najbardziej popularnej i używanej w Polsce przez klientów tzw. metody redirection. Wprowadza także alternatywną dla redirection metodę uwierzytelniania klientów, co jest spełnieniem wymagań Dyrektywy PSD2. Po drugie zasadą było także uzyskanie pełnej zgodności z przepisami unijnymi oraz polskimi regulacjami nadzorczymi KNF czy MF. Po trzecie, do tego standardu będzie równy i otwarty dostęp wszystkich zainteresowanych stron. Po czwarte, będzie to najwyższy poziom dostępności operacyjnej z punktu widzenia klienta.
To wersja 1.0 Polish API, czyli wersja pierwsza, która będzie sukcesywnie rozbudowywana. Po kilku miesiącach przygotowań została właśnie ogłoszona. Polska i angielska wersja Polish API są już dostępne na stronach ZBP.

PAP: W jaki sposób ma być zapewnione to bezpieczeństwo? Najwięcej wątpliwości budziła bowiem, narzucona przez dyrektywę PSD2, możliwość udostępniania tzw. podmiotom trzecim loginu i hasła do konta bankowego.

W.K.: Standard Polish API jest tak skonstruowany, by zapewnić bezpieczne korzystanie, jeśli chodzi o kwestię uwierzytelniania przez klientów. Zarazem będzie umożliwiać odpowiednią współpracę systemów bankowych z systemami podmiotów trzecich. Instytucje płatnicze będą musiały się identyfikować wobec banku i precyzyjnie określić o jaką operacje chodzi i dla jakiego konkretnego klienta. Banki będą z kolei sprawdzały upoważnienie danej instytucji płatniczej za pomocą swoich systemów. Stoimy na stanowisku, że nie powinno się przekazywać swoich danych uwierzytelniających na zewnątrz, zwłaszcza jeśli klienci używają ich także w innych celach niż bankowość. Klient powinien w taki sposób realizować usługi bankowe, by zachować bezpieczeństwo swoich danych osobowych.

PAP: Czy dobrze zrozumiałem, że jednak nie będzie możliwości podania swoich loginów i haseł podmiotom trzecim?

W.K.: Nikt prawnie nie jest w stanie zabronić nikomu położenia swoich pieniędzy nawet na ulicy. My tylko uczulamy swoich klientów, że to, w jaki sposób posługują się danymi uwierzytelniającymi, jest kwestią bezpieczeństwa ich pieniędzy. Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania przez klientów danych uwierzytelniających. Zatem konieczności podawania takich danych nie będzie.

Rozmawiał Piotr Śmiłowicz (PAP)


POWIĄZANE

Wśród najpopularniejszych gatunków października Kantar Polska wymienia jabłka, g...

Które warzywa jedliśmy w październiku? - Kantar Polska Wśród najpopularniejszych...

Resort rolnictwa pracuje nad zmianami w ustawie o dzierżawie rolniczej. Nowe prz...


Komentarze

Bądź na bieżąco

Zapisz się do newslettera

Każdego dnia najnowsze artykuły, ostatnie ogłoszenia, najświeższe komentarze, ostatnie posty z forum

Najpopularniejsze tematy

gospodarkapracaprzetargi
Nowy PPR (stopka)
Jestesmy w spolecznosciach:
Zgłoś uwagę