Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania im przez klientów danych uwierzytelniających - mówi w rozmowie z PAP wiceprezes Związku Banków Polskich Włodzimierz Kiciński.
Konieczności podawania im loginów i haseł nie będzie - dodaje, nawiązując do ogłoszonego właśnie interfejsu "Polish API", łączącego systemy płatnicze banków i tzw. podmiotów trzecich.
W związku z wejściem w życie unijnej dyrektywy PSD2, regulującej usługi płatnicze w internecie, wprowadzona została nowa kategoria instytucji płatniczych. To tzw. podmioty trzecie, działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych.
Będą to dwie kategorie podmiotów - instytucje płatnicze, inicjujące płatność (świadczące usługę przeprowadzenia płatności w internecie w imieniu klienta), a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji).
W myśl dyrektywy PSD2 i związanego z nią rozporządzenia delegowanego RTS, podmioty trzecie, pośredniczące w transakcjach internetowych, mogłyby mieć prawo pobierania od klientów loginów i haseł do kont bankowych. Przed zagrożeniami z tym związanymi przestrzegali przedstawiciele sektora bankowego.
W rozwiązaniu tego problemu miało pomóc opracowanie interfejsu, tzw. "Polish API", łączącego systemy płatnicze banków z systemami, jakimi mogą operować "podmioty trzecie". "Polish API" został właśnie ogłoszony na stronach internetowych Związku Banków Polskich. O jego najważniejszych elementach PAP rozmawiała z wiceprezesem ZBP Włodzimierzem Kicińskim.
PAP: Jest już gotowy interfejs "Polish API", który, jak rozumiem, ma ułatwić wdrożenie do polskiego systemu dyrektywy finansowej PSD2 i ograniczyć związane z tym zagrożenia. Jak go można scharakteryzować?
Włodzimierz Kiciński: To jest inteligentny i bezpieczny interfejs określany jako standard, który umożliwi komunikację pomiędzy uprawnionymi instytucjami płatniczymi tzw. firmami trzecimi z bankami zgodnie z Dyrektywą PSD2 i jej aktami wykonawczymi oraz właśnie nowelizowaną ustawą o usługach płatniczych. Dyrektywa ta, przypomnijmy, stwarza możliwość korzystania przy realizowaniu płatności nie tylko z banków, ale także z tzw. instytucji płatniczych. Mamy ich w Polsce obecnie zarejestrowanych 44, być może będzie więcej. Z udziałem podmiotów nie bankowych, a także środowisk prawniczych i akademickich przygotowany został bezpieczny interfejs, który umożliwia płatności między bankami, a tymi podmiotami. Projekt interfejsu był poddany także konsultacjom publiczny, w trakcie których 21 podmiotów zgłosiło ponad 300 uwag, z których większość została uwzględniona w opublikowanym właśnie tekście interfejsu.
Kierowaliśmy się przy tworzeniu go czterema głównymi zasadami. Po pierwsze najwyższym poziomem bezpieczeństwa. Interfejs umożliwia korzystanie z rachunków płatniczych, przy silnym uwierzytelnienia przez klienta, za pomocą najbardziej popularnej i używanej w Polsce przez klientów tzw. metody redirection. Wprowadza także alternatywną dla redirection metodę uwierzytelniania klientów, co jest spełnieniem wymagań Dyrektywy PSD2. Po drugie zasadą było także uzyskanie pełnej zgodności z przepisami unijnymi oraz polskimi regulacjami nadzorczymi KNF czy MF. Po trzecie, do tego standardu będzie równy i otwarty dostęp wszystkich zainteresowanych stron. Po czwarte, będzie to najwyższy poziom dostępności operacyjnej z punktu widzenia klienta.
To wersja 1.0 Polish API, czyli wersja pierwsza, która będzie sukcesywnie rozbudowywana. Po kilku miesiącach przygotowań została właśnie ogłoszona. Polska i angielska wersja Polish API są już dostępne na stronach ZBP.
PAP: W jaki sposób ma być zapewnione to bezpieczeństwo? Najwięcej wątpliwości budziła bowiem, narzucona przez dyrektywę PSD2, możliwość udostępniania tzw. podmiotom trzecim loginu i hasła do konta bankowego.
W.K.: Standard Polish API jest tak skonstruowany, by zapewnić bezpieczne korzystanie, jeśli chodzi o kwestię uwierzytelniania przez klientów. Zarazem będzie umożliwiać odpowiednią współpracę systemów bankowych z systemami podmiotów trzecich. Instytucje płatnicze będą musiały się identyfikować wobec banku i precyzyjnie określić o jaką operacje chodzi i dla jakiego konkretnego klienta. Banki będą z kolei sprawdzały upoważnienie danej instytucji płatniczej za pomocą swoich systemów. Stoimy na stanowisku, że nie powinno się przekazywać swoich danych uwierzytelniających na zewnątrz, zwłaszcza jeśli klienci używają ich także w innych celach niż bankowość. Klient powinien w taki sposób realizować usługi bankowe, by zachować bezpieczeństwo swoich danych osobowych.
PAP: Czy dobrze zrozumiałem, że jednak nie będzie możliwości podania swoich loginów i haseł podmiotom trzecim?
W.K.: Nikt prawnie nie jest w stanie zabronić nikomu położenia swoich pieniędzy nawet na ulicy. My tylko uczulamy swoich klientów, że to, w jaki sposób posługują się danymi uwierzytelniającymi, jest kwestią bezpieczeństwa ich pieniędzy. Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania przez klientów danych uwierzytelniających. Zatem konieczności podawania takich danych nie będzie.
Rozmawiał Piotr Śmiłowicz (PAP)