ZANIMIVOSTI

Banke odpirajo dostop do naših plačilnih računov

urednik

Prvo Direktivo o plačilnih storitvah iz leta 2007 nadgrajuje prenovljena Direktiva o plačilnih storitvah (PSD2), ki je začela veljati v začetku lanskega leta. S konceptom odprtega bančništva bo najbolj vplivala na segment poslovanja s končnimi potrošniki, prinaša pa tako priložnost kakor tudi izziv pri doseganju varnih in potrošniku prijaznih plačilnih storitev, pri katerih bo imel potrošnik vedno popoln nadzor nad svojimi plačilnimi računi.

Tehnološki in digitalni razvoj spreminjata svet finančnih storitev, kot jih poznamo. Plačevanje postaja vedno bolj spletno in mobilno, število elektronskih transakcij narašča, število bankomatov in bančnih okenc pa se zmanjšuje. Nova zakonodaja na področju plačilnih storitev od zdaj omogoča dostop do naših bančnih računov novim ponudnikom plačilnih storitev (registriranim finančno-tehnološkim družbam in drugim) in ne več zgolj bankam. Novi ponudniki plačilnih storitev bodo morali izpolnjevati zakonske zahteve in pridobiti ustrezno dovoljenje nadzornega organa, banke pa jim bodo morale na ustrezno varovan način omogočiti dostop do podatkov o uporabnikovih računih.

Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) določa pogoje, v skladu s katerimi morajo banke drugim ponudnikom plačilnih storitev omogočiti dostop do plačilnih računov in informacije o njih. Evropska komisija je skladno s PSD2 sprejela še tehnične standarde, ki določajo tehnične podrobnosti teh pogojev, predvsem pa upoštevanje dodatnih varnostnih ukrepov glede močne avtentikacije uporabnikov plačilnih storitev in varnega komuniciranja.

Ti varnostni standardi se bodo začeli uporabljati 14. septembra 2019, do takrat pa se morajo z zakonodajo popolnoma uskladiti tudi banke in tretji ponudniki plačilnih storitev ter poskrbeti za potrebno programsko infrastrukturo. Banke in hranilnice pri nas so se odločile za pripravo enotnega pristopa pri zagotovitvi tehničnih rešitev za izvajanje zahtev PSD2, kar naj bi omogočalo učinkovito in enotno izmenjavo podatkov med vsemi udeleženci ter učinkovitejše obvladovanje tveganj.

Kaj prinaša nova direktiva (PSD2)
Evropski zakonodajalci so s prenovljeno direktivo, ki je začela veljati 13. januarja 2018 in je v slovenski pravni red v celoti prenesena z Zakonom o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih, regulirali nove plačilne storitve.

Direktiva uvaja dve ključni novosti. Prva je storitev odreditve plačil (ang. Payment Initiation Service – PIS), ki uvaja novo obliko plačilnih storitev. Ponudnik storitve bo na zahtevo in izrecno privolitev plačnika odredil plačilo v breme plačilnega računa plačnika, ki ga ima plačnik odprtega pri drugem ponudniku plačilnih storitev. Bistvena novost je, da lahko ponudniki plačilne storitve ob izrecnem soglasju plačnika dostopajo do podatkov o njegovem plačilnem računu zaradi izvajanja plačil. To v praksi pomeni, da pri spletnih nakupih in spletnih plačilih ne bo več potrebna uporaba plačilnih kartic ali obrazca UPN (položnice), ampak bo ponudnik po predhodnem soglasju in avtentikaciji plačnika sam dostopal do njegovega računa in odredil plačilo.

Odrejanje plačil
banke odpirajo dostop do nasih placilnih racunov graf1-1
banke odpirajo dostop do nasih placilnih racunov graf1-2

Druga novost, ki jo uvaja direktiva, je zagotavljanje informacij o računih (ang. Account Information Service – AIS), kar pomeni, da bodo vsi podatki o vseh računih posameznika zbrani na enem mestu, v aplikaciji izbranega ponudnika storitve. Ta bo zagotavljal informacije o računih uporabnika, ki jih ima pri enem ali več ponudnikih plačilnih storitev, uporabnik pa bo lahko na enem mestu urejal vse osebne finance, ne glede na to, pri kateri banki ima odprte račune. Ponudnik lahko tovrstno storitev opravlja le z dostopom do podatkov na uporabnikovem plačilnem računu, za kar potrebuje njegovo privolitev.

Celovit pregled nad informacijami o plačilnih računih na različnih bankah
banke odpirajo dostop do nasih placilnih racunov graf2-1
banke odpirajo dostop do nasih placilnih racunov graf2-2

PSD2 prinaša novosti še na področju plačilnih transakcij in nakupa blaga ali storitev prek telekomunikacijskih naprav ali naprav informacijske tehnologije. Direktiva zdaj pokriva tovrstne transakcije, izvzeti pa so nakupi digitalnih vsebin (glasba, časopisje, elektronske vstopnice) in donacije oziroma plačila v dobrodelne namene. Direktiva vključuje tudi transakcije s tretjimi državami, ko je le en ponudnik plačilnih storitev v EU.

Izboljšave prinaša tudi na področju mednarodnega sodelovanja in izmenjave informacij med organi nadzora na področju registracije in nadzora plačilnih institucij. Evropski bančni organ (EBA) bo v ta namen vodil centralni register pooblaščenih in registriranih plačilnih institucij. Za `odprto bančništvo´ najpomembnejša novost je način močnega preverjanja pristnosti strank, kar postaja osnovno pravilo.

Na kakšne načine plačujemo na spletu zdaj in kako bo v prihodnje?
Banke so do zdaj tretjim ponudnikom spletnih plačilnih storitev onemogočale dostop do potrošnikovih plačilnih računov, zato so ti poiskali alternativno rešitev. Za zagotavljanje storitev PIS in AIS se je uveljavila metoda »screen scraping«, to je vstop `tretjega´ v potrošnikovo spletno/mobilno banko. V praksi to pomeni, da potrošnik posreduje podatke za vpis v spletno/mobilno banko prek spletne strani tretjega, ki v spletni banki nastopa kot potrošnik in izvrši plačilo, tak način pa prinaša povečano tveganje zlorab.

Prav zato je bila uvedba novega komunikacijskega kanala med bankami in tretjimi ponudniki plačilnih storitev nujna. Direktiva PSD2 tretjim ponudnikom spletnih plačilnih storitev omogoča dostop do potrošnikovih tekočih računov skozi namenski vmesnik, tako imenovan API. Gre za programski vmesnik, ki omogoča varno sporazumevanje med programom potrošnikove banke in programom spletnega prodajalca ali drugega ponudnika spletnih plačilnih storitev ter prenaša informacije med njimi.

Z uporabo storitve odreditve plačil (PIS) bo torej potrošnik lahko izvedel plačilo v obliki denarnega transferja, kadar bo prodajalec na svoji spletni strani to storitev omogočal. Prednost tega načina plačevanja je, da plačilna kartica ne bo več potrebna, transakcija pa bo cenejša.

Storitev zagotavljanja informacij o računih (AIS) pa bo potrošniku znotraj aplikacije zagotovila informacije, ki so o plačilnem računu na voljo v spletni banki. Rešitev bo uporabna predvsem za potrošnike z več plačilnimi računi, saj bodo imeli vse informacije na enem mestu.

Ali potrošnik razume, s čim “soglaša”?
Potrošnik mora biti natančno in nedvoumno seznanjen s podatki o tem, komu je dal dostop do svojih finančnih podatkov in za kakšne namene bodo uporabljeni. Prav tako mora biti natančno in nedvoumno seznanjen z načinom preklica izmenjave in načinom reševanja sporov v primeru reklamacij ter morebitnih zlorab.

Ponudnik storitve odreditve plačil bo moral predhodno pridobiti izrecno in nedvoumno privolitev potrošnika za dostop do podatkov o njegovem plačilnem računu. Z drugimi besedami, potrošnik bo moral imeti možnost natančno določiti, do katerih podatkov o svojem plačilnem računu bo dovolil dostop in v ta namen dal soglasje tretjemu ponudniku. Ta se bo prek vmesnika API povezal s potrošnikovo banko, ki pa od njega ne bo smela zahtevati nobenih dodatnih informacij, temveč mu bo samo omogočila dostop do zahtevanih informacij, ko bo postopek »močne« avtentikacije uspešno zaključen.

Potrošniku mora biti omogočeno, da svoji banki posreduje navodila, katero vrsto dostopa naj zavrne in katero sprejme. Potrošnik bi moral imeti tudi možnost, da dostop kadar koli prekliče, ne glede na to, ali je na drugi strani banka ali tretji ponudnik. Da si potrošnik zagotovi nadzor pri uporabi storitev PIS in AIS, je najbolj pomembno, da razume, s katerimi pogoji soglaša, ne pa da zgolj obkljuka »se strinjam«, saj se lahko drugače hitro znajde v situaciji, ko omogoči dostop v obsegu, ki ga pravzaprav ne želi.

Hkrati bi banke in tretji ponudniki morali v aplikaciji zagotoviti jasen pregled nad obsegom dostopa do podatkov in preprosto razumljive pogoje, da bodo potrošniki lahko sprejeli informirano odločitev glede dostopa do njihovih plačilnih računov.

Načini dostopa do podatkov o plačilnih računih
Potrošnik bo s tretjim ponudnikom sklenil pogodbeno razmerje, v katerem bo določil obseg dostopa (predvidoma z obkljukanjem) do svojih podatkov, šele nato bo sledilo preverjanje pristnosti strank z uporabniškim imenom in geslom. Do plačilnega računa potrošnika bodo ponudniki plačilnih storitev predvidoma dostopali na tri načine:

  • preusmeritveni način s prodajalčeve spletne strani na potrošnikovo spletno oziroma mobilno banko;
  • navezani način, kjer se potrošnik poveže neposredno s svojo spletno/mobilno banko, avtentikacija pa se naredi z uporabo druge naprave, na primer mobilnega telefona, z uporabo biometrike (prstni odtis);
  • vgrajeni način, kjer potrošnik posreduje svoje uporabniško ime in geslo za dostop prek tretjega ponudnika, kar je pravzaprav »screen scpraping«, torej manj varna možnost.

Vmesniki API bodo morali podpirati vse tri metode dostopa, banke pa se bodo odločile, katero metodo bodo omogočile. Želimo si, da banke varnost naših zaupnih podatkov postavijo na prvo mesto in bodo zato izbrale varnejši, preusmeritveni način za dostop do naših plačilnih računov.

Za potrošnika je na tej točki najpomembnejše vprašanje varnosti podatkov, saj razkrivanje teh podatkov tretjim osebam, med katere spadajo tudi bančna gesla, PIN-i in drugi podatki, ki jih stranke uporabljajo za dostop do bančnih storitev, prinaša povečano tveganje za morebitne zlorabe. Čeprav imajo banke razmeroma varne sisteme, niso “imune” na tehnične napake ali izpostavljenosti hekerskim vdorom v njihove sisteme.

Direktiva sicer predvideva varen programski kanal prenosa teh informacij, vendar določeno tveganje ostaja. Potrošnik mora poznati večstopenjsko avtentikacijo, da se lahko izogne morebitnim zlorabam. Banke pa bodo morale nenehno nadzorovati svoje sisteme, zaznati kršitve ter imeti pripravljeno strategijo za učinkovito in takojšno sanacijo v primeru zlorab.

PSD2 je priložnost in izziv, saj poleg novih oblik plačil odpira tudi možnosti za nove storitve. Tehnološka podjetja bodo imela po novem dostop do transakcijskih in osebnih podatkov, ki jih bodo v prihodnje lahko uporabila kot osnovo za profiliranje strank. Za zdaj so v ospredju storitve plačil in zagotavljanja informacij o računih na enem mestu, a že to bo za mnoge potrošnike velika sprememba.

Nove storitve prinašajo tudi velike izzive na področju zasebnosti, varnosti in zaščite potrošnikov pri uporabi novih storitev, zato se bodo ponudniki na področju finančnih storitev morali precej potruditi pri informiranju in ozaveščanju potrošnikov ter pridobivanju njihovega zaupanja.

VIR:ZVEZA POTROŠNIKOV SLOVENIJEAVTOR: Sara KohneFOTO:ZPS.SI

Sorodni članki:

Katere banke so podražile pakete osebnih bančnih računov? Kreditodajalci vedo o vas več, kot si mislite Poročanje Banki Slovenije o poslovanju s tujino Leto 2022 – Banka Slovenije napoveduje ugodne gospodarske razmere