Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Анализи и тенденции
бр. 3, 2018

Техническите стандарти на PSD2 - дяволът се крие в липсата на детайли

от , 28 март 2018 0 9948 прочитания,

Виргиния Стаматова

Отсъствието на ясни и подробни технически указания към Втората директива за платежните услуги (PSD2) как да се случи "отвореното банкиране" може да се окаже спънка както за банките, така и за новите оператори на платежни услуги - и не на последно място - за клиентите, които да получат по-скъпи услуги, считат експерти от Deloitte в специален доклад. Техническите изисквания (RTS) са разработени от Европейския банков орган (ЕБО) и поясняват как да се извърши достъпът до сметките на банковите клиенти от трети страни доставчици (TPP). Институцията обяснява отказа си от точни формулировки с факта, че технологиите във финансовата сфера се развиват много бързо и ясно указаните стандарти скоро ще загубят актуалност и ще влязат в противоречие с една от основните цели на новата европейска регулация - да се насърчат иновациите във финансовия сектор. Във връзка с "отварянето" на пазара на финансови услуги за повече конкуренция и предвидената възможност трети страни да получат достъп до банковите клиенти PSD2 въвежда и много строги изисквания за сигурност и автентификация на платеца. 



В свoя коментар на PSD2 одиторската компания Deloitte пише, че "ако бъде потвърден, проектът за техническите изисквания ще доведе до голяма промяна във финансовата индустрия, която изисква значителни инвестиции и трудно може да се приложи в рамките на настоящите срокове за въвеждане на PSD2". 

Техническите изисквания към PSD2 закъсняват

След като PSD2 влезе в в сила през януари 2016, Европейският банков орган (ЕБО) публикува проект на регулаторен технически стандарт (RTS), който да определи как ще става достъпът сметките на физическите лица от трети страни (Third Party Providers, TPPs). В края на декември 2017 изискванията бяха финализирани и започна да тече съгласувателният срок, който трябваше да завърши до края на февруари.Към редакционното приключване на броя (5 март 2018) те още не са публикувани, т.е. леко забавяне в тази посока е факт. Самите приложни интерфейси (APIs) за достъп до сметките на банковите клиенти пък трябва да са на пазара до септември 2019, предвижда още PSD2. "Това предполага банките да са готови поне 6 месеца по-рано. За да се случи процесът в предвидените срокове, компаниите, които ще публикуватприложения, следва да ги предоставят на финансовите институции най-късно до април 2019. След като финансовите институции разполагат с приложните интерфейси, ще могат на свой ред да ги дадат на третите страни, доставчици на финансови услуги (TPP), за да си разработят системите така, че да ги ползват", коментира Иван Велков, директор "Продукти и услуги" на БОРИКА.
---

А това означава, че по всяка вероятност дългоочакваният старт на "отвореното банкиране" ще се отложи и за всяка страна този срок ще е различен в зависимост от степента на подготовка. За България масовото предлагане на мобилни платежни услуги за крайни клиенти по всяка вероятност ще бъде изтеглено към 2020-а, прогнозира пред журналисти Георги Маринов, изпълнителен директор на DataMax.
"Голяма част от банките у нас работят по темата - някои по-интензивно, други по-пасивно, но всички, които предлагат интернет банкиране, не би следвало да са затруднени, така че очакваме да се справят в предвидените в директивата срокове", счита Иван Велков, директор "Продукти и услуги" на БОРИКА.
По думите му услугите за достъп до данни, които се ползват зад портала за интернет банкиране, са близки до това, което ще представляват API-тата. "В зависимост от това как е реализрано интернет банкирането за някои банки ще е по-лесно, а за други - по-трудно да го реализират", категоричен е Велков. 

Общи, сигурни стандарти за отворена комуникация

Според предвиденото ввъв Втората директива за платежните услуги, след като потребителят даде съгласието си, финтех компаниите (TTPs) ще имат достъп до банковите му данни и ще използват инфраструктурата на финансовите институции, за да извършат плащането или за да извлекат информация за движението по неговата сметка. Достъпът до нея, или XS2A, както още се нарича в директивата, е една от най-значимите промени както на стратегическо, така и на оперативно ниво. 

За целта техническите изисквания предвиждат банките да осигурят на финтех компаниите поне един интерфейс, позволяващ двупосочна комуникация. Където има възможност, интерфейсът трябва да използва елементи, съвместими с ISO 20022. Извън това ЕБО не препоръчва друг стандарт или API. 

Интерфейсът трябва да има функционaлности, достъпност и сигурност като тези на онлайн платформата, която се ползва от клиентите на интернет банкирането. По този начин банките могат да предоставят на платежните оператори достъп до онлайн портала, който ползват клиентите им, без да искат такси за разработка и поддръжка на интерфейс. Но могат да направят и точно обратното - да разработят специален интерфейс и да натоварят транзакцията с още такси. По този начин липсата на еднозначно предписание на практика позволява финансовите институции да четат техническия стандарт, както им е изгодно.

А това не е непременно положително за банковата индустрия, коментират от Deloitte и посочват, че може да се окаже и спънка за новите оператори на финансови услуги. Кратките срокове за внедряване (вж. карето), съчетани с големия брой съществуващи и нови участници в сектора и отсъствието на промишлени стандарти за комуникационни интерфейси, биха могли да доведат до разпокъсаност и липса на оперативна съвместимост между финтех компаниите и банките, което не е в интерес на никого, включително и на потребителите, се казва в доклада на международната одиторска компания. 

Банките ще трябва бързо да решат как да се позиционират стратегически в новия пейзаж на плащанията. В този ред на мисли не е изключено някои финансови институции да започнат да действат като трета страна, доставчик на платежна услуга (TPP), регистрирайки за целта свое дружесто, или да предложат услугата "свързване" към системите си за TPP-тата. От Deloitte прогнозират, че през следващите 1-2 години банките и финтех компаниите ще се заемат с разработване на индустриални стандарти, които да отговорят на някои от тези проблеми. 

(Какво е отражението на Втората директива за платежните услуги върху приоритетните пера на ИТ бюджетите четете на стр... За какво ще харчат най-много банките през годината?

Специално внимание към сигурността и удостоверяването

По PSD2 всички доставчици на платежни услуги (Payment Service Providers, PSP) ще трябва да прилагат надеждно удостоверяване на клиента (Strong Consumer Authentication, SCA) всеки път, когато платец нареди електронна транзакция (има и няколко изключения).

Разходите за проектиране, внедряване и одитиране ефективността на процедурата по "разпознаване" на клиента ще са за сметка на доставчиците на платежни услуги, обслужващи неговата сметка, т.е. банките. Доставчиците на услуги за иницииране на плащания (Payment Initiation Service Providers, PISP) и компаниите, предоставящи информация за сметки (Account Information Service Providers, AISPs), трябва да гарантират правилното прилагане на автентификацията на клиента, като разчитат на процедурата за удостоверяване, предоставена от кредитните институции.

Съгласно процедурата при започване на транзакцията валидната комбинация от възприетите елементи за удостоверяване ще генерира идентификационен код на платежния оператор, който ще се променя в зависимост от сумата и нейния получател. Това е известно още като "динамично свързване".

Техническият стандарт изисква банките да осигурят един канал, приложение или устройство за автентификация и друг за генериране и получаване на кода, които на свой ред да са независими от средата, в която се нарежда електронният паричен первод.

Изискванията поставят пред финансовите институции както технически, така и търговски предизвикателства. Технически банките ще трябва да гарантират, че разполагат с две отделни приложения или канали за независимо иницииране на плащания и генериране на елементи за удостоверяване. Това може да стане примерно като потребителите инсталират мобилно приложение на телефона си, а "разпознаването" става чрез ключ за генериране на токени. Търговските предизвикателства най-общо опират до това как всичко описано по-горе да се случи по удобен начин за потребителя, възможно най-евтино и по-добре от конкурентите.

Освен това проектът за техническите изисквания задължава банките да "предотвратяват, откриват и блокират сделки с измамен характер преди окончателното разрешение за плащането", което означава, че те ще трябва да извършват скрининг за измами при всички електронни платежни операции преди окончателното им оторизиране. 

Допуска се и изключение от изискванията за сигурност: отпадат "разпознаването" на клиента и въвеждането на код при единични безконтактни картови транзакции до 50 евро или когато кумулативният размер на преводите без SCA не надвишава 150 евро. Макар че технически това е "освобождаване", в действителност банките ще трябва да въведат много по-стриктни и тромави процеси за удостоверяване на автентичността от тези, които са в сила сега, тъй като потребителите трябва да бъдат "проверени" на всеки 150 евро. По този начин безконтактните плащания може да станат по-неудобни от клиентска гледна точка. Разбира се, решението на въпроса, както и отговорността по сигурността на разплащанията са в ръцета на банките. Не на последно място, те ще трябва да изберат как да се позиционират в новия пейзаж на финансовите услуги и навлизането на нови компании в сектора, като паралелно с това отговарят на голям брой специфични за сектова регулации. 

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов