Evropská komise chce novou směrnicí od začátku příštího roku posílit konkurenci v platebním styku. FinTech sektor je nadšen. Banky se však staví na odpor. Vytvořily se přitom dva tábory s poněkud neobvyklým složením.
O co jde?
Jde o novou směrnici pro platební služby 2015/2366/EU, známou pod zkratkou PSD2 (Payment Services Directive), která má vstoupit v platnost 13. ledna 2018. Jejím primárním cílem je vytvořit jednotný integrovaný trh pro platební služby prostřednictvím standardizace regulace bank a nových poskytovatelů platebních služeb.
Evropská komise tím reflektuje rozvoj nových technologií a existenci nových způsobů realizace finančních transakcí. V tomto novém finančním prostředí směrnice „odstraňuje vstupní bariéry, čímž přispívá k posílení bezpečnosti platebního systému, umožňuje poskytování nových platebních služeb a zajišťuje transparentní a zdravé tržní prostředí ve prospěch spotřebitelů,“ uvádí k tomu poradenská společnost PricewaterhouseCoopers.
Banky vs. FinTech startupy
A v cílové rovince před tímto zemětřesením ve finančním sektoru se rozhořel spor mezi bankami a mladými startupy z FinTech branže. Proč?
Na základě PSD2 budou muset banky od příštího roku externím poskytovatelům platebních služeb v každém případě umožnit přístup k účtům svých klientů, tedy za předpokladu, že jim k tomu klienti dají svůj souhlas. Zatím však není jasné, v jakém rozsahu. A právě to, jak rozsáhlý má přístup k účtům být, je předmětem četných diskuzí a sporů.
A protistrany přitom tvoří neobvyklá uskupení. Na jedné straně totiž stojí banky, Evropská bankovní autorita (EBA) a ochránci spotřebitelských práv a na straně druhé Evropská komise a FinTech společnosti, jako je např. Paypal, které si získávají stále větší podíly na trhu platebních služeb.
Odvětví FinTech v ČR roste o desítky procent ročně
Zatímco banky se odvolávají na ochranu dat, FinTech firmy to kritizují jako účelový argument. EK to zřejmě vidí podobně jako ony. Proti ní však stojí regulátoři EBA a jejich regulatorní technické standardy (RTS). Zatímco směrnice PSD2, schválená již v roce 2015, popisuje obecně principy a pravidla pro chování a komunikaci bank a třetích stran, vypracovala EBA, pověřena Evropskou komisí, mimo jiné technické normy, které jsou v podstatě „prováděcími předpisy“ této směrnice a detailněji definují bezpečnostní standardy a přístup třetích stran k platebním účtům bankovních klientů. Vycházející regulatorní standardy tak slovy Technology Consulting Managera Martina Huňky z PwC „blíže specifikují principy, pravidla a technologická řešení nadefinovaná směrnicí“.
Open Banking změní pravidla hry. Další rána pro „tradiční“ banky?
Ďábelský „screen scraping“
Přístup obou návrhů tak podle něj musí být z podstaty věci velice podobný. „Nicméně, jak to tak bývá, ďábel je schovaný v detailu,“ řekl serveru Roklen24 Huňka. „V červnu tohoto roku se tak regulátor EBA dostal do konfliktu s Evropskou komisí, která na základě tlaku od skupiny FinTech společností vrátila na přepracování RTS pro bezpečné ověření klienta (SCA). Evropská komise požádala regulátora, aby přehodnotil zákaz přístupu na platební účet přes tzv. ´screen scraping´ (tzn. klient poskytne třetí straně vlastní přihlašovací údaje do internetového bankovnictví – třetí strana tak má přístup k těmto údajům a může provádět se souhlasem klienta i nějaké akce, např. provádět transakce).“
„Screen scraping“ se dnes používá v případě, když zákazník předá své přihlašující údaje k internetovému bankovnictví své banky třetí straně – poskytovateli platebních služeb. Ten pak může na pozadí údaje z jeho účtu číst a zobrazit si je ve své aplikaci. „Screen scraping“ je běžný například u aplikací, které analyzují výdaje nebo umožňují peněžní převody mezi chytrými telefony.
EBA požadavek Evropské komise na přehodnocení zákazu „screen scraping“ chápala jako silný ústupek od prvotních cílů PSD2 a požadavek byl regulátorem odmítnut. „Nyní je na Evropské komisi, zda RTS v této podobě schválí, nebo znovu vrátí k přepracování,“ říká Huňka.
Zápas v plném proudu
Evropská komise zatím požadavek EBA na zákaz „screen scraping“ stále odmítá. Vytvořila také náhradní řešení, které předepisuje, že FinTech společnosti mají mít přímý přístup k datům o klientských účtech prostřednictvím „screen scraping“ alespoň v případě, že z nějakého důvodu nedojde k primární a obvyklé variantě, tedy směrnicí PSD2 uloženému rozhraní pro programování aplikací (API) určenému pro přístup třetích stran.
Open banking? Přinese nové příjmy. Chce to ale předvídavost
Tato takzvaná fall-back verze je nyní předmětem ostré kritiky bank, regulátorů a ochránců práv spotřebitelů, kteří v tom vidí ohrožení ochrany dat. Podle poskytovatelů online platebních služeb, jako je Paypal či švédská Klarna, by však toto omezení poškodilo jejich obchodní modely a ohrozilo budoucnost celého evropského FinTech sektoru. Dostalo by je to totiž do technologické závislosti na bankách, které by mohly rozhodovat o tom, zda jim přístup k datům umožní.
V bankovních kruzích se již objevují stížnosti na to, že FinTech společnosti a organizace provozují v Bruselu velmi efektivní lobbistickou práci. V rámci Future of European Fintech Alliance se spojilo již více než 70 evropských FinTech společností. Tyto do značné míry ještě velmi mladé firmy se obávají o svou existenci, pokud by Evropská komise přeci jen tlaku ze strany bank a regulátorů ustoupila.
My už je známe! 15 největších FinTech firem v EU a Británii
Martin Huňka z PwC vnímá postoj regulátorů z EBA jako správný, „protože přístup na platební účet přes standardizované API je obecně bezpečnější než přes ´screen scraping´ a zároveň vytváří celou řadu rovnocenných příležitostí pro automatizované platební služby pro všechny současné i nové FinTechy“. Na druhou stranu však zatím podle něj není znám jediný případ, kdy by byl „screen scraping“ zneužit k podvodu. „Navíc přístup pouze přes API dává bankám možnost vytvářet různé obstrukce pro přístup třetích stran (např. nestálá dostupnost API), čímž se podstata PSD2 také nedodrží.“
Co na to klienti?
Ve sporu vedeném o více konkurence vs. větší ochranu dat v oblasti finančních služeb je důležitý také postoj samotných klientů. Proto poradenská společnost Oliver Wyman, zaměřená na finanční služby, provedla průzkum mezi 2000 bankovních klientů. Z výsledků, které má k dispozici německý server Frankfurter Allgemeine, vyplynulo, že důvěra klientů ve svou banku je stále velká, ale znatelná je rovněž ochota otevřít se novým nabídkám.
CEO Zonky: PSD2 zásadně změní fintech služby, vyděláme my i zákazníci
Podle výsledků průzkumu je každý druhý klient banky ochoten nechat si svou bankou propojit účty u různých bank. Nechat si svá finanční data vyhodnotit pro nabídky na míru chce 58 % prostřednictvím své banky a 13 % prostřednictvím banky, jejíž klienty zatím nejsou. „Klienti jsou ochotni otevřít své konto třetí straně. Chtějí si ale být jisti, že jsou jejich data v bezpečí,“ cituje server Reného Fischera, partnera společnosti Oliver Wyman.
Od směrnice PSD2 Fischer očekává rozsáhlé změny. Dosud podle něj poskytovatelé platebních služeb neměli možnost analyzovat bankovní účty svých zákazníků. Online platby totiž probíhají zpravidla prostřednictvím přímého inkasa nebo přesměrováním z webové stránky poskytovatele platební služby na stránku banky. Od příštího roku však budou mít poskytovatelé internetových platebních služeb se souhlasem klienta možnost získat přístup k jeho účtu u banky. „Tím získají také náhled na historii účtu a mohou tyto informace využít pro nabídky vytvořené na míru,“ říká Fischer. Od své banky podle něj klienti naopak očekávají nadále poskytování typicky bankovních služeb, jako jsou jednoduché převody.
Od Open Bankingu až k Open Everythingu
Huňka z PwC nevidí v současném návrhu směrnice a RTS ohrožení citlivých informací klientů. Naopak – PSD2 dává podle něj klientům bank silnou kontrolu nad přístupem třetích stran k jejich platebním účtům a bude regulovat i ty třetí strany, které prozatím využívaly právě přístup přes „screen scraping“. „Zároveň díky regulaci GDPR banky nyní investují do bezpečnosti významné prostředky, protože v případě zaviněného úniku informací jim hrozí téměř likvidační pokuty. Pokud klienti budou i nadále zodpovědně přistupovat k ochraně svých bezpečnostních prvků, měla by se pro ně bezpečnost dat naopak zvýšit,“ dodává Huňka.
