Walka o dane

Druga dyrektywa o usługach płatniczych - czyli Payment Services Directive 2 (PSD2) - ma zrewolucjonizować rynek transakcji elektronicznych we Wspólnocie. Umożliwia ona bowiem korzystanie podmiotom trzecim z danych posiadanych przez banki, aby rozpocząć płatność w internecie oraz aby zaoferować klientom usługi bankowe. W tym ostatnim wypadku chodzi np. o porównanie rzeczywistych cen kredytów oferowanych danej osobie i wybór najkorzystniejszego produktu, ale także o możliwość zarządzania kontami w kilku bankach z jednej aplikacji.

PSD2 oznacza, że dziesiątki tysięcy firm będą mogły uzyskać w określonych sytuacjach dostęp do danych bankowych i będą uzupełniać ofertę bankową oraz pośredniczyć w obsłudze klienta. Oba te elementy budzą potężny niepokój, zwłaszcza największych banków. Wszyscy znamy pojęcie tajemnicy bankowej, więc trudno się dziwić, że instytucje finansowe niechętnie podchodzą do konieczności dzielenia się danymi z innymi podmiotami. Podobnie jest z pośrednictwem. Banki bowiem są największym pośrednikami w sprzedaży usług finansowych i doskonale sobie zdają sprawę, że wpuszczenie kogoś pomiędzy nich a klienta może oznaczać utratę lwiej części zysków.

Tyle że już wiadomo, że banki będą musiały zarówno dzielić się danymi, jak i będą musiały liczyć się z pośrednictwem innych podmiotów. Dyrektywa PSD2 została bowiem przyjęta już dawno i teoretycznie już obowiązuje. Teoretycznie, bo sama regulacja składa się z dwóch części. Pierwsza i podstawowa to sama dyrektywa, która już działa. Druga część zaś to tzw. RTS-y, czyli wytyczne dotyczące technicznych elementów związanych ze stosowaniem tej dyrektywy. Te zaś już zostały przyjęte, ale kraje mają około dwóch lat na wprowadzenie ich w życie. To oznacza, że nie ma żadnych przeciwwskazań, aby zastosować je u siebie wcześniej.

I tak właśnie będzie w Polsce. Bo jak powiedział Marek Chrzanowski, przewodniczący Komisji Nadzoru Finansowego w rozmowie z "Gazetą Bankową", dzięki temu polskie banki uzyskają więcej czasu na przygotowanie i przetestowanie nowych rozwiązań.

- Chcemy się szybciej dostosować do rozwiązań zapisanych w PSD2, bo widzimy w tym szansę dla polskich instytucji finansowych. Dzięki wcześniejszemu dostosowaniu nasze instytucje będą mogły zaistnieć na rynku europejskim. Chcemy uniknąć sytuacji, że prześpimy moment wdrożenia tego systemu w całej Unii Europejskiej - powiedział.

Ryzyko, że prześpimy wdrożenie dyrektywy w UE jest niewielkie, bo już jesteśmy prawie gotowi. Nowelizacja ustawy o usługach płatniczych, która implementuje PSD2 do naszego prawa, czeka już tylko na podpis prezydenta Andrzeja Dudy. Kiedy to nastąpi, polskie banki i firmy będą mogły już zacząć testować rozwiązanie, jakie będzie umożliwiać wymianę danych z innymi podmiotami, czyli interfejs informatyczny aplikacji (API). A dokładnie - Polish API - gdyż banki i inne instytucje opracowały jeden, wspólny standard, który ma posłużyć do realizacji PSD2.

Pierwsza wersja Polish API została opublikowana pod koniec kwietnia tego roku. Tu warto zaznaczyć, że kiedy mowa o API, to mówimy nie o programie komputerowym, ale o wytycznych, jak ten program powinien działać, jakie elementy zawierać, jakie zabezpieczenia itd. Na tej podstawie każdy bank będzie mógł tworzyć własne "gniazdko", przez które będzie się można doń wpiąć, a inne firmy będą mogły konstruować swoje indywidualne rozwiązania, które poprzez to gniazdko będą czerpać dane.

Zgodnie z planem, po kolejnej rundzie testów i po następnych uwagach zostanie opublikowana kolejna wersja Polish API. Z grubsza rzecz biorąc, można przyjąć, że pod koniec roku nasz kraj będzie przygotowany od strony prawnej, technologicznej i praktycznej do stosowania PSD2.

Oczywiście, nie obejdzie się bez napięć i sporów. Już obecnie wśród przedstawicieli FinTechów zaczynają krążyć opinie, że banki udostępniają im za mało danych. Nie da się ukryć, że polskie banki do swojego rozwiązania pod nazwą Polish API wplotły część płatną - a więc podstawowy, wynikający z bankowego pojmowania wymogów dyrektywy zestaw informacji jest darmowy, a za resztę trzeba płacić. FinTechy zaś chciałyby dostać jak najwięcej po najniższej cenie, a najlepiej za darmo.

Dodatkowo część FinTechów - zwłaszcza firm pożyczkowych - kręci nosem na samą ideę API. Podmioty te do tej pory używały screen scrapingu: technologii pozwalającej własnym komputerom automatycznie pobierać informacje bezpośrednio z zasobów cyfrowych danych innych podmiotów. Teraz będą musiały inwestować w swoje systemy, aby je dostosować do nowych wytycznych. Dlatego jest bardzo prawdopodobne, że podmioty te będą rzucać na banki oskarżenia o utrudnianie dostępu do danych, co może mieć negatywne konsekwencje dla płynnego działania całego systemu.

Chodzi o to, że Komisja Europejska, która odpowiada za przygotowanie RTS-ów, pokazała, że jest gorącą zwolenniczką rozwiązań stosowanych obecnie tylko w niektórych krajach europejskich, głównie w Niemczech. Urzędnicy w Brukseli robili to tak ostentacyjnie, że dyrektywa PSD2 w Europie zyskała miano "Sofort Law", od nazwy działającej w Niemczech firmy Sofort GmBH obsługującej płatności. Komisja chciała, aby dostęp do danych klienta w bankach inne firmy uzyskiwały w technologii screen scrapingu. Oficjalnie chodzi o rozwiązanie, w ramach którego pracujący w tle program kopiuje wszystkie dane, jakie są widoczne na ekranie komputera. Jeśli klient chce przekazać dane firmie z użyciem tej technologii, wchodzi na stronę swojego banku, loguje się i następnie pozwala sczytać aplikacji wszystko, co wyświetla się na ekranie. Tak naprawdę jednak screen scraping w obecnej wersji daje praktycznie nieograniczony dostęp do wszystkich danych o koncie oraz umożliwia łatwą penetrację wszystkich systemów bankowych.

I choć Komisja z tych rozwiązań się wycofała, to jednak w RTS pojawił się zapis, że w razie gdyby dostęp do danych bankowych realizowanych poprzez API był zbyt wolny albo ograniczony, należy wrócić do wcześniej stosowanych rozwiązań, czyli do screen scrapingu. To oznacza, że istnieje ryzyko, że KE może na polskich bankach wymóc stosowanie tego rozwiązania.

Sytuacja podbramkowa? Rzecz w tym, że taki scenariusz ma jeden bardzo słaby punkt: byłoby to kompletnie nieekonomiczne. Bo banki w całej Europie będą musiały przestawić się na komunikowanie z innymi firmami za pośrednictwem API. Na dodatek w Polsce banki nie mogły używać tej technologii, dlatego stosują ją wyłącznie podmioty nienadzorowane przez KNF. To oznacza, że w polskim przypadku trudno mówić o "powrocie" do screen scrapingu. Ponadto sama Komisja Europejska przyjęła, że w okresie przejściowym duże znaczenie będą miały regulacje wypracowane przez lokalnych nadzorców, co dodatkowo utrudnia przechodzenie na screen scraping. I - last but not least - nie tylko polskie banki uważają rozwiązania stosowane w Niemczech za archaiczne. Takich instytucji w Europie jest więcej, również europejski nadzór finansowy stoi na stanowisku, że API jest najbardziej korzystnym rozwiązaniem przy implementacji PSD2.

Zdaniem większości ekspertów i przedstawicieli instytucji finansowych ryzyko, że w Polsce oraz w Europie zostaną wprowadzone rozwiązania niebezpieczne dla systemu bankowego istnieje, ale jest stosunkowo niewielkie. Za to PSD2 otwiera przed wieloma instytucjami ogromne możliwości.

Chodzi o wspomniane już FinTechy, które uzyskają dostęp do danych i do klientów banków, a więc aktywów, które są obecnie poza zasięgiem tych firm. Podobnie zresztą będzie w przypadku... innych banków. PSD2 bowiem daje również im oferowanie usług związanych z inicjowaniem płatności czy porównywaniem cen kredytów - i to oferowanie ich klientom konkurencji.

Ta opcja ma tak istotne znaczenie, że część banków wpisała sobie do strategii możliwość wykorzystania szans, jakie daje PSD2. Zrobił tak m.in. Alior Bank, który liczy na dobrą współpracę z FinTechami, co ma dać mu szansę na pozyskanie nowoczesnych rozwiązań, które potem będzie mógł wprowadzić na rynek.

Banki idą jednak dalej - niektóre bowiem już mają produkty, które są skrojone pod PSD2. Czymś takim jest Bancovo - spółka Aliora, która jest internetowym pośrednikiem w sprzedaży kredytów i która robi to na podstawie rzeczywistych danych i cen. Innym przykładem rozwiązania wdrażającego PSD2 jest aplikacja "Banki zewnętrzne" BZ WBK, która daje klientowi możliwość zarządzania kilkoma rachunkami z jednego miejsca. Sporo rozwiązań zapewne czeka na uruchomienie API czy na wejście w życie ustawy wprowadzającej PSD2.

Celem ataku - zarówno ze strony FinTechów, jak i mniejszych banków - będą oczywiście największe polskie instytucje finansowe. To one mają najwięcej klientów i to tam są największe pieniądze. Na dodatek największe instytucje finansowe uznawane są za stosunkowo najmniej elastyczne w reagowaniu na zagrożenia. W końcu właśnie amerykańskie FinTechy mają największe sukcesy dzięki oferowaniu swoich usług klientom tamtejszych banków, które zbyt wolno reagują na zmiany otoczenia.

Jednak w Polsce sytuacja wygląda nieco inaczej. Największe banki są jednocześnie najbardziej zaawansowane technologicznie. PKO BP, mBank, ING BSK czy BZ WBK są w czołówce europejskiej pod względem rozwoju technologicznego. Na dodatek prawie każdy z nich w mniejszym lub większym stopniu przebudowuje swoją strukturę, aby uzyskać większą elastyczność. Na dodatek wszystkie one posiadają stosunkowo duże zasoby finansowe, co powoduje, że mniejszej konkurencji trudniej będzie zaoferować lepsze oferty i warunki produktów, gdyż ze względu na rozmiar uzyskują one droższe finansowanie. Może się więc okazać, że na rynku polskim będziemy mieli nie tyle wojnę, co manewry, a uzyskane doświadczenie banki i FinTechy zdecydują się wykorzystać w innych krajach UE.

Oczywiście, do implementacji PSD2 przygotowują się inne kraje. Część instytucji z innych krajów UE jest już mocno zaawansowana, np. Nordea chwaliła się, że jest już gotowa na open banking, jaki wprowadza PSD2. Wiadomo, że nad swoim API pracuje część banków francuskich, nieźle są przygotowane instytucje z Holandii.

Jednak jest wiele krajów unijnych, dla których PSD2 może stanowić kolosalny problem. Przykładem mogą być Włochy, gdzie banki przeżywają potężne problemy finansowe. Tamtejsze instytucje mają za mało pieniędzy, aby odpowiednio przygotować się do dyrektywy i walki z nową konkurencją.

Całkiem podobnie jest w przypadku niektórych banków francuskich. W Hiszpanii mamy grupy zarówno innowacyjne i bogate, jak Santander, jak i podmioty słabe, jak regionalne cajas, które nie podniosły się jeszcze po ostatnim kryzysie. Są wreszcie Niemcy, których banki od dawna są w stagnacji, czego najbardziej drastycznym przykładem jest opłakany stan finansowy i wizerunkowy Deutsche Banku.

To wszystko sprawia, że polskim podmiotom może być teraz łatwiej próbować szczęścia za granicą niż w kraju. Zwłaszcza, jeśli dzięki wcześniejszemu wdrożeniu rozwiązań związanych w PSD2 będą miały już gotowe i przetestowane rozwiązania, służące do obsługi płatności czy do porównywania ofert. A prace nad nimi - choć może jeszcze nie w pełni nagłośnione - trwają już od wielu miesięcy.

Marek Siudaj