Bankowy koń trojański Brukseli

Można sobie wyobrazić zbudowanie dzięki unijnej Dyrektywie PSD2 rosyjskiego banku w Polsce - mówi Rafał Antczak, wiceprezes PKO BP.

Maciej Wośko i Stanisław Koczot, Gazeta Bankowa: Jaka jest skłonność do ryzyka w polskim biznesie? Według Global Entrepreneurship Monitor Polska GEM, obawa przed porażką jest u nas bardzo duża.

Rafał Antczak, wiceprezes PKO BP: - Trzeba pamiętać o tym, że polski biznes ciężko zapracował na swój sukces. Wie, że mały błąd może kosztować go bardzo dużo. Polskim firmom odradzałem na przykład inwestowanie w gospodarkach krajów dawnego Związku Radzieckiego. Mówiłem to już ponad 15 lat temu na podstawie własnych doświadczeń wynikających z pracy eksperckiej na Wschodzie. To nie jest rynek dla nas, to rynek obarczony gigantycznym ryzykiem politycznym. Na przykład sankcje nakładane na Rosję oznaczają, że polska firma z dnia na dzień może znaleźć się w sytuacji bankructwa. Firmy duże mogą pozwolić sobie na większe ryzyko, natomiast średnie ryzykują stratę całego swojego majątku, a zdecydowana większość polskich firm to firmy średnie. Postawmy problem inwestycji w taki sposób: co jest lepsze - zdobycie 10-20 proc. rynku na Wschodzie czy przejęcie ułamka procenta tego rynku w Unii Europejskiej? Nominalnie wychodzi na to samo. Tylko że na Wschodzie, gdy firma staje się znaczącym graczem, zaczyna zwracać na siebie uwagę. Najczęściej nie jest to dla niej dobra sytuacja.

Reklama

Jaki wynika z tego wniosek? Nie inwestować na Wschodzie?

- Nie. Powinniśmy wreszcie nauczyć się, jak nie tracić ciężko wypracowanego kapitału. Jak podkreślają historycy, państwa stawały się imperiami, bo ich zarządzający wiedzieli, jak nie ponosić strat i gromadzić w kraju zyski. Nie ryzykowali niepotrzebnie. Jest to coś, co w Polsce jest dużo poważniejszym problemem, niż nam się wydaje. Przykładem mogą być nietrafione, egzotyczne inwestycje zagraniczne niektórych spółek Skarbu Państwa, czy opcje walutowe, które nagle w 2008 r. pojawiły się w polskiej gospodarce. Instrument sprzedawany był głównie średnim polskim firmom, a nie zagranicznym korporacjom i miał charakter wyłącznie spekulacyjny.

Dlaczego właśnie im?

- Wykorzystano zwyczajną niewiedzę polskich przedsiębiorstw i ludzką chciwość, ale też i pewną specyfikę średnich firm. Polskie firmy zawsze były nadpłynne, gromadziły środki finansowe, które służyły współfinansowaniu inwestycji, więc w przypadku strat na opcjach walutowych można było łatwo ściągnąć pieniądze z ich rachunków. I tak się rzeczywiście stało. Mieliśmy trochę szczęścia w tym wszystkim, że kryzys światowy namieszał w tej spekulacji i zagraniczne banki inwestycyjne mocniej nie zaatakowały złotego, więc skala bankructw firm była ograniczona, choć i tak na polskie warunki duża. Za kłopoty ze spekulacjami finansowymi wiele krajów na średnim poziomie rozwoju zapłaciło bardzo wysoką cenę zahamowania rozwoju - kraje Ameryki Południowej są najlepszym przykładem. Musimy zatem się pilnować, aby nie pojawiały się w Polsce ryzyka systemowe, które mogą wywołać kryzys w firmach czy w bankach.

Czy są teraz takie zjawiska, ryzykowne z punktu widzenia banków?

- Tak. Sądzę, że jest to Dyrektywa PSD2 i jest to opinia podzielana przez wiele osób ze środowiska bankowego, ale także i informatyków. Chodzi oczywiście o wprowadzenie na rynek bankowy tzw. podmiotów trzecich, niepodlegających żadnym regulacjom.

Na czym polega to ryzyko?

- Na przykład na tym, że Komisja Europejska w Dyrektywie PSD2 zażądała, żeby sektor bankowy zgadzał się na logowanie do banków przez trzecie podmioty wykorzystujące login i hasło klienta. Jest to więc sytuacja potencjalnie bardzo ryzykowna - zupełnie jakby obcej osobie spotkanej na ulicy przekazać najbardziej przecież poufne dane. Komisja Europejska wymyśliła sobie sposób na deregulację całego sektora bankowego w Europie, uważając, że doprowadził on do kryzysu w 2008 r. Tylko akurat w Polsce taka sytuacja nie miała miejsca i ani podatnicy, ani budżet państwa nie dopłacili do banków. Wręcz przeciwnie, polskie banki, w tym przede wszystko PKO BP, są jednymi z największych płatników podatków do budżetu, co pokazały niedawno opublikowane dane Ministerstwa Finansów. Komisja Europejska wprowadza do sektora bankowego firmy technologiczne i będą to głównie firmy niemieckie, które mają oferować to samo, co krajowe banki, tylko firmy te nie będą podlegać żadnym bankowym regulacjom ani w kraju, ani za granicą. Na tym ma polegać - według Komisji Europejskiej - wzrost konkurencyjności w sektorze bankowym.

I rzeczywiście może to zwiększyć konkurencję?

- Mało prawdopodobne, również dlatego, że w globalnym rankingu Doing Business Banku Światowego dostępność kredytu w sektorze bankowym w Polsce jest jedna z wyższych na świecie i firmom łatwiej otrzymać kredyt, niż podłączyć prąd, co pokazuje właśnie to badanie. Działanie Komisji Europejskiej może natomiast stworzyć okazję do wycieku danych z tych trzecich firm, które będą zbierać dane klientów banków. Zupełnie niedawno pewna globalna firma przyznała się do udostępnienia dziesiątków milionów danych swoich klientów praktycznie bez ich wiedzy, a dane te dotyczyły "tylko" zainteresowań klientów, a nie jak w przypadku sektora bankowego, najbardziej wrażliwych i poufnych informacji. Komisja Europejska w żaden sposób nie chce uregulować nawet sposobu rejestrowania tych trzecich firm operujących w sektorze bankowym. Można sobie na przykład wyobrazić zbudowanie w ten sposób rosyjskiego pseudo-banku w Polsce, operującego z serwerów w Niemczech lub na Litwie, czego do tej pory udało się uniknąć.

Z tym, że sprawa PSD2 jest już w zasadzie zamknięta na poziomie unijnym, nic nie można z tym zrobić...

- I tak, i nie. Diabeł jak zawsze tkwi w szczegółach. W opublikowanych przez Komisję Europejską rozporządzeniach technicznych, tzw. RTS-ach, pozostała furtka do stosowania screen scrapingu, czyli możliwość ściągania przez firmy trzecie wszystkich danych klienta z rachunków bankowych, po udostępnieniu przez niego loginu i hasła do konta. Dobrze, że polskie banki są jednymi z najnowocześniejszych w Europie, także w zakresie cyberbezpieczeństwa. Dzięki temu oraz dzięki wysokiej świadomości potencjalnych zagrożeń udało się wspólnie wypracować w ramach sektora tzw. Polish API (Application Programming Interface). Jego jednolite zastosowanie zapewni minimum bezpieczeństwa, ograniczając pozyskiwanie danych klientów bankowych przez firmy trzecie wyłącznie do tych, na które klienci wyrazili faktyczną zgodę. Realizujemy w ten sposób wymóg Komisji Europejskiej - dopuszczając konkurencję spoza sektora, ale na przejrzystych i bezpiecznych zarówno dla systemu, jak i klientów warunkach.

Czy dla polskich banków jest to rzeczywiście duży problem? Z ich świetnymi systemami informatycznymi?

- Polskie banki są pod względem technologicznym bardzo nowoczesne. A może właśnie dlatego, że jesteśmy tak dobrze zinformatyzowani, a sektor bankowy wysoce dochodowy, Komisja Europejska najbardziej naciska właśnie na nas. Bruksela chciała, abyśmy wprowadzili Dyrektywę PSD2 w najbardziej skrajnym wariancie, czyli z dopuszczeniem screen scrapingu. Czym było brutalne wejście kontrolerów Komisji Europejskiej do Związku Banków Polskich w październiku 2017 r., jak nie próbą zastraszenia, że jakiekolwiek dyskusje banków na forum oficjalnej organizacji mogą być dowodem na ich zmowę? Oprócz Polski podobne działania podjęto tylko wobec Holandii, gdzie banki równie sceptycznie podchodzą do pomysłu screen scrapingu i przeciwko temu protestują. Jeśli jakikolwiek bank w Polsce lub innym unijnym kraju złamał prawo, to oczywiście należy go ukarać, ale to musi zostać udowodnione. Od czasów prawodawstwa rzymskiego działa bowiem zasada domniemania niewinności, więc chyba również obowiązuje w prawie unijnym.

PSD2 miało służyć temu, żeby klientowi było wygodniej korzystać z usług finansowych. Pan twierdzi, że będzie to bardzo ryzykowne. Ale przecież już część danych jest wykorzystywanych przez sektor pozabankowy...

- Należy rozróżnić dwie kategorie firm trzecich świadczących usługi dla klientów bankowych. Pierwsza świadczy usługę payment initiation service - PIS, czyli weryfikowanie na przykład tego, czy karta klienta ma pokrycie w środkach na bankowym koncie. Z przekazywaniem tego typu informacji trzecim firmom żaden bank nie ma problemu. Druga natomiast usługa account information service - AIS, w tym w formie screen scrapingu, polega na ściąganiu wszystkich możliwych informacji z rachunku klienta, w tym o transakcjach z innymi firmami i osobami, bez gwarancji jakiegokolwiek efektu końcowego. Dane klienta zostają oczywiście na serwerach firm trzecich i tego Komisja Europejska nie ma zamiaru w jakikolwiek sposób kontrolować. Liczba firm trzecich świadczących usługi wynikające z Dyrektywy PSD2 szacowana jest już na ponad 150 tysięcy! I to właśnie jest problemem.

Czy hakerom uda się łatwiej spenetrować polski system bankowy za pośrednictwem PSD2?

- Jest to pytanie otwarte. Na razie im się to nie udało.

Rozmawiali Maciej Wośko i Stanisław Koczot

Gazeta Bankowa
Reklama
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »