Menu Logowanie

Era tzw. Otwartej Bankowości

Zgodnie z unijnymi regulacjami, od połowy września wchodzimy w erę tzw. otwartej bankowości.
W bankach duże zmiany. Co to oznacza dla klientów?
Zmienią się zasady funkcjonowania instytucji płatniczych i między innymi firmy niebankowe (wg dyrektywy Third Party Providers -TPP) będą mogły świadczyć usługi na bazie pozyskanych przez nie danych bankowych klienta. Jak będzie przebiegał ten proces od strony praktycznej, tak aby klient banku wiedział, że jest prawidłowy?
Sprawę wyjaśnia Katarzyna Maja Tomaszewska, specjalista w Departamencie Skok i Instytucji Płatniczych UKNF.
Usługi, o których mowa to tzw. usługa PIS – usługa inicjowania płatności oraz usługa AIS, za pomocą której uzyskujemy dostęp do informacji o rachunku.
Usługa PIS jest co do zasady wykonywana na rzecz zarówno płatników jak i odbiorców płatności – głównie sklepów internetowych. Polega ona na złożeniu przez TPP, na polecenie i w imieniu klienta, zlecenia wykonania transakcji płatniczej (polecenia przelewu) w celu przekazania środków pieniężnych odbiorcy płatności klienta i niezwłocznym poinformowaniu o tym odbiorcy. Zainicjowanie płatności za pośrednictwem TPP daje więc odbiorcy płatności informację, że środki (zapłata) za towar lub usługę zostaną przekazane na jego rachunek płatniczy i że może on wykonać swoje świadczenie wzajemne (wydać towar, świadczyć usługę).
Usługa AIS natomiast, to usługa polegająca na dostarczaniu posiadaczom rachunków płatniczych skonsolidowanych informacji o tych rachunkach (zebranie danych o wykonanych transakcjach płatniczych; informacje o saldzie). TPP logując się, na zlecenie klienta i za jego zgodą, do systemu bankowości elektronicznej, uzyskuje dostęp do informacji o rachunku lub rachunkach płatniczych klienta dostępnych on-line, dzięki czemu może zagregować, przetworzyć i udostępnić klientowi nie tylko informacje o saldzie tych rachunków, lecz również różne zestawienia danych o jego płatnościach, wydatkach, opłatach czy przychodach.
Zarówno w przypadku usługi PIS jak i AIS, do ich wykonania niezbędne jest złożenie przez klienta stosownego zlecenia, wyrażenie woli skorzystania z danej usługi. Musi on wyrazić zgodę na to, żeby TPP mógł uzyskać dostęp do jego rachunku płatniczego. Podkreślę, że żaden podmiot nie będzie miał dostępu do naszych rachunków płatniczych, bez naszego świadomego i wyraźnego zlecenia i zgody. Dodatkowo, pamiętajmy, stosowanie przez bank specjalnego API, za pomocą którego komunikuje się on z TPP, praktycznie eliminuje możliwość ujawnienia danych dostępowych klienta do systemu bankowości elektronicznej. Pozostają one znane wyłącznie klientowi i bankowi.
Wracając do pytania, wykonanie usługi AIS wymaga wyrażenia przez klienta zgody.
Sam proces zlecania takiej usługi może wyglądać na przykład w następujący sposób:
1) Wyrażam chęć skorzystania z usługi AIS – wybieram dostawcę TPP.
2) Zapoznaję się z regulaminem czy umową o świadczenie usługi AIS wybranego TTP.
3) W aplikacji TPP lub na stronie internetowej tego usługodawcy zaznaczam swój bank i wyrażam zgodę na wykonanie usługi AIS w wybranym banku.
4) System TPP przekierowuje mnie do bankowości internetowej/mobilnej mojego banku, gdzie – w celu uwierzytelnienia – wypełniam dane logowania (podaję dane dostępowe, tj. login i wielorazowe hasło do bankowości elektronicznej) i potwierdzam żądanie uruchomienia usługi AIS wpisując np. jednorazowy kod autoryzacyjny (wysłany SMS-em lub wygenerowany w aplikacji mobilnej banku).
Warto zwrócić uwagę, że tego typu usługi nie były dotychczas regulowane, choć świadczone są na rynku finansowym od wielu lat, szczególnie na rynkach Europy Zachodniej, gdzie, w przeciwieństwie do rynku polskiego, często nie rozwinęły się metody płatności natychmiastowych, a bankowość elektroniczna ma bardzo ograniczone funkcjonalności.
Uregulowanie działalności TPP i świadczenia wspomnianych usług ma na celu legitymizację tego typu działalności (poprzez wprowadzenie określonych prawem warunków jej wykonywania, weryfikację ich spełniania oraz objęcie nadzorem) oraz określenie wymogów, które zapewnią bezpieczeństwo świadczenia usług.
Główne elementy, na których opiera się regulacja usług świadczonych przez TPP to:
” wymóg uzyskania stosownej licencji organu nadzoru oraz objęcie nadzorem finansowym;
” komunikowanie się TPP z bankami poprzez specjalny dedykowany interfejs udostępniany przez banki prowadzące rachunki płatnicze on-line (API) oraz zapewnienie aby wysyłane/odbierane przez TPP i bank komunikaty były właściwie zabezpieczone, zaszyfrowane;
” konieczność identyfikowania się TPP wobec banku dedykowanymi kwalifikowanymi certyfikatami (podpisami) elektronicznymi, które mogą zostać wydane wyłącznie podmiotom uprawnionym do świadczenia m.in. usług AIS i PIS;
” świadczenie usług tylko i wyłącznie na zlecenie klienta, na podstawie jego wyraźnej zgody, wyrażonej w sposób niebudzący wątpliwości.
Czy proces powinien wyglądać tak, że klient będzie miał świadomość, że takiej zgody udziela i na co konkretnie jej udziela? Czy wyświetli mu się komunikat, zaznaczy w okienku zgodę, czy musi przeczytać jakąś klauzulę?
– Zdecydowanie tak. Klient powinien być świadomy komu i w jakim zakresie udziela zgody. Przed wyrażaniem zgody na wykonanie usługi AIS klient powinien przeczytać i zaakceptować jasno sformułowaną informację na temat usługi (regulamin/umowę). W szczególności powinien uzyskać wszelkie wyjaśnienia na temat:
1) wykonawcy usługi i tego czy udostępniane mu dane będą przekazywane dalej innym podmiotom (identyfikacja TPP, informacja, że jest podmiotem nadzorowanym, i – ewentualnie – dane innych osób zaangażowanych w świadczenie AIS, np. firm oferujących rozwiązania IT współpracujących z TPP, które mogłyby pośrednio uzyskać dostęp do informacji o rachunku),
2) bezpieczeństwa danych gromadzonych przez TPP,
3) charakteru wybranej usługi (krótki opis na czym polega usługa – agregacja informacji o rachunku, saldzie, wykonanych transakcjach itp.),
4) zakresu udzielanej zgody (dostęp do informacji dotyczących jednego czy kilku rachunków, dostęp do określonego typu transakcji, np. tylko uznania odnotowane na rachunku, itp.),
5) okresu na jaki zgoda została udzielona oraz częstotliwości wykonywanych operacji pobierania danych (np. czy zgoda jest udzielana jednorazowo, na jakiś okres czy też bezterminowo, a także jak często – w trakcie trwania okresu świadczenia usługi – TPP jest uprawniony do dostępu do informacji o rachunku – np. może „odpytywać” bank klienta nie częściej niż 4 razy w ciągu 24h, chyba że inaczej umówił się z klientem),
6) w jaki sposób można taką zgodę odwołać (gdzie i komu należy zgłosić rezygnację; należy podkreślić, że przepisy prawa nie przewidują odwołania takiej zgody za pośrednictwem banku).
– Klient decydujący się na korzystanie z usług TPP powinien być też przygotowany na to, że postanowienia takiego regulaminu czy umowy na świadczenie usługi AIS, ze względu na charakter i specyfikę uregulowania świadczenia usług finansowych, będą dosyć obszerne i mogą zawierać odesłania do aktów prawa polskiego czy regulacji unijnych. Tak jak powiedziałam, sposób prezentacji podstawowych informacji o usłudze powinien być jak najbardziej czytelny, niekiedy jednak założenie to może okazać się trudne do zrealizowania.
– Myślę, że warto w tym miejscu podkreślić również to, że żadna regulacja, ani nadzór nie zwolnią klienta z odpowiedzialności za jego decyzje i za to na co wyraża zgodę. Dlatego zawsze należy dokładnie zapoznać się z treścią akceptowanych regulaminów czy umów o świadczenie usług finansowych. Jeśli pojawią się jakiekolwiek wątpliwości co do ich postanowień, w tym zakresu uprawnień udzielanych osobom trzecim, należy dążyć do ich wyjaśnienia. A jeżeli nie da się ich wyjaśnić, warto zastanowić się nad skorzystaniem z danej usługi.
– Zasadą, którą powinien kierować się każdy, kto korzysta lub zamierza skorzystać z wszelkich usług finansowych, powinno być pełne zrozumienie produktu, który jest oferowany.
Czy taki klient będzie świadomy konsekwencji wydania takiej zgody?
– Formularz dotyczący zgody klienta na wykonanie usługi AIS powinien zawierać informacje, o których powiedziałam wcześniej, w szczególności wskazanie komu i na co klient udziela tej zgody. Komunikat dotyczący usługi AIS powinien być czytelny i zrozumiały dla klientów. Jednocześnie – tutaj się powtórzę – bardzo ważnym jest, aby klienci decydujący się na usługi oferowane przez TPP dobrze rozumieli, na czym one polegają i żeby świadomie z nich korzystali.
– Myślę, że można w tym miejscu dodać, że zgodnie z przepisami uzyskane na podstawie zgody klienta, udzielonej w ramach świadczenia usług AIS, informacje o rachunku nie mogą być używane ani przechowywane przez TPP do celów innych niż wykonanie właśnie tej usługi. Jeśli więc TPP oferuje klientom usługi dodatkowe (premium) np. analizowanie wydatków i efektywne zarządzanie domowym budżetem, to powinien on precyzyjnie nazwać tę usługę i wyraźnie zaznaczyć, że będzie ona świadczona dodatkowo, poza usługą AIS. Natomiast klient powinien na taką usługę wyrazić osobną zgodę i zaakceptować dedykowany tej usłudze regulamin czy też zawrzeć dodatkową umowę.
Kto będzie brać odpowiedzialność w sytuacji, gdy zgodnie z wolą (czyli za zgodą) klienta te dane o transakcjach bankowych zostaną przekazane firmie zewnętrznej, ale np. później zostaną one gdzieś ujawnione? Czy to zdejmuje odpowiedzialność z banku? Czy dyrektywa jasno to rozstrzyga?
– Zgodnie z prawem bankowym, bank ma obowiązek przekazać podmiotowi świadczącemu usługę AIS informacje stanowiące tajemnicę bankową, w zakresie niezbędnym do świadczenia tej usługi czyli, znacznie upraszczając, w przypadku usługi AIS – informacje o prowadzonym dla klienta rachunku płatniczym on-line.
– TPP, jak już wspomniałam, zobowiązane są do zapewnienia, aby uzyskane od banku informacje o rachunku nie były używane, uzyskiwane i przechowywane do celów innych niż wykonanie usługi AIS zgodnie z wolą klienta (w zakresie udzielonej zgody). W przypadku „wycieku” tych danych odpowiedzialność ponosi TPP. Prawo bankowe mówi wyraźnie, że bank nie ponosi odpowiedzialności za szkodę wynikającą z ujawnienia tajemnicy bankowej przez osoby i instytucje upoważnione przez ustawę do żądania od banków udzielania informacji stanowiących tajemnicę bankową. Ponadto zgodnie z przepisem karnym zawartym w ustawie prawo bankowe, kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3.
– Dodam, że podmiot świadczący wyłącznie usługę AIS, aby mógł być zarejestrowany w rejestrze prowadzonym przez KNF, jest zobowiązany do zapewnienia zabezpieczenia ewentualnych roszczeń klientów, np. poprzez posiadanie ubezpieczenia odpowiedzialności cywilnej za szkody powstałe w związku z wykonywaną działalnością.
– Warto też pamiętać o przepisach dotyczących ochrony danych osobowych wynikających z regulacji unijnego rozporządzenia (RODO). TPP powinien zadeklarować zgodność świadczenia usług również z tymi przepisami, w szczególności w odniesieniu do udzielania zgód na gromadzenie i przetwarzanie danych osobowych klienta. Nadzór nad poprawnością gromadzenia i przetwarzania danych osobowych sprawuje Prezes Urzędu Ochrony Danych Osobowych.
Czy TPP muszą się wykazać odpowiednim stopniem zabezpieczeń w przypadku pobierania takich danych? Kto to kontroluje?
– Rozwiązania technologiczne używane do świadczenia usługi AIS muszą gwarantować, aby dane klienta (informacje o kliencie, informacje o rachunku, dane uwierzytelniające: login, hasło do bankowości elektronicznej) przesyłane były bezpiecznie, zaszyfrowanymi komunikatami, tak, aby maksymalnie ograniczać ryzyko oszustwa lub ujawnienia danych wrażliwych. Dodatkowo, o czym już wspomniałam, każdy TPP, który komunikuje się z bankiem w celu wykonania usługi AIS, musi zidentyfikować się stosownym kwalifikowanym certyfikatem elektronicznym, co ma upewniać bank, że usługa świadczona jest przez uprawniony do jej świadczenia podmiot.
– Podmiot, który zamierza świadczyć usługę AIS musi z wnioskiem do KNF o wpis do rejestru lub wydanie stosownego zezwolenia przekazać szczegółowe informacje dotyczące bezpieczeństwa tej usługi, w tym na temat systemu zarządzania ryzykiem i kontroli wewnętrznej, procedur dotyczących dokumentowania i monitorowania szczególnie chronionych danych oraz ograniczenia dostępu do tych danych, strategii w zakresie bezpieczeństwa, wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonej usługi oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony klientów przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych.
– Weryfikacja tych rozwiązań możliwa jest także w ramach sprawowanego przez KNF nadzoru bieżącego, w tym podczas kontroli przeprowadzanych na miejscu, w siedzibie danego podmiotu.
Podsumowując, na co trzeba najbardziej uważać?
Mimo, że idea otwartej bankowości (tzw. open banking) jest w ostatnich latach coraz bardziej popularna, a skutki realizacji jej założeń, m.in. w postaci dopuszczenia podmiotów trzecich do danych chronionych, wydają się mieć pozytywne aspekty, klienci powinni pamiętać, o potrzebie szczególnej ochrony swoich danych uwierzytelniających (loginu i wielorazowego hasła dostępowego).
Aby uniknąć ewentualnych problemów czy szkód, które mogą wyniknąć na skutek pozyskania tych danych przez osoby trzecie, nieuprawnione, klienci korzystający z usług TPP powinni:
o wykazać szczególną czujność i kierować się zasadą ograniczonego zaufania (m.in. upewnić się, że dany podmiot TPP jest licencjonowany/zarejestrowany – informacje na ten temat można uzyskać m.in. na stronie KNF lub w rejestrze prowadzonym przez Europejski Urząd Nadzoru Bankowego – EBARegister PSD2),
o zapoznać się dokładnie z ofertą usług świadczonych TPP (przeczytać również to co zapisane jest tzw. małym druczkiem),
o dobrze rozumieć istotę i charakter usług świadczonych przez TPP,
o znać zakres udzielanej TPP zgody (pamiętać, że dla tzw. usług premium TPP powinien wystąpić o udzielenie dodatkowej zgody na przetwarzanie lub przechowywanie danych),
o kontrolować/monitorować saldo posiadanych rachunków, a w przypadku dostrzeżenia/zidentyfikowania nieautoryzowanej płatności niezwłocznie skontaktować się z bankiem,
o zwrócić uwagę, czy TPP deklaruje zgodność z przepisami dotyczącymi ochrony danych osobowych (RODO),
o a przede wszystkim nie podejmować pochopnych i nieprzemyślanych decyzji i nie obawiać się zadawania nawet najprostszych pytań dostawcom usług finansowych.
Zgodnie z obowiązującymi przepisami klientom dostawców usług płatniczych, w tym również dostawców działających w charakterze TPP, przysługuje prawo do reklamacji. Dostawca usług płatniczych zobowiązany jest udzielić odpowiedzi w ciągu 15 dni (w sprawach szczególnie skomplikowanych – 35 dni) od dnia jej otrzymania.
Oprac. Monika Krześniak-Sajewicz

Copyright © 2018 Bank Spółdzielczy w Kazimierzu Dolnym.

Projekt i realizacja: AWESO