Nuo rugsėjo 14 d. – atvirosios bankininkystės eros pradžia?

2019 - 09 - 12

2019 metų rugsėjo 14 d. daugumai paslaugų teikėjų (PSP) kalendoriuje raudonai apibrėžta diena. Ši data žymi paskutinį ir galutinį Antrosios mokėjimo paslaugų direktyvos (PSD2) įgyvendinimo terminą. Nuo šiol visi bankai, kredito unijos, elektroninių pinigų įstaigos, tvarkančios sąskaitas ir teikiančios elektronines mokėjimo paslaugas turi atverti savo sistemas tam, kad mokėjimo inicijavimo ir sąskaitos informavimo paslaugos teikėjai, veikdami klientų vardu, galėtų surinkti klientų duomenis iš jų mokėjimo sąskaitų. Ši atviroji bankininkystės idėja bus įgyvendinama pagal  reikalavimus, nustatytus Europos Komisijos deleguotojo reglamento norminiuose techniniuose standartuose (EBA-RTS).

Nors pati PSD2 apima daugybę aspektų, susijusių su elektroninių mokėjimų rinka, įsigaliojantys reikalavimai tiesiogiai susiję su EBA-RTS yra šie:

  • Mokėjimo inicijavimo (PIS), sąskaitos informavimo (AIS) ir lėšų pakankamumo patvirtinimo (PIIS) paslaugų įgyvendinimą atvirojo ryšio sąsajomis ir prieigą realioms operacijoms;
  • Stiprų kliento autentifikavimo (SCA) taikymą, siekiant apsaugoti elektronines operacijas.

Kokie nauji reikalavimai bus taikomi paslaugų tiekėjams?

PSD2 nustato pareigą PIS ir AIS paslaugų teikėjams kiekvieno ryšių seanso metu nurodyti savo tapatybę sąskaitą tvarkančiam mokėjimo paslaugų teikėjui ir tam tikslui naudoti parengtas atvirojo ryšio sąsajas.  Atvirojo ryšio sąsajos gali būti įgyvendintos per atvirojo ryšio techninę sąsają, pagrįstą RESTful architektūra ir atitinkančią EBA-RTS reikalavimus (API) arba per internetine bankininkyste pagrįstą sąsają. Kadangi API sąsajos yra laikomos techniškai labiau pažengusiomis ir pritaikomomis, tikėtina, būtent API sąsajos bus naudojamos dažniau.

Tiek tarptautiniu, tiek nacionaliniu lygmeniu rekomenduojama laikytis ypač aukštų reikalavimų API sąsajų kokybei. Pavyzdžiui, vos kelių minučių API veiklos pertrūkis lemtų pareigą aktyvuoti atsarginę sąsają. Visoje Europos Sąjungoje šios nuostatos tapo privalomos nuo 2019 metų rugsėjo 14 d. Iki tol naudotas prisijungimas prie bendros sąskaitą tvarkančio asmens internetinės bankininkystės mokėtojo vardu be atskiro prisijungiančio asmens patvirtinimo (ang. screen scraping) nebebus galimas.

Taip pat PSD2 numatytais atvejais visi Europos Sąjungoje veikiantys mokėjimo paslaugų teikėjai privalės taikyti saugesnį autentiškumo patvirtinimą, taip kaip tai numatyta EBA-RTS. Taigi, įsigalios vieningas standartas, padėsiantis užtikrinti saugesnius prisijungimus prie savo sąskaitos ir internetu atliekamus mokėjimus. Saugesnio autentiškumo patvirtinimas, atliekant mokėjimus internetu, užtikrins dinamišką kiekvienos mokėjimo operacijos susiejimą su konkrečia suma ir konkrečiu gavėju, personalizuotų saugumo duomenų konfidencialumą, padės identifikuoti atsitiktinius ar apgaulingus mokėjimus, klientui nebūdingus mokėjimo operacijų veiksmus. Atitinkamai, mokėjimo paslaugos teikėjai privalės įsidiegti technines priemones saugesnio autentiškumo patvirtinimo procedūrai taikyti.

Su kokiais iššūkiais gali susidurti paslaugų tiekėjai?

Įsigaliojus šiems reikalavimams, praktika atskleisti savo vienkartinius prisijungimo duomenis PIS ir AIS paslaugos teikėjui taps visiškai įprasta. Vis dėlto, atitinkamai kyla klausimai – kaip praktikoje bus sprendžiami ginčai šių duomenų atskleidimo, neautorizuotų mokėjimų atlikimo ir kitais atvejais. PSD2 numato tik pagrindinius principus galimiems ginčams tarp PIS ir AIS paslaugos teikėjo ir sąskaitą tvarkančio mokėjimo paslaugų teikėjo spręsti. Nesant konkrečių atsakomybės nustatymo kriterijų, ginčų sprendimas gali užsitęsti, ypač jei toks ginčas vyks tarp skirtingose jurisdikcijose veikiančių subjektų.

Nepaisant to, kad šios naujovės nustato didelių reikalavimų mokėjimo paslaugų teikėjams, tai galimybė žengti tikrosios atvirosios bankininkystės link.

Advokatų kontoros „Cobalt” advokatė, vyresnioji teisininkė Justina Milašauskienė