Podczas kończącej się dzisiaj konferencji Digital Banking and Payments Summit w jednym z paneli dyskutowano na temat wpływu dyrektywy PSD II na rynek usług płatniczych. Poruszono m.in. temat Polish API, czyli standardu, dzięki któremu banki będą mogły spełnić wymogi dyrektywy w zakresie udzielania dostępu do prowadzonych przez siebie rachunków tzw. podmiotom trzecim, a więc np. fintechom. Prace nad Polish API prowadzi Związek Banków Polskich.

Jak powiedział Maciej Kostro z ZBP, wiadomo, że ze względu na najnowsze regulacje zawarte w RTS-ach (wytyczne techniczne do PSD II, które mają zostać przyjęte w lutym lub marcu) Polish API nie będzie mogło zawierać tylko jednej metody uwierzytelnienia klienta. Przypomnę, że w projekcie Polish API zapisano, iż osoba korzystająca z usług fintechu będzie mogła potwierdzać swoją tożsamość przy wykorzystaniu tylko tzw. przekierowania. Metoda przypomina proces znany z przelewów pay by link i zakłada podawanie loginu i hasła do konta na stronie własnego banku.

Przeczytajcie także: • Jak pogodzić dyrektywę PSD II z rozporządzeniem GDPR

Pojawia się więc pytanie, ile metod uwierzytelniania Polish API będzie zawierać oraz jakie one będą. Uczestniczący w dyskusji i biorący udział w pracach nad Polish API Dariusz Paczewski, dyrektor biura innowacji cyfrowych w BZ WBK stwierdził, że obecnie pod uwagę brane są trzy rozwiązania. Pierwsze to oczywiście wymienione już wyżej przekierowanie. Druga metoda polega na potwierdzaniu tożsamości klienta za pośrednictwem strony trzeciej, np. zewnętrznej aplikacji mobilnej. Aplikacja taka mogłaby np. generować kody jednorazowe podobne do kodów Blik, dzięki którym klient mógłby się uwierzytelniać na stronie fintechu.

Trzecim możliwym rozwiązaniem zdaniem Paczewskiego jest logowanie się za pośrednictwem danych dostępowych do rachunku bankowego na stronie podmiotu trzeciego. Dziś podobną metodę wykorzystują niektórzy operatorzy płatności internetowych (np. Sofort), prosząc swoich klientów o login i hasło do konta bankowego w trakcie realizacji płatności. Na metodę tę z niechęcią patrzą jednak zarówno banki z Polski jak i Komisja Nadzoru Finansowego, które artykułują obawy o bezpieczeństwo takiego rozwiązania. Na razie więc nie wiadomo, jaki ostateczny kształt będzie miał katalog metod uwierzytelniania zawarty w Polish API.

Przeczytajcie także: • Ustawa o PSD II po pierwszym czytaniu w Sejmie

Wiadomo natomiast, że Polish API to niejedyny standard dostępu do rachunku, nad jakim toczą się prace w Europie. W Wielkiej Brytanii używany jest np. Open Banking. Opracowywane są też inne metody przez tzw. Grupę Berlińską (banki i inne instytucje z różnych krajów) oraz przez sektor bankowy we Francji i Słowacji. Co ciekawe wszystkie te rozwiązania zawierają przekierowanie, jako jedyną lub jedną z kilku metod uwierzytelniania. Ważne też, że jak powiedział Krzysztof Pycia z KIR-u, reprezentowana przez niego firma pracuje nad hubem, który będzie mógł integrować banki i podmioty trzecie przy wykorzystaniu Polish API.