Objavljeno: 26.11.2019 | Avtor: Matej Huš | Monitor December 2019

Do e-bank z aplikacijami zunanjih ponudnikov

Elektronsko bančništvo z vsemi prednostmi smo potrošniki z veseljem usvojili, saj odpravi veliko obiskov bančnih poslovalnic. Kakor klasične banke že dlje časa niso več edine ponudnice plačilnih storitev, bodo v prihodnosti izgubile tudi monopol nad elektronskim bančništvom. Ustrezna evropska zakonodaja se je začela uporabljati letos.

Navajeni smo, da komitenti NLB potrebujejo Klik, pri Abanki imajo Abanet in pri NKBM Bank@Net, če omenimo zgolj največje tri slovenske banke. Kdor ima račune odprte pri več bankah, mora pač uporabljati več spletnih bank, saj si nekako ne predstavljamo, da bi v Kliku spremljali stanje na računu v NKBM ali poravnavali univerzalne plačilne naloge (UPN) z računov pri Unicreditu. To seveda ni niti teoretično mogoče, a se bo v prihodnosti spremenilo. Novosti prinaša prenovljena direktiva o plačilnih storitvah PSD2 (Direktiva 2015/2366) iz leta 2015, katere zadnji del se je v Sloveniji začel uporabljati 14. septembra letos.

Novi storitvi odreditve plačil (PIS) in zagotavljanja informacij o računih (AIS) poenostavljata in skrajšujeta pot do informacij o računih pri plačilnih institucijah. Slika: Sberbank

Varnost

Ena izmed očitnejših novosti za končne uporabnike bo večja varnost. Številne banke so letos septembra uvedle dodatne varnostne mehanizme za dostop do elektronskega bančništva, denimo dvostopenjsko preverjanje pristnosti (2FA). PSD2 zahteva, da ponudniki plačilnih storitev uporabijo močno preverjanje pristnosti (SCA, strong costumer authentication), kar pomeni uporabo vsaj dveh varnostnih elementov.

V informacijski varnosti se ti delijo v tri skupine: kar vemo (geslo), kar imamo (telefon, kartica, čip), kar smo (biometrika). Po novem morajo ponudniki storitev uporabiti SCA, kadar želi komitent na daljavo izvesti katero od storitev, denimo nakazilo. Izjema so le primeri, ko je tveganje neznatno. To pomeni plačila majhnih vrednosti, zaupanja vrednim prejemnikom in ponavljajoča se plačila. V praksi to vidimo kot možnost brezstičnega plačevanja, kjer so nedavno dvignili mejo na 25 evrov. V isto kategorijo lahko sodijo še spletna plačila do 30 evrov in zaupanja vrednim prejemnikom.

Komitenti so tudi bolje zaščiteni, saj jim morajo banke povrniti plačila, če se izkaže, da jih komitent ni odobril, skupaj z obrestmi in s stroški. PSD2 tudi prinaša večjo zaščito imetnikov kartic, saj so odslej pri zlorabah, izgubi ali odtujitvi kartic odgovorni le do zneska 50 evrov, medtem ko je doslej ta meja znašala 150 evrov.

Nove storitve

Uporaba več elektronskih bank morda res ni največji problem na svetu, je pa zamudna in včasih naporna. Nekatere banke uporabljajo certifikate, druge žetone prek SMS, tretje kalkulatorje in čitalnike kartic, četrte namenske aplikacije na pametnih telefonih. Praktično bi bilo, če bi lahko v eni aplikaciji ali eni spletni banki dostopali do podatkov o vseh bančnih računih. Še bolje pa bi bilo, če bi lahko tudi plačila z vseh računov izvajali kar na enem mestu. To bo odslej mogoče.

PSD2 uvaja novi plačilni storitvi: odreditev plačil (PIS, payment initiation service) in zagotavljanje informacij o računih (AIS, account infromation service). PIS predpisuje, da mora banka (ali hranilnica, družba za izdajo elektronskega denarja ali druga plačilna institucija) na zahtevo imetnika računa odobriti plačilo v breme tega računa, če zahtevo poda imetnik računa prek ponudnika PIS (PISP). Računi bodo torej še vedno odprti pri bankah, bo pa moč s tem računom poslovati prek aplikacij tretjih ponudnikov. To v praksi pomeni, da lahko PISP izdela aplikacijo oziroma spletno storitev, prek katere lahko plačujemo z vseh svojih računov. Banke, kjer so ti računi odprti, morajo ponudnikom z dovoljenjem Banke Slovenije omogočiti ustrezen dostop prek API in tudi izvesti odrejena plačila. Tudi banke so seveda lahko PISP, tako da bi lahko na primer prek ene elektronske banke nakazovali še z računov pri konkurenci.

Lažja verzija je AIS, kjer gre samo za zagotavljanje informacij o računih. Tako lahko ponudnik AIS (AISP) nudi storitev prikaza informacij o vseh računih svojih uporabnikov v prijazni in strnjeni obliki, četudi so računi odprti pri različnih institucijah. AIS je namenjen upravljanju osebnih financ, saj nudi pregled nad vsemi računi na enem mestu. V praksi pričakujemo kombinacijo, saj bodo verjetno PISP nudili tudi AIS, obratno pa ne nujno. Dovoljenje Banke Slovenije za delovanje kot PISP/AISP bodo lahko pridobile vse banke, hranilnice in druge plačilne institucije (glej okvir), če ga bodo seveda želele. Seznam vseh upravičencev, ki so dovoljenje dobili pri centralnih bankah drugih članic EU, vodi European Banking Authority. Če imajo urejen passporting, lahko to storitev nudijo tudi v drugih državah, je pojasnil Mile Crnović iz Sberbank.

Trenutno ponudnikov AIS in PIS še ni veliko, v prihodnosti pa pričakujemo, da bodo na ta trg vstopila predvsem gibka tehnološka podjetja. N26 in Revolut že nudita lastne plačilne storitve (N26 je prava banka, Revolut pa ima omejeno licenco), v prihodnosti pa bi lahko v svoje aplikacije za stranke integrirala še dostop do ostalih računov. Mint in Money Dashboard že nudita podobne storitve obvladovanja osebnih financ. Potem so tu še PayPal in podobni, ki trenutno poslujejo prek plačilnih kartic in direktnih bremenitev. Če bodo pridobili licenco kot PISP, bodo omogočali neposredno upravljanje bančnega računa. To lahko postanejo tudi veliki trgovci, ki bi tako kar sami odtrgali sredstva ob nakupih.

Direktiva o plačilnih storitvah

Prva direktiva (PSD1) je bila sprejeta 2007, ko je bil digitalni svet še precej drugačen in manj razvit. Postavila je pravne temelje za enotni trg plačil v EU, ki je danes samoumeven. Sistem čezmejnih plačil SEPA (Single Euro Payments Area) je najopaznejša, a še zdaleč ne edina pridobitev. Zlasti razvoj internetnih tehnologij pa je pokazal na potrebo po nadaljnji standardizaciji in odpravi nekaterih izjem iz PSD1.

Evropski parlament in Evropski svet sta zato leta 2015 sprejela novo direktivo, ki je začela veljati že 13. januarja 2016. Kot je v navadi pri obsežnih zakonih, ki zahtevajo večje spremembe tehnologije in infrastrukture, pa so se določeni členi začeli uporabljati kasneje. Regulativno tehnični standardi (RTS) nove direktive so v Sloveniji začeli veljati 14. septembra 2019. Ti od podjetij in finančnih institucij zahtevajo uvedbo tehničnih rešitev in zmožnosti, ki jih opisujemo v tem članku.

Direktivo v slovenski pravni red prenaša Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED), v katerem so se 14. septembra začeli uporabljati še 117., 118., 119. in 153. člen. Ti urejajo storitve odreditve plačil in storitve zagotavljanja informacij o računih.

Na drugi strani imamo ASPSP (Account Servicing Payment Service Provider), ki morajo v okviru PSD2 navzven odpreti vmesnik za posredovanje plačil in dostop do podatkov o računu. Po domače povedano so to banke in drugi ponudniki, kjer imamo odprte transakcijske račune, ki morajo ponujati API za izvajanje AIS in PIS. Ker ni pričakovati, da bi se vsak ponudnik storitev ukvarjal z vsakim ASPSP, je pričakovati pojavi konsolidatorjev dostopov, ki bodo nekakšni vezni členi med različnimi ponudniki. V Sloveniji ima pomembno vlogo Bankart, s katerim številne banke sodelujejo pri izdelavi svojih sistemov. Večina jih API ponuja prek Bankarta, so pa tudi nekatere izjeme (npr. NLB, Intesa Sanpaolo in Unicredit), ki imajo svoje.

Komitenti bodo AIS in PIS lahko uporabljali, če bodo ponudnikom storitev podali izrecno dovoljenje. Banke bodo skrbele le, da bodo upoštevani dodatni varnostni ukrepi močne avtentikacije uporabnikov, kot jih predpisujejo tehnični standardi direktive (RTS). Ponudniki bodo morali imeti dovoljenje Banke Slovenije. Ne bodo pa se komercialne banke vpletale v način podajanja soglasja uporabnika, kar izvedeta uporabnik in ponudnik storitve načelno sama, banko pa le na pravilen način obvestita.

Obotavljivi začetki

Čeprav PSD2 že velja v celoti, je v Sloveniji implementacija še na začetku. Banke še ne beležijo večjega povpraševanja po tovrstnih storitvah. Prav tako so v vseh bankah povedali, da sami še ne omogočajo, da bi iz njihovih aplikacij za elektronsko bančništvo upravljali račune v drugih bankah. Z drugimi besedami: banke še ne delujejo kot ponudniki AIS in PIS (so pa seveda ASPSP, kar jim nalaga zakon). Vsaj nekatere pa se pripravljajo, da bi postale tudi PISP/AISP, so dejali.

Komitenti dostop prek AIS in PIS odobravajo z enakimi varnostnimi mehanizmi kakor dostop do lastne elektronske banke. Alja Jureč iz NLB je pojasnila, kako pri njih v praksi poteka vzpostavitev novih storitev. Ko komitent tretjemu spletnemu mestu ali aplikaciji poda soglasje za dostop do računa, je preusmerjen na bančno spletno mesto, ki je dostopno prek varne povezave. Prijavi se z uporabniškim imenom in generiranim enkratnim geslom OTP na enak način kot za dostop v spletno banko. Po prijavi v pregled prejme informacije, do katerih želi dostopati tretje spletno mesto ali aplikacija, do kdaj želi dostopati ter kakšno plačilo želi izvesti. Ko komitent ta korak potrdi, je preusmerjen nazaj na spletno mesto. Tovrstna soglasja so veljavna največ 90 dni, vsako transakcijo pa mora komitent izrecno odobriti.

Tudi Eva Možina iz Abanke je pojasnila, da je avtentikacija enaka kot pri dostopu v spletno banko, torej uporabniško ime z geslom ter enkratno 6-mestno geslo prek SMS. Pred prvim dostopom do računa (AIS) se izvedeta avtentikacija v bančnem okolju in potrditev soglasja za dostop do računa, kjer se določi število vpogledov in obdobje. Pri izvajanju plačilnih nalogov (PIS) je potrebna avtentikacija uporabnika in izrecna potrditev naloga. Izjema so plačila, ki jih uporabnik uvrsti na seznam zaupanja vrednih prejemnikov, ko se potrjuje le prvi nalog.

V Sloveniji dovoljenje za opravljanje plačilnih storitev podeljuje Banka Slovenije. Imajo ga:

̶ v Sloveniji registrirane banke in podružnice tujih bank,

̶ družbe za izdajo elektronskega denarja (za zdaj mBills in Telekom Slovenije),

̶ družbe za izdajo elektronskega denarja z opustitvijo (jih ni),

̶ plačilne institucije (za zdaj Erste Card in A1 Slovenija),

̶ plačilne institucije z opustitvijo (jih ni),

̶ ponudniki storitev zagotavljanja informacij o računih (jih ni),

̶ Banka Slovenije,

̶ Uprava Republike Slovenije za javna plačila,

̶ drugi državni in lokalni organi.

Ko se bo zanimanje za nove storitve iz PSD2 povečalo, pa lahko pričakujemo, da bo za dovoljenje zaprosilo več družb.

Mile Crnović iz Sberbank pa je dodal še, čeprav tretji ponudniki še niso izkazali interesa za dostop do API za namen nudenja storitev PIS/AIS, to ni edini način. Dostop do računov je mogoče urediti tudi v neposrednem pogodbenem razmerju z banko in zunanjim ponudnikom, kar že ponuja mBills (ki ima tudi dovoljenje Banke Slovenije). Tudi v tem primeru se za sredstva neposredno bremeni komitentov račun.

V praksi

Token Banking App je primer aplikacije, ki že omogoča enoten dostop do bančnih računov pri različnih institucijah. Podpira banke v več državah, med nam bližjimi sta Sberbank kot edina podprta slovenska in spletna N26 kot edina nemška. Da je PSD2 resnično še v povojih, kaže tudi ta aplikacija. Podpira le prgišče bank, usposobiti pa mi je nikakor ni uspelo.

Token Banking App je aplikacija, ki omogoča dostop do več bančnih računov na enem mestu.

Ko se v aplikacijo prijavimo, poiščemo želeno banko, vpišemo prijavne podatke za to banko in prek SMS prejmemo potrditveno kodo iz banke, ki jo moramo vnesti. To mi je uspelo, a potem v aplikaciji nisem videl svojega računa pri Sberbank. Verjetno je razlog, da imam samo varčevalni račun (E-obresti) in ne polnokrvnega transakcijskega. Ko pa sem želel dodati polni račun iz N26, sem se z vpisom uporabniškega imena in gesla prebil do koraka, kjer čakam kodo prek SMS. Iz neznanih razlogov se sporočilo pošlje na neko telefonsko številko, ki se začne z +858, čeprav imam v N26 prijavljeno pravo telefonsko številko. Tako mi v Token Banking App ni uspelo dodati nobenega bančnega računa.

Hvala, Evropska unija!

V resnici imam dovolj prijavljanja v različne spletne banke, ki ima vsaka svoj način avtentikacije (od certifikatov prek SMS do prstnih odtisov). Odprtje tega sistema navzven, v kar je EU nekako prisilil bančni sektor, lahko le pozdravimo. Če ne drugega, bomo dobili dodatno konkurenco, kar bo banke motiviralo, da izboljšajo svoje uporabniške vmesnike. Nekatere spletne in mobilne banke so namreč resnično nepregledne in nepraktične.

Slovenske banke na svojih straneh že ponujajo API in testna okolja za razvoj storitev za PIS in AIS.

PSD2 sicer že velja (in v večjem delu velja že lep čas, le tehnični standardi še niso), a AIS in PIS končni uporabniki še ne moremo preizkusiti. Pričakujemo pa lahko, da bodo banke in drugi ponudniki sčasoma krenili tudi v to smer. Če Token Banking App zdaj še ni uporaben, v prihodnosti najbrž bo.

Skeptiki bodo seveda izpostavili varnostni vidik, a tu je PSD2 v resnici dobro poskrbel za potrošnike. Poleg strožjih pogojev za avtentikacijo lahko storitve nudijo le preverjene institucije z dovoljenjem centralnih bank, uporabniki pa so za morebitne zlorabe v resnici odgovorni še za nižje zneske kot v preteklosti. Hvala, Evropska unija!

 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji