Hlavní navigace

PSD2 mělo pomoci fintech společnostem, ale 8 měsíců od spuštění nemá licenci ani jedna

Aktualizováno 3. 10. 2018 8:53
Autor: Depositphotos

Na začátku je dobrá myšlenka. Nekvalitním zpracováním ale může vzniknout i paskvil. PSD2 má sloužit na ochranu spotřebitele a nastavit rovné podmínky pro poskytovatele platebních služeb. Místo toho nikdo pořádně neví, co musí a co ne.

Doba čtení: 11 minut

Na začátku byla zcela nepochybně dobrá idea. Posílit ochranu spotřebitele, nastavit jasná a rovná pravidla pro všechny. A tak vznikla směrnice PSD2 neboli direktiva Evropské komise týkající se bankovních služeb. Samotné provedení už ale pokulhává, je značně nedotažené a kdo se nechce tohoto paskvilu účastnit, bude Evropským soudem popotahován, že neimplementoval příslušné nařízení včas. Nejen to vyplynulo z diskuze, kterou pořádala Česká bankovní asociace. Podívejme se, jak vypadá celá situace 8 měsíců od nabytí účinnosti, tedy od doby, kdy jsou všechny státy EU povinny se nařízením řídit.

Ochrana před fintech společnostmi?

Evropská unie se značně obávala nových fintech společností. A můžeme říci, že i právem, jelikož v době před regulací a před účinností PSD2 měly tyto společnosti zcela legálně možnost dostat se k vašim datům a nadělat neplechu.

Poskytovatelé digitálních služeb totiž na základě vašeho souhlasu mohli disponovat vašim internetovým bankovnictvím. A skutečně se to dělo. Že tyto společnosti nikdo nekontroloval, Čechy příliš netrápilo. A tak situace mohla vypadat i následovně:

Chystáte se s rodinou na dovolenou a vše si zařizujete sami. Kupujete letenky přes internet a letecká společnost vás nasměruje na možnosti platby. Vedle těch klasických, jako převodem z účtu na účet či on-line platební bránou , se zde ale objeví i nové tlačítko – nová možnost platby. Tuto novou možnost platby poskytuje právě zmíněný poskytovatel digitálních služeb – nebankovní fintech společnost, která poskytuje takovéto bankovní služby, ale bez licence ČNB.

Vy jste zvědaví a rádi prozkoumáváte nové možnosti, tak na nové tlačítko kliknete. Poskytovatel vám zobrazí informaci, že pokud létáte často a nebaví vás pořád vypisovat údaje z karty a následně autentizační kód z mobilu, můžete využít této nové vymoženosti, aplikace, tlačítka. A ona ta aplikace vše udělá za vás. Zabere vám to méně času. Jen kliknete a automaticky proběhne platba. Karta zůstane pěkně v peněžence a mobil na stolečku.

Háček se skrývá v tom, že tato aplikace po vás chce přístupová hesla a přístupové údaje do vašeho internetového bankovnictví. Výpočetní systém této aplikace se připojí k vašemu internetovému bankovnictví vaším jménem a heslem, jelikož jste jim dali souhlas, a chová se tam jako vy coby klient. Je to ale stroj, a tak prostě a jednoduše přečte strojově to, co je na obrazovce (tzv. screen scraping). Podle nastaveného mustru pak vyplní do potřebných kolonek platební údaje a odešle platbu. Celá akce zabere pár vteřin.

To bylo ještě v roce 2017 zcela v pořádku a legální, tyto společnosti nic neporušovaly. Kdo naopak něco porušoval, byli klienti banky, pokud dali podobné aplikaci svolení, aby se přihlásila do jejich internetového bankovnictví. Tím totiž tito klienti porušili smlouvu, kterou měli uzavřenou s bankou. Už ale bylo na bance, aby si to s klientem vyřídila.

Co bylo mnohem více alarmující, byla poměrně hazardní hra, kterou tito klienti možná i nevědomky hráli. Tyto aplikace a společnosti, které aplikace vyvinuly, nikdo nekontroloval ani nereguloval. Prakticky tak bylo pro podobné poskytovatele digitálních služeb velmi jednoduché tohoto systému zneužít ve váš neprospěch a účet vám vybrat. A tak přišla regulace ze strany EU.

O celé problematice jsme podrobně informovali v článku Dejte mi vaše hesla, zaplatím to za vás. Hazard s penězi, který ještě pár let neskončí.

Myšlenka PSD2

Myšlenka PSD2 byla na počátku určitě přínosná. Měla za cíl nastavit jednotné parametry toho, kdo a v jakých případech se bude moci dostat k vaším datům a údajům s vaším souhlasem. Banky by pak povinně musely tyto informace sdělit každému, kdo podmínky splní. To ale vyžadovalo několik kroků. Za prvé banky musely zpřístupnit svá internetová bankovnictví třetím stranám, a to skrze API.

API (Application Programming Interface) je technické rozhraní, které propojuje aplikace tak, aby mezi sebou mohly komunikovat.

V praxi pak bylo plánováno, že vznikne seznam oprávněných institucí, které budou mít licenci od ČNB. Ty se pak skrze datové schránky budou ČNB dotazovat na zmíněné účty. O tomto tématu informoval před časem i server Lupa.cz v článku Fintech revoluce pokračuje. Ve jménu PSD2 budou muset banky otevřít svá API.

Společnosti s licencí od ČNB pak budou mít právo od bank s vaším souhlasem žádat vybrané údaje a provádět transakce. Jenže od účinnosti PSD2 uplynulo už přes 8 měsíců. A situace zdaleka není taková, jakou si zákonodárci představovali.

Většina bank se neotevřela. Nejsou připraveny

O tom, jaké účinky má PSD2 na banky a co mohou a co musí, jsme podrobně informovali v článku Kdo vám umožní ovládat účty dalších bank z jednoho internetbankingu?

Proto pouze ve stručnosti – všechny banky povinně musí zpřístupnit svá internetová bankovnictví třetím stranám, tedy mimo jiné dalším bankám. Co už ale nemusí, je vyvíjet platformu, v rámci které budete vy v internetovém bankovnictví moci spravovat účty třetích bank.

Jinými slovy, všechny banky budou v budoucnu schopny nabídnout svá internetová bankovnictví k napojení na jiné internetové bankovnictví dalších bank či jiných aplikací. Ne všechny banky ale budou nabízet variantu, že skrze jejich účet budete ovládat i další účty u jiných bank.

Ovšem ne všechny banky se otevřely. Většinou je za tím nepřipravenost z jejich strany, ale vina rozhodně není jen na jejich straně. V tabulce uvádíme, jak jsou nyní banky otevřeny a co umožňují.

Banka Možnost ovládání účtů jiných bank z jejího IB
Air Bank Plánuje spustit s Českou spořitelnou a dalšími bankami.
Artesa, spořitelní družstvo Družstvo se nevyjádřilo.
Banka CREDITAS Ano – Fio banka, Equa bank, Air Bank, Česká spořitelna
Česká spořitelna Banka plánuje tuto možnost spustit. Přesný termín není znám.
Československá obchodní banka Banka plánuje tuto možnost spustit koncem roku 2018.
Československé úvěrní družstvo Družstvo se nevyjádřilo.
Equa bank Banka plánuje tuto možnost spustit. Přesný termín není znám.
Expobank Banka tuto možnost neplánuje.
Fio banka Banka možnost zvažuje.
Hello Bank Banka se nevyjádřila.
J&T Banka Banka tuto možnost neplánuje.
Komerční banka Plánuje spustit v průběhu roku 2018.
mBank Banka možnost zvažuje.
MONETA Money Bank Ano – Air Bank, Česká spořitelna, ČSOB, Banka CREDITAS, Fio banka, mBank
Moravský peněžní ústav – spořitelní družstvo Družstvo se nevyjádřilo.
NEY spořitelní družstvo Družstvo chystá změny, podrobnosti neuvedlo.
Oberbank Banka tuto možnost neplánuje.
Peněžní dům, spořitelní družstvo Družstvo tuto možnost neplánuje.
Raiffeisenbank Banka plánuje tuto možnost spustit. Přesný termín není znám.
Sberbank Banka plánuje tuto možnost spustit. Přesný termín není znám.
UniCredit Bank Banka zatím neplánuje, ale do budoucna tuto možnost nevylučuje.
Volksbank Raiffeisenbank Nordoberpfalz Banka se nevyjádřila.
Waldviertler Sparkasse Bank Banka je ve fázi analýz.

Ačkoli směrnice je směrnice a pravidla se musí dodržovat, začlenění a zpřístupnění internetového bankovnictví ostatním subjektům není jednoduchá záležitost. V zásadě jde o dvě oddělené služby. Tou první je, že vaše banka zvládne své internetové bankovnictví zpřístupnit třetím stranám, tedy i cizím bankám. To zatím ne všechny banky udělaly, takže u některých bank není jejich napojení zatím technicky možné. Například Československá obchodní banka avizovala, že se otevře až na konci roku 2018.

Druhou službou je, že vaše banka umožňuje skrze její internetové bankovnictví ovládat účty jiných bank. To zatím umí pouze 2 banky. Mnoho dalších ale na této možnosti intenzivně pracuje.

Jednou z myšlenek PSD2 bylo hlavně to, aby se přestal využívat tzv. screen scraping, viz výše, a využívala se hlavně metoda API. Na tu ale mnoho bank není připraveno. Protože se ale zákony musejí dodržovat, některé banky přistoupily k tomu, že umožňují alespoň zmíněný screen scraping, aby tak data zpřístupnily podle zákona. Tato možnost zákonem zakázána není, byť bylo cílem se jí vyhnout, protože není bezpečná. Screen scraping se totiž dostane ke všem vašim datům, a ne jen k těm, která jsou zákonem uložena.

PSD2 platí, a kde jsou prováděcí předpisy?

Během celého procesu tak došlo k poměrně zajímavé situaci. PSD2 nařizuje, aby banky zpřístupnily svá data. Nikde už ale není uvedeno, jaká data to mají být. Oficiálně se má jednat o data, která klient uvidí, když se přihlašuje do internetového bankovnictví. To je ale naprosto nic neříkající, jelikož každá banka má systém nastaven jinak. Někde vidíte jen aktuální zůstatek, jinde i pár transakcí dozadu, další banka má systém nastaven ještě jinak a tak dále.

A prováděcí předpis k tomuto nařízení jednoduše v lednu 2018 neexistoval. Přesto už ale existovala povinnost (na základě PSD2) tato data zpřístupnit, i když nebylo jasné, jaká data se tím myslí.

Češi vyřešili situaci po svém a po konzultaci s Českou bankovní asociací vypracovala pracovní skupina Czech Open Banking Standard. Ten je zároveň jedním z prvních v Evropě a některým dalším státům posloužil jako inspirace. V něm je specifikováno, na čem se banky dohodly a jak byly definovány standardy pro Českou republiku, závazné pro všechny zdejší banky. Jinými slovy si banky samy musely určit, jaké údaje tedy na základě PSD2 zpřístupní.

Další standardy pak vydalo i Polsko, Německo a Velká Británie.

Licenci od ČNB nemá žádný fintech

O licenci od ČNB požádaly od začátku roku 3 společnosti, přičemž další 2 zažádaly o rozšíření své licence. Jejich jména se neví, jelikož ČNB nechce průběh řízení komentovat. Licenci však zatím nedostala žádná. Ani nebyla žádné společnosti tato licence zamítnuta. Zkrátka řízení probíhá. A pro společnosti, žádající licenci, není toto řízení vůbec jednoduché.

Aby licenci získaly, musí splnit řadu zákonem daných podmínek. Sice platí, že každý, kdo podmínky splní, má na licenci ze zákona nárok, ale splnění podmínek není jednoduchá záležitost. Mezi ně patří mimo jiné i to, že musí prokázat, kdo za celým projektem stojí, jak a kdo jej financuje, jaký má společnost připravený risk management, jak je pojištěna, jaké nabízí záruky, jaké má technické zázemí, jak testuje různé služby, jak získává data atd. Projít celým procesem není nic jednoduchého.

Lehčí je oslovit přímo banky

Řada společností proto zvolila jinou zákonem dovolenou variantu, kdy se domluví s bankou napřímo. Tam je situace jednodušší. Banka řekne této společnosti, co musí splnit a za jakých podmínek jí dovolí, aby se souhlasem klienta vstupovala do jeho internetového bankovnictví. Tuto možnost už řada poskytovatelů platebních služeb využívá.

Prakticky se tak dá říci, že PSD2 těmto společnostem nepomohly. Dříve mohly poskytovat své služby, byť neregulovaně. Což samozřejmě bylo nebezpečné. Teď jsou však podmínky nastaveny tak přísně, že ani 8 měsíců od spuštění nemá licenci ani jedna. Podle České bankovní asociace ale mohou tyto společnosti ze situace i těžit. Jakmile projdou procesem a získají licenci, mohly by být důvěryhodnější i pro potenciální klienty.

V zahraničí jsou na tom podobně

Rozhodně se nedá říci, že Česká republika by v implementaci byla nějak pozadu, naopak. My jsme směrnici PSD2 implementovali do zcela nového zákona o platebním styku (370/2017 Sb.). Tím se z našeho původně připravovaného technického zákona stal o něco více spotřebitelský. Původní novela zákona totiž obsahovala vesměs technické parametry, lhůty pro převod peněz apod. Nyní, po implementaci, je ale zákon mnohem více spotřebitelský, zabývá se ochranou spotřebitele atd.

Naproti tomu 6 států EU neimplementovalo PSD2 vůbec, a to včetně Lucemburska, Estonska a dalších. Další 4 státy implementovaly PSD2 jen částečně. Například si tak uzákonily, že žádné třetí strany, tedy společnosti poskytující platební služby, povolovat nebudou, licence se vydávat také nebudou, a to až do doby, než bude vydán příslušný dokument ze strany EU.

Řiďte se zákony, které jsou děravé

Tomu, že některé státy odmítly PSD2 implementovat, se nejde divit. Samotný prováděcí předpis stále chybí a banky se tak nemají čeho chytit, aby věděly, co mají zpřístupnit.

Kromě toho řada paragrafů uvedených v PSD2 měla mít podrobnější rozpracování a vysvětlení v dalších podléhajících předpisech. Celkem se jedná o 11 technických norem a doporučení, které měla vypracovat Evropská bankovní asociace, Evropská centrální banka a Evropská komise. Tyto normy ale nejsou nikde zpracovány.

Další perličkou je například technická norma o silné autentizaci a bezpečné komunikaci. Ta byla vydána až v březnu 2018 s tím, že má 18měsíční legisvakanci. Účinná tedy bude až od září 2019. Ačkoli byla potřeba již v lednu 2018. Kromě toho Evropská bankovní asociace tuto normu připravila a Evropská komise do ní na poslední chvíli včlenila několik dalších paragrafů bez předchozí konzultace s Evropskou bankovní asociací. To je proti samotným pravidlům EU. I přes tento fakt je norma schválená a čeká na nabytí účinnosti.

Evropská unie slíbila ke 13. lednu 2018 vydat stručný leták, který by spotřebitele informoval o základech celé situace, jaká mají práva, k čemu souhlas slouží apod. A ten by pak banky daly klientům. Tento leták ale ještě nevyšel. Na popud urgencí ze strany ČBA zaslala během září 2018 EU podklady v délce 4 stran ohledně letáku ke konzultaci. Než se ale na něčem usnese a leták bude dostupný, uplyne řada měsíců.

Celé PSD2 je tedy poměrně nedotažené a děravé. Ale zákon nabyl účinnosti, bohužel. A my se jím řídit musíme.

Ti, co neimplementovali, dostanou pokutu?

A to tedy znamená, že vybraných 6 států, které odmítly tento paskvil implementovat, si vysloužili řízení ze strany EU, na jehož konci jim může hrozit pokuta za porušení zákonem stanovených termínů. Jinými slovy dostanou pokutu za to, že neimplementovaly nařízení do stanovené lhůty.

diners2018

Postoj EU: vše je jasné, ne?

Postoj Evropské komise je však i přes tato fakta poměrně zvláštní. Podle ní je totiž vše jasné a vysvětlené a máme už být dávno ve fázi testování. Podle ní má Česká národní banka 6 měsíců testovat prostředí a další faktory se společnostmi, které získaly zmíněnou licenci. Další 3 měsíce pak s těmito společnostmi mají testovat samotné banky.

S kým ale testovat, když nikdo licenci nemá, to už si asi musíme domyslet sami. A co teprve ti, kteří nařízení ani neimplementovali.

Našli jste v článku chybu?