PSD2

számlainformációs (AISP)

és fizetéskezdeményezési (PISP) szolgáltatást.

Haladékot kaptak a bankok

A pénzforgalmi törvény (Pft.) 2018. december 29—től hatályos módosítása eredményeként a bankoknak 2019 szeptemberétől kell megfelelniük minden biztonságos kommunikációra és ügyfél-hitelesítésre vonatkozó előírásnak, amelyeket a PSD2 szabály előír számukra.

A fizetés-kezdeményezési szolgáltatás (PISP) vagy számlainformációs szolgáltatás (AISP) igénybevételekor 2019. szeptember 13-ig az ügyfél és a fizetési számláját vezető pénzforgalmi szolgáltató között a Pft. 2018. január 12-én hatályos rendelkezések szerinti felelősségi és kárviselési szabályok alkalmazandók.

API bankolás és screen scraping

Szeptember 14-től ezért minden banknak kötelező lesz ilyen interfészt biztosítani a PSD2-es engedéllyel rendelkező cégeknek, és hat hónappal előtte, azaz március 14-éig közzé is kell tennie minden banknak az API teljes leírását a weboldalán. A bankoknak biztosítaniuk kell a tesztekhez szükséges feltételeket is, és egy tartalékrendszert arra az esetre, ha az API-s lekérdezés nem működne. Az MNB mindezt ellenőrizni fogja.

Hogy állnak a bankok?

Itt vannak-e már a PSD2-es szolgáltatók?

Az unión belüli pénzforgalmat harmonizáló PSD2 nevű irányelv a bankoknak kiélezettebb versenyt, a fintechcégeknek könnyebb, szabályozott piacra lépést hozhat. A PSD2 2018. január 13-a óta éles, de egy sor technikai részletszabály csak később született meg, ráadásul ezek csak a kihirdetésük után legkorábban másfél évvel később alkalmazhatók.A legfontosabb, már gyakorlatban is alkalmazott, leginkább kártyás fizetéshez kapcsolódó szabályokról itt írtunk. Az irányelv legfoltosabb újítása a pénzforgalmi finomhangolásokon túl, hogy új úgynevezett harmadik fél szolgáltatók (TPP-k) jöhetnek létre, amelyek kétféle új szolgáltatást nyújthatnak:A számlaaggregátorok szoftverén/appján keresztül egyszerre több számlát láthatunk, egy helyről intézhetjük pénzügyeinket, míg a fizetéskezdeményezési szolgáltatók mobilos vagy éppen online - a kártyatársaságokat az értékláncból kihagyó - pénzküldési megoldásokat fejleszthetnek.Ilyen típusú szolgáltatások már eddig is léteztek, csakhogy nem szabályozottan működtek, hanem valahol a szürkezónában foglaltak helyet (pl. Sofort, Mint, Magyarországon a Wyze.me stb.). A PSD2 célja, hogy ezt a helyzetet felszámolja, a most szürkezónában mozgó szolgáltatóknak világos szabályokat adjon, illetve a szabályozó (nálunk az MNB) "cserébe" felügyeletet is kap az új szolgáltatók felett.Az MNB az elmúlt években többször hangoztatta, Magyarországon azt várják el a bankoktól, hogy már a PSD2 irányelvben meghatározott határidő előtt, idén január elsejére teljesítsék a PSD2-es biztonságos kommunikációra és ügyfél-hitelesítésre vonatkozó előírásokat (erős ügyfélhitelesítés RTS). Az MNB - valószínűleg a bankszektor kérésére - mégis adott még egy kis időt a megfelelésre. A jegybank érdeklődésünkre küldött tájékoztatása szerint ugyanisHozzátették azt is:Ez tehát azt jelenti, hogy a PSD2-es szabályozás itthon is ugyanakkor lesz majd teljeskörűen éles, mint a legtöbb európai országban, a felelősségi és kárviselési szabályok pedig az átmeneti időszakban a 2018 januárja óta érvényben lévő szabályok szerint alakulnak.A banki adatokhoz, vagy fizetéskezdeményezéshez a PSD2 előtt csak az úgynevezett screen scraping (képernyő interfész) eljárással fértek hozzá a fintechek. Ez a gyakorlatban körülbelül azt jelenti, hogy az ügyfél azonosítójával, jelszavával - kvázi a netbankjába belépve - kérnek le adatokat vagy indítanak fizetéseket a fintech szolgáltatók. Persze egy sor biztonsági megoldást is közbeiktathatnak, de a lényeg, hogy ha ez egy kifejezetten a banki adatok lekérdezésére, fizetés-kezdeményezésre kialakított alkalmazásprogramozási interfészen (application programming interface - API) történne - ahogy azt a PSD2 is előírja - akkor az egész folyamat jóvalMegkérdeztük a nagybankokat, hogy állnak a PSD2-es felkészüléssel. Akérdésünkre közölte, hogy a szabványos interfész leírása, részletei márciustól lesz elérhető a honlapon, és egyelőre nem tapasztaltak érdeklődést a harmadik feles szolgáltatóktól. Asajtóosztálya közölte, az API gateway és annak leírása még nem elérhető a szolgáltatók számára, azonban a törvényileg előírt határidőig azt biztosítani fogják. Azközölte, a PSD2-es szolgáltatók még nem keresték meg a bankot hivatalosan, az interfészt a jogszabályban meghatározott határidő szerint fogják elérhetővé tenni.Azválaszában kiemelte, hogy 2018 novemberében elérhetővé tették az interfészt a sandboxukban, ezekre építve rendezték meg tavaly év végén az MKB FintechLabbel közösen, nemzetközi csapatok részvételével hackathlonjukat. A bank oldali további API fejlesztések és azok illesztései 2019 februárjában élesednek, és további funkcionális bővítések várhatóak az év folyamán a 2019. szeptemberi törvényi megfelelésig. Az MKB hozzátette azt is, az API sandboxon keresztül több lehetséges jövőbeni partnerrel folytattak együttműködést, tesztelést, és jelenleg is több - regisztrációs fázisban lévő - AISP / PISP szolgáltatóval folytatnak aktív párbeszédet a lehetséges jövőbeni együttműködésről.Azüzleti titokra hivatkozva nem válaszolt kérdésünkre, apedig közölte, hogy még dolgozik a PSD2 szabályozás által előírt nyílt interfész kialakításán, mindent megtesznek, hogy legkésőbb a szeptember 14-i határidőre elkészüljenek. Elárulták, eddig egyetlen szolgáltató sem jelezte szándékát, hogy csatlakozna az interfészen keresztül a bankhoz.Az MNB-től azt is megtudtuk, eddig egy szolgáltató kapott számlainformációs (AISP) szolgáltatás nyújtására engedélyt, de több engedélykérés is folyamatban van. Az EU-területén szerzett összes engedéllyel lehet majd magyarországi bankokhoz is csatlakozni, és ez igaz az MNB-nél szerzett engedélyekre is. A Google is szerzett már PSD2-es engedélyt, erről korábban itt írtunk. Az első AISP engedéylt az Aggreg8 számlainformációs szolgáltatása kapta az MNB-től. A cég már a PSD2-szabályozás hazai érvénybe lépés előtt is szolgáltatott, hiszen az első hazai automatikus költségkövető (PFM) alkalmazás (Wyze.me) mögött is az Aggreg8 alapítói állnak. Mint a fintech cégtől megtudtuk, a regisztrációs folyamat - már egy AISP-szereplő esetében is - átfogó dokumentációs és működési ellenőrzést von maga után. Az Aggreg8 által nyújtott hozzáférésen (API-kapcsolaton) keresztül 10 hazai bankot és számos közüzemi szolgáltatót lehet elérni. A cég maga jelenleg API-kapcsolaton vagy webscrapingen keresztül teremti meg a hozzáférést az ügyféladatokhoz; a technológia és a működés teljes mértékben élvezi az MNB jóváhagyását.Az Aggreg8 szolgáltatási spektruma két irányba mutat: egyrészt a közvetlen végfelhasználók ingyenesen tudják leszinkronizálni bankszámla-információikat a megoldásuk segítségével. Másrészt az Aggreg8 kinyitja a PDS2 adta lehetőségeket egy szélesebb üzleti ügyfélkör előtt: információ-megosztási szolgáltatásuk segítségével számos piaci szereplő tudja bekötni ügyfelei pénzügyi információit, anélkül, hogy ők maguk MNB felügyelt intézménnyé válnának a számlainformációs szolgáltatás tekintetében.Ebben az esetben a végfelhasználók közvetlen szerződnek a céggel a számlainformációs szolgáltatásra, majd az így leszinkronizált információk megosztására adnak felhatalmazást az ügyfelek az Aggreg8-nek az adott üzleti partner és felhasználási cél vonatkozásában. A cég már a továbblépést tervezi: a hazai engedély birtokában annak passportálása révén kíván a környező országokban is terjeszkedni a közeljövőben