Agrolok_10818

Wiceprezes ZBP: Nie będzie konieczności podawania tzw. podmiotom trzecim loginu i hasła do konta bankowego

27 kwietnia 2018
Wiceprezes ZBP: Nie będzie konieczności podawania tzw. podmiotom trzecim loginu i hasła do konta bankowego

Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania im przez klientów danych uwierzytelniających - mówi w rozmowie z PAP wiceprezes Związku Banków Polskich Włodzimierz Kiciński.

Konieczności podawania im loginów i haseł nie będzie - dodaje, nawiązując do ogłoszonego właśnie interfejsu "Polish API", łączącego systemy płatnicze banków i tzw. podmiotów trzecich.

W związku z wejściem w życie unijnej dyrektywy PSD2, regulującej usługi płatnicze w internecie, wprowadzona została nowa kategoria instytucji płatniczych. To tzw. podmioty trzecie, działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych.

Będą to dwie kategorie podmiotów - instytucje płatnicze, inicjujące płatność (świadczące usługę przeprowadzenia płatności w internecie w imieniu klienta), a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji).

W myśl dyrektywy PSD2 i związanego z nią rozporządzenia delegowanego RTS, podmioty trzecie, pośredniczące w transakcjach internetowych, mogłyby mieć prawo pobierania od klientów loginów i haseł do kont bankowych. Przed zagrożeniami z tym związanymi przestrzegali przedstawiciele sektora bankowego.

W rozwiązaniu tego problemu miało pomóc opracowanie interfejsu, tzw. "Polish API", łączącego systemy płatnicze banków z systemami, jakimi mogą operować "podmioty trzecie". "Polish API" został właśnie ogłoszony na stronach internetowych Związku Banków Polskich. O jego najważniejszych elementach PAP rozmawiała z wiceprezesem ZBP Włodzimierzem Kicińskim.

PAP: Jest już gotowy interfejs "Polish API", który, jak rozumiem, ma ułatwić wdrożenie do polskiego systemu dyrektywy finansowej PSD2 i ograniczyć związane z tym zagrożenia. Jak go można scharakteryzować?


Włodzimierz Kiciński: To jest inteligentny i bezpieczny interfejs określany jako standard, który umożliwi komunikację pomiędzy uprawnionymi instytucjami płatniczymi tzw. firmami trzecimi z bankami zgodnie z Dyrektywą PSD2 i jej aktami wykonawczymi oraz właśnie nowelizowaną ustawą o usługach płatniczych. Dyrektywa ta, przypomnijmy, stwarza możliwość korzystania przy realizowaniu płatności nie tylko z banków, ale także z tzw. instytucji płatniczych. Mamy ich w Polsce obecnie zarejestrowanych 44, być może będzie więcej. Z udziałem podmiotów nie bankowych, a także środowisk prawniczych i akademickich przygotowany został bezpieczny interfejs, który umożliwia płatności między bankami, a tymi podmiotami. Projekt interfejsu był poddany także konsultacjom publiczny, w trakcie których 21 podmiotów zgłosiło ponad 300 uwag, z których większość została uwzględniona w opublikowanym właśnie tekście interfejsu.
Kierowaliśmy się przy tworzeniu go czterema głównymi zasadami. Po pierwsze najwyższym poziomem bezpieczeństwa. Interfejs umożliwia korzystanie z rachunków płatniczych, przy silnym uwierzytelnienia przez klienta, za pomocą najbardziej popularnej i używanej w Polsce przez klientów tzw. metody redirection. Wprowadza także alternatywną dla redirection metodę uwierzytelniania klientów, co jest spełnieniem wymagań Dyrektywy PSD2. Po drugie zasadą było także uzyskanie pełnej zgodności z przepisami unijnymi oraz polskimi regulacjami nadzorczymi KNF czy MF. Po trzecie, do tego standardu będzie równy i otwarty dostęp wszystkich zainteresowanych stron. Po czwarte, będzie to najwyższy poziom dostępności operacyjnej z punktu widzenia klienta.
To wersja 1.0 Polish API, czyli wersja pierwsza, która będzie sukcesywnie rozbudowywana. Po kilku miesiącach przygotowań została właśnie ogłoszona. Polska i angielska wersja Polish API są już dostępne na stronach ZBP.

PAP: W jaki sposób ma być zapewnione to bezpieczeństwo? Najwięcej wątpliwości budziła bowiem, narzucona przez dyrektywę PSD2, możliwość udostępniania tzw. podmiotom trzecim loginu i hasła do konta bankowego.

W.K.: Standard Polish API jest tak skonstruowany, by zapewnić bezpieczne korzystanie, jeśli chodzi o kwestię uwierzytelniania przez klientów. Zarazem będzie umożliwiać odpowiednią współpracę systemów bankowych z systemami podmiotów trzecich. Instytucje płatnicze będą musiały się identyfikować wobec banku i precyzyjnie określić o jaką operacje chodzi i dla jakiego konkretnego klienta. Banki będą z kolei sprawdzały upoważnienie danej instytucji płatniczej za pomocą swoich systemów. Stoimy na stanowisku, że nie powinno się przekazywać swoich danych uwierzytelniających na zewnątrz, zwłaszcza jeśli klienci używają ich także w innych celach niż bankowość. Klient powinien w taki sposób realizować usługi bankowe, by zachować bezpieczeństwo swoich danych osobowych.

PAP: Czy dobrze zrozumiałem, że jednak nie będzie możliwości podania swoich loginów i haseł podmiotom trzecim?

W.K.: Nikt prawnie nie jest w stanie zabronić nikomu położenia swoich pieniędzy nawet na ulicy. My tylko uczulamy swoich klientów, że to, w jaki sposób posługują się danymi uwierzytelniającymi, jest kwestią bezpieczeństwa ich pieniędzy. Banki w kontaktach z podmiotami trzecimi będą dysponować rozwiązaniami, które nie muszą zakładać przekazywania przez klientów danych uwierzytelniających. Zatem konieczności podawania takich danych nie będzie.

Rozmawiał Piotr Śmiłowicz (PAP)


POWIĄZANE

W niedzielę spotkanie z premierem Mateuszem Morawieckim w Sandomierzu, a na pocz...

Centralne Biuro Antykorupcyjne sprawdza lubuski Urząd Marszałkowski i wpisany do...

W zachodniej części kraju nadal odnotowywany jest niedobór wody, największy w ok...


Komentarze

Bądź na bieżąco

Zapisz się do newslettera

Każdego dnia najnowsze artykuły, ostatnie ogłoszenia, najświeższe komentarze, ostatnie posty z forum

Najpopularniejsze tematy

gospodarkapracaprzetargi
Nowy PPR (stopka)
Jestesmy w spolecznosciach:
Zgłoś uwagę