PSD2: atviroji bankininkystė – galimybė ar iššūkis?

Šių metų sausio 13 d. įsigaliojus ES antrajai mokėjimo paslaugų direktyvai (PSD2), finansinių paslaugų teikėjams ir trečiosioms šalims atverta prieiga prie šių dienų „skaitmeninio aukso“ – mokėjimo paslaugų vartotojų asmeninių duomenų. Vienas iš esminių Europos Komisijos siekių įgyvendinant PSD2 buvo integruota ir efektyvesnė Europos finansų rinka. PSD2 išplėtė mokėjimo įstaigos sąvoką ir suteikė galimybę trečiosioms šalims pasiūlyti didesnės pridėtinės vertės paslaugas bei veikti visose valstybėse narėse, gavus priimančios šalies priežiūros institucijos leidimą (licenciją).

Pagal PSD2, kiekvienas sąskaitą tvarkantis mokėjimo paslaugų teikėjas (angl. Account Servicing Payment Service Provider – bankas, kredito unija ar elektroninių pinigų įstaiga, kuriuose atidarytos viena ar kelios mokėjimo paslaugų vartotojo sąskaitos), teikiantis paslaugas internetu, turi parengti atvirojo ryšio sąsajas (angl. Application Programme Interfaces arba API) trims skirtingoms tarpininkavimo paslaugoms  – mokėjimo inicijavimo (angl. Payment Initiation Service Provider), sąskaitos informacijos (angl. Account Information Service Provider) ir lėšų pakankamumo patvirtinimo.

Mokėjimo paslaugų teikėjai turės atitikti reikalavimus, nustatytus Europos Komisijos deleguotajame reglamente dėl saugesnio autentiškumo patvirtinimo ir bendrųjų ir atvirųjų komunikacijos standartų (EBA-RTS). Kadangi galutinis terminas pateikti prieštaravimus ar pasiūlymus dėl EBA-RTS gairių buvo šių metų vasario 27 d., o tokių pateikta nebuvo, tikėtina, kad galutinė EBA-RTS redakcija turėtų būti publikuota Europos Sąjungos oficialiame leidinyje artimiausiomis savaitėmis. Po patvirtinimo procedūros Europos Parlamente ir Taryboje teisės aktas įsigalios, tikėtina, 2018 m. kovo mėn., o jo nuostatos visa apimtimi taps privalomos praėjus 18 mėnesių po įsigaliojimo dienos.

Tiesa, šiuo metu veikiantiems mokėjimo paslaugų teikėjams ir dabar galioja prievolė užtikrinti saugesnį autentiškumo patvirtinimą (angl. Strong Customer Authentication) internetu atliekamoms operacijoms iki EBA-RTS įsigaliojimo nacionaliniu lygmeniu. Mokėjimo paslaugų teikėjams tokia pareiga kyla Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimo Nr. 03-172 „Dėl Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, patvirtinimo“ pagrindu.

Prieigos prie sąskaitų (angl. Access to Accounts, arba XS2A) taisyklė įpareigoja sąskaitą tvarkantį mokėjimo paslaugų teikėją užtikrinti trečiosioms šalims saugią prieigą prie mokėjimo paslaugų vartotojo duomenų per atvirojo ryšio sąsajas, jeigu sąskaitos(-ų) savininkas tam duoda aiškų sutikimą. Būtent tai ir sukuria vadinamąją atvirąją bankininkystę.

Tai nereiškia, jog prieiga prie duomenų bus suteikiama bet kokiems mokėjimo paslaugų tiekėjams. Mokėjimo paslaugų teikėjai privalės būti gavę leidimą veiklai (licenciją) bei įtraukti į viešąjį registrą. Trečioji šalis, tik gavusi mokėjimo paslaugų vartotojo (i) aiškų sutikimą, galės prašyti (ii) autentifikuoti mokėjimo paslaugų vartotoją pagal pateiktus duomenis sąskaitą tvarkančiam mokėjimo paslaugų teikėjui, kuriam įvykus mokėjimo paslaugų vartotojas (iii) įgalios sąskaitą tvarkantį mokėjimo paslaugų teikėją įvykdyti trečiosios šalies prašymą suteikti duomenis.

Atvėrus prieigą prie mokėjimo paslaugų vartotojų duomenų, išplėtus mokėjimo įstaigos sąvoką bei atsiradus naujiems mokėjimo inicijavimo ir sąskaitos informacijos paslaugų teikėjams, tikimasi sparčios mokėjimo rinkos plėtros bei aršesnės mokėjimo paslaugų teikėjų konkurencijos.

Dar iki įsigaliojant PSD2, valstybėse narėse diskutuota, kad tai turėtų apsunkinti kredito įstaigų veiklą, tačiau bent jau Lietuvoje bankai, atrodo, sėkmingai prisitaiko prie teisinio reguliavimo pokyčių. Įkurdami bandomosios aplinkos platformas (angl. sandbox) ar savo inovacijų centrus, bankai siūlo bendradarbiauti finansinių technologijų įmonėms, siekdami bendromis pastangomis sukurti inovatyvų skaitmeninių paslaugų produktą.

Pagal šiuo metu Seimui pateiktą tvirtinti Lietuvos Respublikos Mokėjimų įstatymo pakeitimo įstatymo projektą (toliau – Įstatymo projektas), licencijų išdavimo mokėjimo įstaigoms esminės sąlygos nekeičiamos. Tačiau, norėdamos gauti licenciją, jos privalės pateikti papildomų dokumentų apie saugumo incidentus, prieigą prie neskelbtinų mokėjimo duomenų, veiklos tęstinumo tvarką, saugumo politiką, taip pat privalės bent dalį veiklos vykdyti Lietuvos Respublikoje. Pagal Įstatymo projektą, mokėjimo inicijavimo ir sąskaitos informacijos paslaugų teikėjams bus suteikiama ribotos veiklos licencija. Tiesa, Įstatymo projekte numatomas reikalavimas, kad mokėjimo inicijavimo ir sąskaitos informacijos teikimo paslaugas siūlančios mokėjimo įstaigos turėtų profesinės civilinės atsakomybės draudimą, garantiją arba laidavimą.

PEREINAMASIS LAIKOTARPIS

PSD2 numato galimybę sąskaitos informacijos bei mokėjimo inicijavimo paslaugų teikėjams, kurie tokias paslaugas teikė anksčiau nei 2016 m. sausio 12 d., toliau vykdyti tokią pačią veiklą savo teritorijose pereinamuoju laikotarpiu. Tiesa, bent jau Lietuvoje mokėjimo paslaugų teikėjai, kurie iki nurodytos datos teikė sąskaitos informacijos ir mokėjimo inicijavimo paslaugas, turi pateikti prašymą dėl licencijos pakeitimo ir reikiamus dokumentus, o licencija turėtų būti pakeista per 20 darbo dienų.

Nuo PSD2 įsigaliojimo, mokėjimo, el. pinigų įstaigos, sąskaitos informacijos ir mokėjimo inicijavimo paslaugų teikėjai negali pradėti vykdyti veiklos negavę priežiūros institucijos veiklos leidimo, išskyrus PSD2 numatytas tris išimtis: (i) sąskaitos informacijos bei mokėjimo inicijavimo paslaugų teikėjams, kurie tokias paslaugas teikė anksčiau nei 2016 m. sausio 12 d., leidžiama toliau vykdyti tokią pačią veiklą savo teritorijose pereinamuoju laikotarpiu; (ii) nereikalaujant prašyti suteikti leidimą pagal bendrąsias PSD2 nuostatas – esamiems mokėjimo paslaugų teikėjams ir elektroninių pinigų įstaigoms nustatomas šešių mėnesių periodas iki 2018 m. liepos 13 d., kurio metu jie gali ir toliau veikti bei užtikrinti savo paslaugų tęstinumą (su tam tikromis išimtimis); (iii) juridiniams asmenims, kuriems buvo taikoma išimtis pagal PSD1, kai per pastaruosius dvylika mėnesių jų įvykdytų mokėjimo operacijų sumos vidurkis nesiekia 3 mln. eurų, o atsakingi asmenys už veiklos valdymą ar vykdymą nebuvo pripažinti kaltais padarę nusikaltimus, susijusius su pinigų plovimu ar terorizmo finansavimu, arba kitus finansinius nusikaltimus, iki 2019 m. sausio 13 d. taip pat turi būti suteikta išimtis arba jos turi gauti leidimą veikti pagal PSD2 5 straipsnį.

Šiuo pereinamuoju laikotarpiu, nuo PSD2 įsigaliojimo iki kol EBA-RTS standartai bus pradėti taikyti, trečiosios šalys galės teikti paslaugas naudodamos prisijungimą prie vartotojų sąskaitos bendros internetinės bankininkystės mokėtojo vardu be atskiro tapatybės patvirtinimo (angl. screen scraping), nenaudodamos sąskaitą tvarkančio mokėjimo paslaugų teikėjo (banko) atvirųjų sąsajų. Kitais žodžiais, vartotojai vis dar galės atlikti tokio pobūdžio mokėjimus – pirkti internetu suvesdami banko kortelės duomenis internete. Kadangi šiuo „pilkuoju“ laikotarpiu nėra jokių teisinių priemonių priversti trečiąsias šalis – mokėjimo paslaugų teikėjus naudotis tik sąskaitą tvarkančių mokėjimo paslaugų teikėjų (bankų) atvirojo ryšio sąsajomis, atsiranda rizika, kad nelicencijuotos trečiosios šalys – mokėjimo paslaugų teikėjai sieks pasipelnyti bei išvilioti vartotojų pinigus naudodamiesi sukčiavimo schemomis.

DUOMENŲ APSAUGOS IŠŠŪKIS

Ko gero didžiausias iššūkis mokėjimo paslaugų teikėjams kyla užtikrinant tinkamą mokėjimo paslaugų vartotojų duomenų apsaugą.

PSD2 atveria prieigą prie vartotojų asmens duomenų, tačiau daugelis turėtų atkreipti dėmesį į šių metų gegužę įsigaliosiančio Bendrojo duomenų apsaugos reglamento (BDAR) susijusias nuostatas, turinčias daug sąlyčio taškų su PSD2. Mokėjimo paslaugų teikėjai turi gerokai pasistengti įdiegti atitinkamus technologinius saugos sprendimus ir kartu išlaikyti draugišką vartotojo sąsają.

Žvelgiant iš duomenų apsaugos perspektyvos, mokėjimo paslaugų teikėjai privalo (i) peržiūrėti visą savo duomenų apdorojimo veiklą ir tvarkyti patikrintus šios veiklos įrašus, (ii) užtikrinti, kad būtų įdiegtos tinkamos techninės ir organizacinės priemonės, reikalingos tinkamai apsaugoti savo klientų asmens duomenis („pritaikytoji ir standartizuotoji duomenų apsauga“), (iii) užtikrinti, kad būtų laikomasi „atskaitomybės principo“ ir prireikus bendradarbiauti su atitinkama priežiūros institucija bei (iv) turėti tinkamus procesus ir šablonus, skirtus nustatyti, peržiūrėti ir skubiai pranešti apie duomenų pažeidimus atitinkamai priežiūros institucijai.

PSD2 reglamentuoja naujas mokėjimo paslaugas, kurioms reikalinga prieiga prie mokėjimo paslaugų vartotojo duomenų. Pavyzdžiui, sąskaitą tvarkančiam mokėjimo paslaugų teikėjui (bankui) tai gali reikšti, kad, valdant kliento finansus, reikia pradėti mokėjimą iš kliento sąskaitos arba kaupti informaciją vienoje ar keliose mokėjimo sąskaitose, esančiose pas vieną ar daugiau mokėjimo paslaugų teikėjų.  

Kai mokėjimo paslaugų vartotojas nori pasinaudoti šiomis naujomis mokėjimo paslaugomis (viena ar keliomis), mokėjimo paslaugų teikėjui turi būti duotas aiškus sutikimas.

Tiesa, vien tik aiškaus asmens sutikimo naudoti jo asmens duomenis nepakanka, kad būtų užtikrintas visapusis BDAR nuostatų laikymasis. Mokėjimo paslaugų teikėjai turi informuoti savo klientus, kaip jų duomenys bus tvarkomi, kur jie bus saugomi, kaip duomenų saugojimas bus atliekamas, užtikrinti EBA-RTS reikalaujamą auditą. Jie taip pat turės laikytis kitų vartotojų teisių pagal duomenų apsaugos taisykles, pavyzdžiui, suteikti teisę susipažinti su duomenimis ar teisę būti pamirštam. Visi mokėjimo paslaugų teikėjai (bankai, mokėjimo įstaigos ar nauji paslaugų teikėjai), naudodami mokėjimo paslaugų asmens duomenis, privalo laikytis duomenų apsaugos taisyklių.

INFORMAVIMAS APIE (DIDELIUS) SAUGUMO INCIDENTUS

Dar vienas aspektas, keliantis neaiškumų mokėjimo paslaugų teikėjams –  informavimas apie didelius operacinio ar saugumo incidentus, kaip numatyta PSD2, BDAR ir Direktyvoje 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Europos Sąjungoje užtikrinti (NIS Direktyva).

Pagal PSD2, mokėjimo paslaugų teikėjai apie didelius operacinio ar saugumo incidentus turi nepagrįstai nedelsdami informuoti mokėjimo paslaugų teikėjo buveinės valstybės narės kompetentingą instituciją. Kai incidentas daro arba gali daryti poveikį mokėjimo paslaugų vartotojų finansiniams interesams, mokėjimo paslaugų teikėjas nepagrįstai nedelsdamas turi pranešti savo mokėjimo paslaugų vartotojams apie incidentą ir imtis visų galimų priemonių, kurių jis gali imtis, kad sumažintų neigiamas incidento pasekmes.

EBA-RTS standartai detalizuoja, kokie kriterijai taikomi vertinant, ar tai yra „didelis saugumo incidentas“. Jeigu nustatomas didelis saugumo incidentas, mokėjimo paslaugų teikėjai turi informuoti kompetentingą instituciją valstybėje narėje EBA-RTS gairių priede pateiktos formos šablonu. EBA-RTS standartuose patvirtinama, kad nacionalinės kompetentingos institucijos visada turėtų pateikti EBI ir ECB visas ataskaitas (pradines, tarpines ir galutines), gautas iš mokėjimo paslaugų teikėjų, kuriuos paveikė didelis veiklos ar saugumo incidentas. EBA-RTS gairėse nenustatyta jokių konkrečių terminų, tik reikalavimas perduoti informaciją „nepagrįstai nedelsiant“. Pažymėtina, jog nacionalinės kompetentingos institucijos turėtų įvertinti, ar didelis įvykis ar saugumo incidentas galėtų būti svarbus kitoms nacionalinėms kompetentingoms institucijoms.

Bendra taisyklė pagal BDAR: asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai. Pagal BDAR, „nepagrįstai nedelsdamas“ reiškia, kad ataskaita turi būti pateikta ne vėliau kaip per 72 valandas po to, kai pažeidimas tapo žinomas.

Pagal PSD2, „nepagrįstai nedelsdamas“ reiškia, kad mokėjimo paslaugų teikėjas turi pateikti pradinę ataskaitą per 4 valandas nuo didelio mokėjimo saugumo ar saugumo pažeidimo. Šiuo atveju, įvykus pažeidimui, mokėjimo paslaugų teikėjui nėra aišku, į kurią „nepagrįsto nedelsimo“ sąvoką derėtų orientuotis ir laikytis jai taikomų terminų.

Be to, ataskaitos turėtų būti pateikiamos skirtingoms institucijoms: pirmasis – vietos duomenų apsaugos institucijai, o antrasis – kompetentingai institucijai, atsakingai už PSD2 vykdymą. Tiesa, EBA-RTS yra parengta speciali forma pranešimams apie pažeidimus teikti, tuo tarpu jokios pranešimų formos nėra paruoštos pagal BDAR (tam tikrose valstybėse jos yra parengtos nacionaliniu lygmeniu).

Direktyva 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Europos Sąjungoje užtikrinti (NIS direktyva), kuri turės būti įgyvendinta iki 2018 m. gegužės 9 d., nustato ataskaitų teikimo reikalavimus, taikomus kredito įstaigoms, kurias valstybės narės nurodo kaip „ypatingos svarbos saugumo infrastruktūrų valdytojas“.

Šiuo atveju svarbu atkreipti dėmesį į NIS direktyvos 1 straipsnio 7 dalį, kuris taip pat nurodo, kad „kai pagal konkrečiam sektoriui taikomą Sąjungos teisės aktą reikalaujama, kad esminių paslaugų operatoriai arba skaitmeninių paslaugų teikėjai užtikrintų savo tinklų ir informacinių sistemų saugumą arba praneštų apie incidentus, jei tokių reikalavimų poveikis yra bent lygiavertis šioje direktyvoje nustatytų pareigų poveikiui, taikomos tos minėto konkrečiam sektoriui taikomo Sąjungos teisės akto nuostatos.“

Kitais žodžiais tariant, manytina, kad PSD2 atitinka konkretiems sektoriams skirtus Europos Sąjungos teisės aktus, kuriais numatomos saugumo priemonės ir įpareigojimai teikti ataskaitas apie incidentus, kurie yra bent jau lygiaverčiai NIS direktyvoje nustatytiems įsipareigojimams, todėl kredito įstaigos, įvardintos kaip ypatingos svarbos informacinės infrastruktūros valdytojai, turėtų laikytis PSD2 nuostatų. Tačiau lieka neaiški situacija dėl kredito įstaigų, kurios yra ypatingos svarbos informacinės infrastruktūros valdytojos, bet nepriklauso PSD2 taikymo sričiai.

Išvados

PSD2 veikia visų rūšių elektroninius atsiskaitymus, ne tik internetinius, todėl tikimasi sustiprinti mokėjimų apsaugą ir juos padaryti saugesnius, kadangi Europos Komisijos tikslas priimant direktyvą  buvo suteikti galimybę vartotojams atlikti saugesnius, greitesnius mokėjimus dar įvairesniais būdais nei iki šiol. Šiam tikslui įgyvendinti tikimasi pasitelkti EBA-RTS standartus.

Atviroji bankininkystė yra tik vienas pirmųjų žingsnių naudojant vertingiausią šių dienų turtą – asmens duomenis. Reikia tikėtis, jog atviroji bankininkystė sugebės užtikrinti skaidrumą ir vartotojų asmens duomenų saugumą. Turint galvoje „blockchain“ ir „didžiųjų duomenų“ (angl. Big Data) potencialą, manytina, kad atviroji bankininkystė yra tik vienas pirmųjų rimtesnių pokyčių, kurie įgyvendinti rinkoje, todėl jau netrukus galime išgirsti apie naujus „atviruosius“ sektorius.

Taigi atviroji bankininkystė: iššūkis ar galimybė? Autoriaus nuomone, tai viskas viename. Tik nuo pačių mokėjimo paslaugų teikėjų priklausys, ar jie sugebės atitikti teisės aktų keliamus reikalavimus ir pakeisti mokėjimo paslaugų vartotojų įpročius.

 

Komentaro autorius – Domantas Gudonis, advokatų kontoros GLIMSTEDT teisininkas. Publikuota naujienų portale vz.lt

Užsisakykite svarbiausias naujienas