• Václav Mladěnka

PSD2 a (r)evoluce bankovnictví

Jednou ze základních charakteristik doby, ve které žijeme, je jednoznačně digitalizace. Digitalizace je synonymem pro zrychlení, optimalizaci distribuce a komfort klienta. Digitalizace znamená poskytování služby a její konzumace v elektronické formě – a ve většině případů prostřednictvím otevřené komunikační sítě (internet).


Zásadní změnou, která vyvolala následný skok, se stal nástup chytrých telefonů (smartphonů) nastartovaný po r. 2010. Právě banky se jako první skupina poskytovatelů digitálních služeb na tento trend adaptovaly, což následně generovalo silnou digitální akceleraci dalších odvětví.


Mnohé lidské činnosti v době pre-digitální komunikace v sobě zahrnovaly potřebu specifických atributů. Tato potřeba s přechodem do digitálního (a mobilního) prostoru nemizí, v mnoha ohledech a z mnoha důvodů (např. masovost těchto služeb a rizika z ní plynoucí) se naopak spíše prohlubuje. Jednou z těchto potřeb je bezesporu bezpečnost. V digitálním prostoru se tato dnes už samostatná disciplína rozpadá na řadu dílčích a specifických subdisciplín.


V oblasti elektronického bankovnictví pak je tato oblast velmi silně ovlivněna regulací - nejvýznamněji v poslední době směrnicí PSD2.


Motivace ke změně?


Směrnice evropského parlamentu o platebních službách na vnitřním trhu, není z pohledu bankovního trhu žádnou zásadní revolucí. V mnohém navazuje na předchozí legislativní rámec Evropského parlamentu a doporučení Evropského orgánu pro bankovnictví (EBA) v minulých letech.


Vlastní směrnice, která se v mnohých ohledech snaží být maximálně technologicky neutrální, reaguje na měnící se podmínky na trhu platebních a bankovních služeb zejména s ohledem na prostupující digitalizaci finančních a návazných služeb a propojování oborů ekonomické činnosti.


Vlastní směrnice pojmenovává tyto základní cíle:

  • Posílení konkurenčního prostředí v oblasti finančních a platebních služeb

  • Vytvoření prostředí pro podporu inovací v oblasti finančních a platebních služeb

  • Zlepšení zabezpečení a ochrany koncových uživatelů

Prostředky k dosažení základních cílů jsou pak:

  • Otevřené bankovní služby (povinnost banky otevřít technická rozhraní pro zpřístupnění informací o účtu klienta či iniciaci platební transakce třetí stranou)

  • Zvýšení bezpečnosti a ochrany uživatele v podobě silné autentizace (a případné použití výjimek za přesně specifikovaných podmínek)

  • Požadavek na proaktivní monitoring platebních transakcí a vyhodnocování rizik plynoucích z použití digitálních služeb (vzdáleného přístupu)


Co přináší nového?

  • PSD2 přinesla na bankovní trh několik témat, které stojí za zmínku

  • Alternativní služby platebního styku

  • Multibanking

  • Silné ověření klienta

Alternativní služby bankovního styku; resp. vytvoření podmínek pro posílení konkurenčního prostředí v oblasti finančních a platebních služeb v tuto chvíli na tuzemský trh nepřináší žádnou zásadní změnu - k dnešnímu dni jsou nejvíce viditelné aktivity jednotlivých bank, které na trhu byly aktivní již dříve.


Jedním z konkrétních příkladů mohou být nové služby tzv. “multibankingu”; tedy možnosti propojit si v rámci Vašeho oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou.



Jak ovlivňuje banky?

  • Vybudování a provoz API (dedikované v. sdílené)

  • Přístupy třetích stran a služby v zastoupení klienta

  • Implementace procesů silného ověření

  • Implementace technologií pro analýzu transakčních rizik

  • Zabezpečení kanálů přímého bankovnictví - mobilní a webové aplikace

PSD2 klade na banky požadavky - žádná revoluce se ale na českém trhu nekonala, ale vítěz je z nezávislého pohledu bezesporu uživatel - klient banky.


Banky šly naproti digitalizaci - investovaly do lepšího zabezpečení, více služeb dostupných online vč. možností multi-bankingu (více účtů i různých bank pod jednou střechou).


Investice na straně bank byly taky různé - někteří si to vyloženě usnadnili a udělali opatření jen na oko; jiní do toho šli ve velkém a regulaci vzali vážně ale snaží se vytěžit i příležitosti z té regulace (např. agregovat informace o klientech z různých bank); jsou ale i příklady bank, které pod tlakem okolností implementovaly opatření, které sice naplňuje požadavky regulace, ale ve výsledku není výhrou ani pro klienta ani banku samotnou - různé bezpečnostní metody pro různé aplikace (mobilní bankovnictví, internetové bankovnictví, online platby kartou, ..); zmatení uživatelé, náklady na provoz, …


Pro moderní autentizační metody je důležitý nejen pohled bezpečnosti - ta je sice zásadní atribut, avšak aby byla účinná nesmí uživatele nijak zásadně obtěžovat ani omezovat. V ideálním případě je pro uživatele neviditelná. Technologické firmy zabývající se bezpečností musí věnovat mnohem více pozornosti také použitelnosti či uživatelského zážitku, provozovatelnosti řešení a náročností na provoz či údržbu.


Bezpečnostní metody a prostředky silné autentizace musejí být schopny reagovat na měnící se potřeby uživatelů i způsoby jakým je realizována vzdálená komunikace mezi klientem a bankou.


Z pohledu bezpečnostních technologií je proto vhodné stavět na:

  • moderní, vysoce bezpečná a snadno použitelná bezpečnostní metoda - mobilní klíč ke všem bankovním službám; řeší přihlášení do mobilní banky, internetového bankovnictví, autorizaci platby na mobilu či webu, autorizaci platby na platební bráně, vzdálený podpis smluv či autorizaci změn ve stávající smlouvě klienta (změna limitu, disponentská oprávnění atp.)

  • bezpečnostní služby banky založené na principech federace identit - jednoduché oddělení rolí aplikací banky na obchodní a bezpečnostní přináší zajímavé výhody - významně rychlejší realizaci nových bankovních produktů; při požadavcích na změnu bezpečnosti není nutné měnit všechny obchodní aplikace banky (pouze se parametricky mění bezpečnost na pozadí); propojení mobilních a webových aplikací významně zjednodušuje procesy správy i obsluhy klienty a přináší významně povýšení celkového uživatelského zážitku klienta při použití různých bankovních služeb


Jak ovlivňuje koncové uživatele?

  • Nové kanály pro komunikaci s bankou

  • Silné ověření - lepší přehled o dění na účtu; může být výhodou, může ale obtěžovat např. Při nevhodně zvoleném / implementovaném způsobu silného ověření

  • Silné ověření a výjimky - může působit zmatení uživatele

Silné ověření klienta není něco, co by bylo na tuzemské trhu úplnou novinky, avšak vymezení podmínek, za kterých lze hovořit o silném ověřením klienta (a tedy zmírnění rizik plynoucí z realizace platebních transakcí na dálku) dostalo jasnější kontury.


Jedním z důležitých aspektů je posílení role mobilního telefonu - na českém trhu se během posledních objevilo několik velmi podobných řešení realizace mobilního klíče, které si kladou za cíl umožnit uživatelům bezpečnější a transparentnější způsob ověření. Je to logické, mobilní telefon je něco, co má většina z nás denně u sebe a tedy s velkou pravděpodobností bude schopen mobilní telefon (mobilní aplikace) naplnit požadavek na prvek ověření z kategorie “něco mám”.


Vedle toho, na tuzemském trhu široce etablované bezpečnostní SMS kódy narážejí na mnohé limity - názor regulátora sice umožňuje použití jako jednoho z faktorů silného ověření (kategorie “něco mám”; předpokládá, že SMS zpráva je určena konkrétnímu uživateli s konkrétní SIM kartou). Je ale dobré si uvědomit, že úložiště SMS zpráv na “chytrém” mobilním telefonu je obvykle dostupné širokému spektru aplikací a tím může být SMS kód původně určený uživateli dostupný i jiným a potenciálně nebezpečným příjemcům.


Vhodně zvolené řešení mobilního klíče proto v ideální světě kombinuje následující požadavky:

  • Umožňuje zabezpečený přenos informací mezi bankou a klientem

  • Uživateli jsou jasně a přehledně zobrazeny parametry transakce (min. účet příjemce, částka a měna)

  • Po uživateli nevyžaduje přepisování bezpečnostních kódů; autorizace transakce probíhá ideálně v online režimu po zadání PINu, gesta či biometrického ověření

  • Pro uložení kryptografického materiálu, využívá mobilní aplikace bezpečnostní čip telefonu místo běžného uložení v SW uložišti aplikace

  • Aplikace s bezpečnostním materiálem je proaktivně chráněna a při detekci útoku či jiného nestandardního chování zařízení (ladění přes USB) je schopna na tyto externí vlivy reagovat

  • Umožnit uživateli jednoduchou aktivaci či lehkost použití (použití nesmí být pro uživatele frustrující)

  • Jedno řešení využitelné pro různé “online” služby


Vznikla na trhu nová konkurence?


Mnoho z nás si klade otázku zda máme čekat nějakou další revoluci plynoucí z PSD2? V tuto chvíli se opravdu ale žádná zásadní revoluce nekoná - banky si drží své postavení, na trhy nevstoupil žádný zásadní nový hráč, který by využíval produkty bank za účelem jejich agregace či nabídky nového typu služby.


Velké očekávání vzbuzuje na českém trhu téma bankovní identity a projekt BankID (SONIA), který do jisté míry využívá identitních služeb akceloraných PSD2 a na tuzemském trhu doprovázené změnou Zákona o bankách. Novela umožňuje nově bankám nabízet služby ověření identity klienta jako službu pro třetí strany.


Pokud to banky nepokazí obchodním modelem, můžeme se dočkat velmi zajímavých aplikací, které se budou opírat o principy federace identit napříč různými online službami bankovního a mimo bankovního trhu (či agendovými informačními systémy v kontextu státní správy).