Za wiedzą i zgodą klienta

Widzimy niepokój klientów w sprawie PSD2, ale ryzyko jest niewielkie – mówi Emil Radziszewski, dyrektor Departamentu Spółdzielczych Kas Oszczędnościowo-Kredytowych i Instytucji Płatniczych w Urzędzie Komisji Nadzoru Finansowego

Czy pełne wejście w życie dyrektywy o usługach płatniczych PSD2 będzie oznaczało rewolucję w tym zakresie w Polsce? Czy też właściwie niewiele się zmieni u nas, za to sporo może zmienić się w innych krajach UE?

Emil Radziszewski: Nie dostrzegamy dużego potencjału zmian, które te regulacje mogłyby wprowadzić na polskim rynku usług płatniczych, a jest tak z powodu wysokiego poziomu jego rozwoju technologicznego. Oczywiście, może rynek widzi to inaczej, ale z punktu widzenia nadzoru wydaje się, że poziom innowacyjności i nowoczesności jest na tyle wysoki, że obecnie zaspokaja potrzeby klientów i w dającej się przewidzieć przyszłości ma w tym zakresie odpowiedni potencjał. Dyrektywa PSD2 nie była zresztą projektowana z myślą o problemach, które mogłyby być zaobserwowane na rynku polskim. Jej celem jest przebudowa rynków Europy Zachodniej, gdzie nowe technologie w bankowości nie były wdrażane od wielu lat. We Francji na przykład nadal do płatności dość często używa się papierowych, wypisywanych ręcznie czeków i to nawet – co w Polsce trudno nam sobie wyobrazić – do zakupów przez internet (nabywca wypisuje czek, wkłada do koperty i wysyła sprzedawcy pocztą).

Co – według oceny KNF – może być największą nowością z punktu widzenia polskich klientów banków i instytucji finansowych?

Wśród nowości, jakie wprowadza PSD2, są: usługa dostępu do informacji o rachunku oraz usługa inicjowania płatności (polegająca na tym, że podmiot trzeci w imieniu i na zlecenie klienta wykonuje transakcję płatniczą wykorzystując rachunek płatniczy klienta dostępny za pośrednictwem bankowości elektronicznej). Dostrzegamy – przynajmniej w reakcji na informacje o tych rozwiązaniach – niepokój wśród klientów związany z tym, że inny niż bank podmiot może uzyskać dostęp do bardzo prywatnych informacji przechowywanych w bankowości elektronicznej. Wynika to częściowo z niezrozumienia, że nie chodzi o dowolny, nieograniczony i niekontrolowany dostęp do tych informacji o klientach, tylko o dostęp usługowy – wyłącznie na zlecenie i za świadomą zgodą samego klienta. Dostęp do informacji o rachunku czy zainicjowanie płatności może odbywać się wyłącznie ramach usług, z których klient świadomie chce skorzystać i które zleca innej firmie. Bez wiedzy i bez zgody klienta żadna firma takich usług nie będzie mogła wykonywać, a więc nie będzie mogła uzyskać dostępu do jego danych.

Za tym rozwiązaniem stoi przekonanie, że zarówno dane o kliencie, jak i o jego rachunku, nie są własnością banku, lecz tego klienta i że może on tymi danymi dysponować. W szczególności może z tych danych korzystać za pośrednictwem pełnomocników, w tym podmiotów świadczących omawiane usługi. Warto więc pamiętać, że w wyniku nowych regulacji banki otwierają się tak naprawdę nie na podmioty trzecie, ale na klientów, którzy chcieliby zlecać wykonywanie usług podmiotom trzecim.

Wiem, że nadzór bardzo mocno stawiał na bezpieczeństw w kwestii PSD2. Jednak czy nie ma ryzyka, że dane w sposób nieuprawniony będą wykorzystywać firmy, które uzyskają dostęp do tego API?

Od wielu lat, a funkcjonalne rozwiązania bankowości elektronicznej pojawiły się w Polsce ponad 15 lat temu, zarówno nadzór, jak i strona rynkowa uczulają klientów na kwestie bezpieczeństwa związane ze zdalnym elektronicznym dostępem do usług bankowych. Podstawową w tej kwestii zasadą jest, że danymi dostępowymi do bankowości elektronicznej nie należy dzielić się z innymi podmiotami – tylko dwie strony mają znać te dane i mają to być klient oraz bank, przy czym w banku mają one podlegać wyjątkowej ochronie. Stąd na przykład, w przypadku kontaktów z bankiem, konsultanci nigdy nie pytają i nie mogą pytać klienta o te dane. Cała akcja edukacyjna, prowadzona od lat, ma na celu ostrzeżenie klienta przed dzieleniem się danymi, jako że są to informacje wrażliwe, które mogą doprowadzić do przestępstwa i do wyłudzenia pieniędzy z rachunku klienta. I dlatego właśnie według przyjętego powszechnie w bankach standardu Polish API (standardu interfejsu dostępowego dla podmiotów trzecich) podmiot trzeci, choć uzyskuje od klienta prawo wglądu do informacji o rachunku, nie ma dostępu do loginów i haseł. Logowanie następuje w bezpiecznym środowisku, w którym podmiot trzeci nie ma wglądu do danych dostępowych. Nie oceniamy jako istotne ryzyka, że podmioty uprawnione do świadczenia omawianych usług będą nadużywać swoich uprawnień dostępu do danych. Należy pamiętać, że mogą to być wyłącznie podmioty licencjonowane i nadzorowane i w przypadku ewentualnych naruszeń z ich strony nadzór będzie mógł podjąć stosowne środki zaradcze.

Jednak samo wejście w życie nowych przepisów prawie na pewno zostanie wykorzystane przez oszustów, którzy praktycznie przy każdej zmianie przepisów próbują wyłudzić dane. Czy KNF wie, jak walczyć z tym zjawiskiem?

Oczywiście, ryzyko różnego rodzaju oszustw, w tym zwłaszcza phishingu i jego odmian istnieje, zwłaszcza w sytuacji zmian prawnych, niedostatecznej wiedzy po stronie klientów i szumu medialnego, dotyczącego nowych regulacji. Obecnie nie mamy sygnałów o jakimś szczególnym natężeniu tych zjawisk w związku z wdrażaniem rozwiązań Dyrektywy PSD2, jednak z pewnością nie należy tego ryzyka bagatelizować. Z pewnością ważnym czynnikiem ograniczającym to ryzyko na rynku polskim są wspomniane wcześniej nawyki i „pozytywna nieufność” polskich klientów co do dzielenia się swoimi danymi. Dodając do tego dużą dostępność natychmiastowych transakcji płatniczych i wysoko rozwiniętą bankowość elektroniczną, gdzie klient ma łatwy dostęp do usług płatniczych i informacji o swoich rachunkach i transakcjach, nie dostrzegamy na razie na rynku polskim istotnego potencjału popytowego na usługi podmiotów trzecich, co powinno przekładać się też na ograniczoną skuteczność prób wyłudzeń danych lub oszustw. Oczywiście, akcje phishingowe są prowadzone przez cały czas, a oszuści próbują wyłudzać dane klientów i zdalnie kraść ich środki, z czym aktywnie walczy zarówno sektor finansowy, jak i organizacje zajmujące się bezpieczeństwem w sieci. I chyba, poza oczywiście doskonaleniem technik wykrywania i ścigania przestępstw, nie da się z tym zjawiskiem skutecznie walczyć w inny sposób, jak edukując klientów i uczulając ich na zagrożenia związane ze zdalnym – elektronicznym korzystaniem z usług finansowych.

Słyszę jednak, że bankowcy uważają, że prawie na pewno dojdzie do jakieś głośnego przypadku wyłudzenia danych lub ich wycieku. Czy jeśli pojawi się taka sytuacja, można spodziewać się rewizji dyrektywy? No i jak to odbije się na postrzeganiu banków przez klientów?

Według mnie, zamysł regulatora polegał na tym, aby połączyć dwie rzeczy – wymusić modernizację i otwarcie bankowości na usługi płatnicze, w tym świadczone przez innych dostawców w celu przyspieszenia płatności i promocji szybkiego obrotu bezgotówkowego oraz aby uczynić to otwarcie bezpiecznym dla klientów poprzez wprowadzenie bezpiecznych standardów komunikacji elektronicznej, jak również zasad silnego uwierzytelniania, co służyć ma ograniczeniu ryzyka i zmniejszeniu liczby fraudów. Podejście to, choć wymagające od banków sporych nakładów organizacyjnych i finansowych, wydaje się spójne i rozsądne, jednak otwarta bankowość w ujęciu Dyrektywy PSD2 nie była dotąd testowana w praktyce i jesteśmy poniekąd skazani, by na własnej skórze przekonać się czy rzeczywiście udało się zapanować nad omawianymi tu zagrożeniami. Sądzę, że jeśli okaże się, że tych założeń nie udało się zrealizować, europejski regulator zdecyduje się na przegląd dyrektywy, jednak mało prawdopodobną jest rezygnacja z wprowadzonych zmian. Warto też zauważyć, że ryzyko fraudów obciąża przede wszystkim dostawców usług płatniczych, nie ich klientów. Co do zasady to dostawcy są zobowiązani do wyrównania szkód klienta poniesionych na skutek nieprawidłowości przy jego uwierzytelnieniu lub wycieku danych. Mimo to oczywiście, jeśli wprowadzenie dyrektywy sprawi, że liczba fraudów wzrośnie, to zaufanie klientów do nowoczesnych, szybkich metod płatności może się istotnie zmniejszyć, co spowoduje także ograniczenie obrotu bezgotówkowego. Wtedy będziemy mieli do czynienia ze zjawiskiem przeciwnym do tego, jakie chcieli uzyskać twórcy dyrektywy, które ciężko będzie odpracować.

Czy start PSD2 wymusił jakieś działanie na KNF? Czy urząd musiał przygotować się do zwiększonego monitoringu sytuacji, zatrudnić ludzi, wprowadzić nowe rozwiązania technologiczne?

Jak to wynika z uzasadnienia do projektu ustawy wdrażającej rozwiązania Dyrektywy PSD2, ustawodawca uznał, że Urząd KNF może obsłużyć nowe zadania bez konieczności zwiększania nakładów na ten cel. Wówczas jeszcze UKNF finansowany był za pośrednictwem budżetu państwa (choć oczywiście z opłat wnoszonych przez uczestników rynku) i to budżet decydował jakie nakłady możemy przeznaczać na nadzór nad poszczególnymi obszarami rynku. Rzeczywistość zweryfikowała tamte założenia – nowe zadania w istotnym stopniu angażują Urząd, pojawiły się nowe usługi, nowe obszary nadzoru (jak np. cyberbezpieczeństwo) i nowe podmioty nadzorowane (jak np. małe instytucje płatnicze), a rynek słusznie oczekuje aktywnej roli nadzoru we wdrażaniu nowych rozwiązań. Obecnie UKNF jest państwową osobą prawną i sam projektuje swój plan finansowy, więc jest możliwość zwiększenia nakładów na nadzór nad rynkiem usług płatniczych i dostrzegamy taką potrzebę.

Bardzo ważne jest także technologiczne przygotowanie Urzędu do wykonywania nie tylko nowych, ale także tych dotychczasowych obowiązków. Urząd dysponuje ogromnym zbiorem informacji, które są często ze sobą powiązane i które mogą mieć znacznie dla realizowanych zadań. Efektywna analiza takiej ilości informacji nie jest możliwa bez wsparcia technologicznego, przy wykorzystaniu wyłącznie zasobów ludzkich – niezbędne jest wdrożenie zaawansowanych rozwiązań informatycznych, docelowo obejmujących też zastosowanie sztucznej inteligencji, wspierających pracę analityków i proces podejmowania decyzji. W tej sferze działania zostały już podjęte na poziomie generalnym Urzędu i służyć mają temu m. in. ostatnie zmiany organizacyjne, w tym wyodrębnienie w strukturze Urzędu Pionu Informatyki i Technologii oraz zatrudnienie wysokiej klasy specjalistów.

Jakie kompetencje ma KNF w kwestii karania firm pozabankowych, które będą operować na danych bankowych? Czy urząd może działać jedynie post factum, czy jednak jest szansa na zapobieganie – być może – przestępczej działalności?

Nasze uprawnienia w zakresie nadzoru nad rynkiem usług płatniczych dotyczą wyłącznie podmiotów nadzorowanych, a więc banków, SKOK-ów, instytucji płatniczych, w tym tych małych, a także dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku. W stosunku do tych podmiotów dysponujemy standardowymi środkami nadzorczymi: analizujemy ich sprawozdawczość, możemy je kontrolować, nakładać na nie sankcje, w tym kary pieniężne, możemy nawet zakazać działalności, z czego w najbardziej drastycznych przypadkach KNF korzystała i będzie korzystać. Podmioty, które próbują prowadzić działalność z naruszeniem przepisów, bez wymaganych prawem zezwoleń i poddania się nadzorowi Komisji oraz regulacjom rynku finansowego, wpisywane są na Listę ostrzeżeń publicznych KNF, co jest pokłosiem zawiadomień kierowanych przez UKNF do Prokuratury o podejrzeniu popełnienia przestępstwa. Podkreślić też należy, że nawet jeśli podmioty nadzorowane korzystają z usług nienadzorowanych poddostawców, to i tak ponoszą pełną odpowiedzialność za ich działanie. Jeśli np. agent rozliczeniowy (będący bankiem lub krajową instytucją płatniczą) korzysta z usług firmy, która źle programuje terminale płatnicze do przyjmowania płatności kartowych w sklepach, odpowiedzialność za to spada na tego agenta rozliczeniowego i w stosunku do niego będą wyciągane konsekwencje nadzorcze. To podmiot nadzorowany odpowiada za działania podmiotu trzeciego, któremu zleca wykonywanie określonych czynności, a ta odpowiedzialność wynika wprost z przepisów prawa.

Dziękuję za rozmowę

Marek Siudaj, Gazeta Bankowa