Czytając o zmianach, jakie wprowadza dyrektywa PSD2, nietrudno natknąć się na tajemniczy skrót RTS. Kryje się pod nim dokument, w którym zawarte są wymogi, jakie banki muszą spełnić, by zabezpieczyć komunikację pomiędzy podmiotami finansowymi oraz uwierzytelnianie. Poniżej przedstawiamy kilka najważniejszych wytycznych, zawartych w RTS.
Dyrektywa PSD2 nakazuje stosowanie wymogów RTS
Dyrektywa PSD2 otwiera rynek finansów dla nowych podmiotów, czyli tzw. Third Party Providers. Równocześnie nakłada na banki obowiązek zapewnienia bezpiecznego systemu komunikacji pomiędzy nimi a tymi instytucjami. Powinien on spełniać założenia zawarte w RTS. Jest to standard opracowany przez European Banking Association. Zawiera on informacje dotyczące wymagań technologicznych, których celem jest zapewnienie ochrony danych. Poniżej wyróżniliśmy kilka najważniejszych wymogów, które ten dokument wprowadza.
Silne uwierzytelnianie, czyli Strong Customer Authentication w RTS
Dokument sporządzony przez EBA określa, na czym dokładnie polega silne uwierzytelnianie, które wprowadza dyrektywa PSD2. Ma ono być stosowane za każdym razem, gdy użytkownik chce przeprowadzić transakcję lub uzyskać dostęp do konta. Zgodnie z RTS, przeprowadzane w takich chwilach sprawdzanie tożsamości będzie się składać z dwóch etapów. Każdy z nich może bazować na jednym z trzech czynników:
– czymś, co zna tylko użytkownik,
– czymś, co tylko użytkownik posiada,
– czymś, czym użytkownik jest.
Wszystkie wykorzystywane elementy muszą być niezależne od pozostałych.
RTS określa nie tylko wymogi, do których trzeba się stosować przy uwierzytelnianiu, ale również sytuacje, kiedy można je pominąć. Są to jednak wyjątki, dlatego każdy bank powinien przygotować się na stosowanie nowych sposobów sprawdzania tożsamości.
Koniec potwierdzeń przez SMS?
Obecnie wiele banków wysyła kody potwierdzenia transakcji poprzez wiadomości SMS. Telefon stanowi element posiadany przez właściciela rachunku, dlatego wydawałoby się, że ten sposób nadal będzie wykorzystany po wprowadzeniu PSD2. Jednak zgodnie z postanowieniami zawartymi w RTS, w wiadomości SMS musiałyby się znajdować szczegóły dotyczące transakcji, takie jak np. wysokość przekazywanej kwoty. Wszystkie te dane powinny być odpowiednio zabezpieczone, żeby nie zostały celowo lub przypadkiem zmienione. Tutaj niestety SMS-y nie spełniają swojego zadania, gdyż ich treść nie podlega ochronie i nie jest poufna. Dlatego z powodu RTS wiele banków będzie musiało przemyśleć standardowe sposoby potwierdzania transakcji i wprowadzić nowe rozwiązania, na które pozwala dyrektywa PSD2.
PSD2 proponuje API zamiast screen scrapingu
Z treści RTS wynika, że w zależności od sytuacji, TPP będą mogły skorzystać z dwóch sposobów w celu pobrania danych. Jeśli bank dysponuje dedykowanym systemem, który jest do tego przeznaczony, czyli API, są one zobowiązane do korzystania z niego. Jeżeli jednak nie jest to możliwe lub API nie działa przez więcej niż pół minuty, dozwolone są działania bazujące na screen scrapingu. TPP mogą wtedy pozyskiwać dane w sposób bezpośredni. W takich wypadkach muszą jednak podpisywać wiadomości w celu lepszej identyfikacji. To ma ochronić dane i zapewnić ich integralność.
To tylko niektóre z wymogów, jakie są zawarte w RTS. Dyrektywa PSD2 wprowadza wiele zmian, które mogą całkowicie zmienić podejście do bankowości. Wymagają też szczególnego zaangażowania ze strony banków. Od tego zależy, jak odnajdą się na rynku usług płatniczych.
