Menü
50_Depositphotos_184641864.jpg
Forrás: ITB

Már most meg kell felelnie a bankoknak a PSD2 számos előírásának, miközben a várható üzleti előnyök legjobb esetben is csak évek múlva jelentkezhetnek. A magyar pénzintézetek is érzik a lehetőségeket, de erőforrásokat egyelőre még nem allokálnak azok kihasználására. A lehetőségekkel együtt viszont a veszélyek is nőnek.

Potenciálisan óriási hatása lehet a bank- és pénzügyi szektorra a PSD2 szabályozásnak, amely amely jogszabályi passzusokból fokozatosan – 2018. január 13. és egyelőre még 2019. január 1. dátumokkal – működési és IT architekturális változásokban ölt testet. Erősen leegyszerűsítve: az uniós direktíva mindenki számára megnyitja a lehetőséget, hogy belépjen a korábban a bankok által monopolizált pénzforgalmi szolgáltatások piacára, a pénzintézeteket pedig kötelezi, hogy részrehajlás nélkül működjenek együtt az új szolgáltatókkal. A PSD2 körül most nagy a felhajtás, éppen ezért érdemes megnézni, mi van a felszín alatt, hogy a szóbeli megnyilatkozások és a tényleges várakozások mennyire vannak összhangban egymással, és valójában mennyire állnak készen a bankok és ügyfeleik a PSD2-re, illetve milyen biztonsági kihívásokkal kell szembenézniük ennek során.

 

Kihívók és minimalisták

Ezt tette a Deloitte is, amely több kutatásban vizsgálta a bankok és ügyfeleik PSD2-vel kapcsolatos elképzeléseit, mondta a márciusi ITB Clubon Drácz Dániel, a vállalat PSD2 munkacsoportjának szakértője. A Voice of the Banks felmérésben azt nézték, hogy az európai (és köztük a magyar) bankok mennyire tekintik fenyegetettségnek vagy lehetőségnek az új szabályozást, mekkora összeget szánnak a jogszabályi megfelelésre, illetve a stratégiai lehetőségek kihasználására.

Drácz Dániel, Deloitte
 

A válaszok alapján a közép-európai bankokat két nagy csoportba sorolták. Az első a kihívók: ezek jellemzően a legnagyobb bankok, amelyeknek mind a hajlandóságuk, mind a pénzügyi lehetőségeik megvannak arra, hogy kiaknázzák az adódó lehetőségeket. Érdekes módon az ebbe a csoportba tartozó bankok relatív többsége (valamivel több mint egyharmada) fenyegetettségként éli meg a PSD2-t, és csak 20 százalékuk mondta azt, hogy lehetőséget lát benne. Ez nyilvánvalóan összefügg azzal is, hogy leginkább a nagybankoknak van félnivalójuk az új, innovatív szolgáltatóktól, és valamennyire előremenekülésként értelmezhető, hogy élni kívánnak a direktíva nyújtotta lehetőségekkel.

A másik csoportot minimalistának nevezete el a Deloitte: ezek a kisebb méretű pénzintézetek elsősorban a szabályozói követelmények kielégítésére törekednek, komolyabb terveik nincsenek a PSD2-vel, legfeljebb saját ügyfélbázisukat szeretnék inkrementálisan növelni. Ugyanakkor ők sokkal nagyobb arányban mondták azt, hogy lehetőségeket látnak a szabályozásban. Az már más kérdés, hogy náluk többnyire mind a szükséges pénzügyi erőforrások, mind a vezetés elkötelezettsége hiányzik ahhoz, hogy ténylegesen belevágjanak a szükséges fejlesztésekbe. Ebben a tekintetben egyébként a kihívók sem állnak annyira jól: kevesebb mint felük dedikált külön költségvetést a stratégiai célok elérésre.

 

A megfelelés az első

Bár saját bevallásuk szerint a magyar bankok csak kis része akar defenzív stratégiát folytatni, egyelőre még a megfelelés van a fókuszban – mondta Drácz Dániel. Ha vannak is stratégiai célkitűzések, azok függetlenek a rövid távú, a compliance-t biztosítani kívánó fejlesztésektől. Az üzleti előnyöket csak két-három év múlva várják a PSD2-től.

Ugyanezt tapasztalata a bankoknál végzett tanácsadói munkája során Szebellédy Balázs, a Capsys Informatikai Kft. tanácsadási vezetője is. Ahogy fogalmazott, mindenhol megfelelési projektként tekintenek a PSD2-re; egyelőre még nem tart ott érettségben a magyar banki piac, hogy az üzleti lehetőségeket is meglássa és kihasználja benne. Drácz Dániel szerint a legegyszerűbben számlainformációs szolgáltatóként léphetnének fel a bankok. Ily módon betekintést nyernének ügyfeleik egyéb banki kapcsolataiba is, és alkalomadtán a konkurensekénél kedvezőbb ajánlatokkal célozhatnák meg őket.

A banki oldal részéről mindezt megerősítette Decsi Tamás, az OTP Bank munkatársa is. Mint mondta, számukra most a megfelelés az elsődleges cél, és már azt sem egyszerű kideríteni, hogy melyik részletszabálynak mikortól kell megfelelni. Ettől függetlenül kutatják a PSD2-ben rejlő üzleti lehetőségeket is, de ezek kihasználására csak közép és hosszú távon van esély.

A PSD2-ről dióhéjban

A PSD2 az online fizetési és számlaintegrációs szolgáltatások liberalizációjáról szóló, idén januárban életbe lépett EU-s direktíva. A szabályozás legnagyobb nóvuma, hogy megteremti a fintech cégek és a bankok közötti együttműködés eddig hiányzó technológiai és jogszabályi hátterét.

A direktíva két új szereplőt definiál pénzügyi szolgáltatások piacán. Az egyik az Account Information Service Provider (AISP), avagy számlainformációs szolgáltató, a másik pedig a Payment Initiation Service Provider (PISP), vagyis a fizetéskezdeményezési szolgáltató. Előbbi abban segít az ügyfélnek, hogy egységesen kezelhesse a különféle bankoknál vezetett összes számláját. Az AISP szolgáltatását igénybe véve nem kell minden egyes bankszámlához az online vagy mobil banki felületre külön bejelentkezni, hanem egyetlen integrált felületen látható az összes információ. Erre további szolgáltatások építhetők, például személyre szabott pénzügyi tanácsadás (kiadások követése stb.) A PISP már nemcsak információkat kínál, hanem az online és mobil fizetéseket teszi gyorsabbá és egyszerűbbé.

Legyen szó akár AISP-ről, akár PISP-ről, a szolgáltató csak az ügyfél explicit felhatalmazásával, szabványosított felületeken keresztül csatlakozhat a banki rendszerekhez és érheti el az ott tárolt információkat.

 

Az ügyfelek hangja

A Deloitte másik felmérése a Voice of the Customer címet kapta: Közép-Európában (így Magyarországon is) hatezer fős reprezentatív mintán mérték fel, hogy banki ügyfelek milyen csatornákat használnak szívesen, mennyire akarják kihasználni az új lehetőségeket és mennyire nyitottak arra, hogy tranzakciós adataikat külső fél számára is megnyissák.

Az adatok nem feltétlenül biztatóak. A közép-európai banki ügyfelek 55 százaléka a hagyományos kategóriába sorolható: csak a fiókokat és/vagy a bankkártyát veszi igénybe, de semmilyen digitális csatornát nem használ. Egynegyedük többféle csatornán is intézi bankügyeit, végül 20 százalékra tehető a digitális ügyfelek aránya, akik szinte kizárólag online intézik ügyeiket.

Ugyanakkor a helyzet nem reménytelen. A digitális szolgáltatások elterjedésére utal, hogy évente 15 százalékkal csökken a fióklátogatások száma. Az 55 százalék offline ügyfél nagy részének is csak egy kis ösztönzésre lenne szüksége, magyarázta az eredményeket Drácz Dániel. Ők csak azért nem használják a digitális csatornákat, mert bonyolultnak tartják az online vagy mobilos banki felület kezelését. A régióban ez a réteg 11 millió embert tesz ki: pontosan ők lehetnének a PSD2 által lehetővé tett szolgáltatások célcsoportja.

„Ha az újonnan színre lépő szolgáltatók megteremtik a könnyen használható kapcsolatot a számlavezető bank és az ügyfél között, ezek a felhasználók bevonhatók lennének a digitális bankolásba” – fogalmazott Drácz Dániel.

Az új szolgáltatók sikeréhez persze az is kell, hogy az ügyfelek hajlandók legyenek tranzakcióikat és banki adataikat külső felekkel is megosztani. Amennyiben ezért valamilyen ellentételezést kap (például alacsonyabb hitelkamatot vagy kisebb számlavezetési díjat), a magyar ügyfelek 35 százaléka lenne hajlandó ezen információk megosztására, ezzel pedig élen járunk a közép-európai országok sorában.

Ezzel kapcsolatban vita bontakozott ki az ITB Clubon. Többen annak a meggyőződésüknek adtak hangot, hogy ők semmiképp sem akarnák adataikat megosztani külső szolgáltatókkal, mert nem tudnák felmérni az ezzel kapcsolatos adatbiztonsági kockázatokat. Szebellédy Balázs viszont túlzó félelmeknek tartja ezeket. Mint mondta, erős ügyfélvédelmi rendelkezések lettek beépítve a PSD2-be. Ha az ügyfél reklamációval él egy fizetési művelet miatt – mert mondjuk visszaéltek a személyes adataival és valaki más indított a nevükben egy fizetési műveletet –, akkor az előírások szerint a számlavezető banknak a következő munkanap végéig helyre kell állítania az ügyfél számláját eredeti állapotába, vagyis jóvá kell írni a tranzakció összegét az ügyfél számláján, illetve minden olyan díjat, kamatot vissza kell adni, amely a jóvá nem hagyott fizetési művelettel összhangban lett felszámítva. (Ez alól csak az lehet kivétel, ha a pénzforgalmi szolgáltató megalapozottan az ügyfél csalárd magatartására gyanakszik.)

 

API-k egymás között

Már csak ezért is rendkívül fontos, hogy a bankok és a külső szolgáltatók közötti adatkapcsolatok megbízhatóak és biztonságosak legyenek – vette át a szót Csinos Tamás, az információbiztonsági termékeket forgalmazó Clico Hungary ügyvezető igazgatója. Az AISP-knek csak olvasni kell tudni a banki adatokat, a PISP-knek viszont írni és olvasni egyaránt. Ezeknek a szoftverkapcsolatoknak egyre inkább az API-k (application programming interface) a szabványos kivitelezési módja.

Csinos Tamás, Clico Hungary
 

Az API-knak – felhasználásuk módja alapján – több fajtája is lehet. Vannak a külső, nyílt API-k, amelyeket egy gyártó (mint a Salesforce vagy a Google) azért publikál, hogy webes megoldása könnyen integrálható legyen más szolgáltatásokkal. És vannak belső használatra szánt API-k, amelyek a vállalati szoftverek egymás közötti kommunikációját segítik elő. A kettő metszetében pedig ott vannak azok az interfészek, amelyek a belső rendszereket teszik elérhetővé külső szolgáltatások számára – pontosan ezekről beszélhetünk a PSD2 kapcsán.

Az API-k által megvalósított automatikus üzenetváltás és adatcsere számos biztonsági kérdést vet fel a bankok oldalán. Vajon létezik-e az a felhatalmazás, amelyre hivatkozva a szolgáltató adatot kér a banki rendszerből? Ha a felhatalmazás valódi is, ténylegesen az adott ügyfél áll-e a kapcsolat, a tranzakció másik oldalán? Nem akar-e olyan információkat kinyerni a kérdező a banki rendszerből, amelyhez nem rendelkezik jogosultsággal? – sorolta a megválaszolandó biztonsági kérdéseket Csinos Tamás. A PSD2 kapcsán bevezetendő API biztonsági megoldásoknak ezen veszélyek ellen kell védelmet nyújtaniuk.

Az egyik legfontosabb védelmi komponens az alkalmazástűzfal lehet. Csinos Tamás szerint olyat kell választani, amely „érti” a PSD2 API-k által használt XML és JSON formátumokat és adatmodelleket. Fontos az is, hogy rendelkezzen olyan beépített algoritmusokkal, amelyek felismerik a túlterheléses támadásokat, amikor egy ügyfél másodpercenként nem 1-2, hanem 20-30 tranzakciót akar végrehajtani. Profiloznia is tudni kell a kérések forrását, megakadályozandó, hogy például egy feltört webkamerának (illetve a mögötte álló hackernek) küldje el az ügyfél számlainformációit.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2028 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Poór Károly

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4834 cég szerepel adatbázisunkban.
Az utolsó regisztrált:SERCO Informatika Kft.

A legkeresettebb cégek: