Nagy változás előtt állnak a bankok, ugyanis 2018 elején egy egész sor új uniós szabványt vezetnek be a pénzügyi szektorban. Erre érdemes lenne nagyon alaposan felkészülni, ugyanakkor a szabályozás egyes pillérei még nincsenek tisztázva – sem az adatkezelést, sem az open bankinget illetően. Az éles üzem még legalább 1-1,5 évre van, de az biztos, hogy buktatókkal teli időszak elé néz a bankpiac. Mi változik és mennyire állnak készen erre a magyar bankok? Kiszely Róbertet, a Capsys szakmai szolgáltatások igazgatóját kérdeztük.

Miben lesz más a PSD 2 szabályozás a most érvényben lévő PSD 1-hez képest?

A PSD 2 egy európai direktíva, ami gyakorlatilag a PSD 1 átirata, kiegészítése. A fő irány az az open banking, vagyis annak a kötelezettségnek a teljesítése, hogy a bankok, számlavezetők kinyissák a rendszereiket a harmadik feles szolgáltatók (Third Party Providerek, TPPk) részére – ebbe egyébként maguk a bankok is beletartoznak. Ezen kívül számos módosítást tartalmaz még az új szabályozás, ami nem kimondottan az open bankinghoz tartozik, hanem elsősorban felelősségi kérdéseket szabályoz újra. A bankok ezentúl nagyobb felelősséggel tartoznak majd azokért az eseményekért, amik az ügyfelek számláin történnek, továbbá a reklamációkezelést nagyon erősen szigorítja a jogszabály – van egy olyan kötelezettség például, amely szerint reklamáció esetén a következő munkanap végéig jóvá kell írni az ügyfél számláját. Mindezt azzal a feltétellel, hogy ha a bank nem tudja bizonyítani, hogy visszaélés történt a számlán – nem elég a feltételezés.

Továbbra is a számlavezetők a szerződéstulajdonosok, a bank bonyolítja a kommunikációt az ügyfelekkel. Ez tulajdonképpen azt jelenti, hogy probléma esetén a banknak kell helytállnia és nekik kell behajtaniuk a pénzt is egy-egy reklamáció során a TPP-ktől. Az open banking kapcsán maga a direktíva egy létező gyakorlatot ültet át a szabályozásba, nem egy teljesen új koncepcióról van szó, ez ugyanakkor át is üt a szabályozáson. A leglényegibb változást a TPP szabályozás hozza, ezek a szolgáltatók eddig nem estek külön szabályozás alá. A PSD2 bevezetését követően minimum regisztrálniuk kell magukat, vagy engedélyt kell szerezniük a működésükhöz.

Mi ennek az életbe léptetésnek a határideje? Ahány kérdés, annyi válasz hangzott el eddig...

Az EU-s direktíva meglehetősen sajátos, ugyanis nem egységesen alkalmazandó, hanem minden országnak át kell ültetnie a saját jogrendjébe. Viszont amikor ez a direktíva megszületett, akkor még az volt az elképzelés, hogy ezt mindenki változatlan formában ülteti át. Magyarországon egy egyéves felmentést kapnak a bankok bizonyos passzusok alól – például az open banking interfész kötelezettsége alól. A direktíva emellett sokkal szigorúbb, egyebek mellett erős ügyfélhitelesítést is előír, ami alól szintén kaptunk egy év felmentést a hazai szabályozásban. A probléma csupán az, hogy a vonatkozó részletszabályok (RTS) még nem véglegesek, ez legkorábban 2018. februárra kristályosodhat ki és fogadhatják el hivatalosan, majd ettől a dátumtól számítva másfél éven belül válik alkalmazandóvá.

Készen állnak erre a bankok?

Erre több szempontból is nehéz válaszolni. Az előírások maguk még nincsenek kőbe vésve (az RTS még mindig nem tekinthető véglegesnek), emellett az a tapasztalat, hogy a bankoknál, a jogalkotóknál, felügyeleteknél is felmerülnek értelmezési problémák. A haza jogalkotás során eredeti elképzelés az volt, hogy január 13-tól kellett volna – minden elemével együtt – élesíteni a rendszert, ezt azonban a hosszas tárgyalásoknak köszönhetően eltörölték, ennek eredménye lett az egy éves felmentés. A bankok számára ráadásul adott egy stratégiai kérdés, vagyis az, hogy mi a jövő? Különböző stratégiák vannak ennek a megválaszolására: van olyan bank, amelyik fintech-akadémiát indított, van, aki csak compliance-ben gondolkodik, van, aki fintech cégekkel köt partnerséget vagy indít saját céget. Ez ugyanakkor egy jogszabály, így egy banknak egyszerre két szinten kell megfelelnie: a compliance, ami kötelező és határidőre meg kell oldani, és a saját hasznuk, vagyis az, hogy mit tudnak kihozni a helyzetből. Az elsővel különböző szinten állnak a magyar bankok, egyelőre még nincsen nemzetközi gyakorlat, az open banking leginkább csak létezget, de nem úgy, ahogy a PSD2 leírja. Sajnos nincsenek „kész dobozok”, belső szabályozási kérdések garmadájával kell szembeszállni. Emiatt aztán különböző határidőkre is lőnek a bankok, mivel elég későn derült ki, hogy mikorra kéne elkészülni – volt olyan bank, aki azt is mondta, hogy amíg nincs végleges magyar jogszabály, addig nem is foglalkoznak vele. Ezzel szemben a jogalkotó azt gondolta, hogy a PSD2 (vagyis az EU direktíva szövege) alapján mindenki előre dolgozik.

Egy másik probléma, hogy a PSD 2 egy uniós direktíva, több mint 4000 pénzintézetre alkalmazandó – mindegy, hogy mikor (2018 január 13-ig vagy az elkövetkező másfél évben), de ez hatalmas terhet jelent a bankrendszerre. Itt informatikai és szabályozási projektekről van szó, ami komoly büdzsét és erőfeszítést igényel. Az egyelőre nem látható, hogy az az erőforrás-mennyiség hol lehet, aki ezt mind le tudja szállítani időre, így biztos, hogy késedelmek, félmegoldások lesznek emiatt az elején.

Hogy vált ilyen kaotikussá a helyzet?

Amikor elkezdődött a szabályozás, akkor még úgy tűnt, hogy ez egy jó ütemezés lesz. Az talán egyszerűbb lett volna, ha a PSD2 és a részletszabályok egyszerre születnek meg, 2015-ben azonban a két éves időtáv még valószínűleg kellően távolinak tűnt. Az RTS másfél éves türelmi időszaka a bankok kérésére került bele a szabályozásba, nekik ennyi időre van szükségük ahhoz, hogy egy ilyen horderejű szabályozásnak megfeleljenek. Mindennek a tetejébe a PSD1-gyel is hasonló problémák voltak, most pedig a korábbi gyakorlatokat követve született a szabályozás. Ugyanakkor azt is látni kell, hogy szükség van a PSD2-re, hiszen eddig a TPP-k szabályozása nem volt megoldott, és egyben segíti az open banking terjedését.

A direktíva önmagában egy jó dolog, hiszen egy magas kockázatú piacról van szó, amit szabályozni kell viszont mostanra már kialakult a jelenlegi helyzet. Elhalasztani nem valószínű, hogy fogják, nem is tudják, mert ehhez EU szinten kellene felülírni a szabályozást, ráadásul hátrányosan érintené azokat az országokat, ahol már létezik vagy elkészült a szabályozás és a bankok elkezdték a felkészülést. Kaotikus lesz a következő időszak, ez tagadhatatlan, de szükséges. A magyar hatóság egyébként nagyon szigorúnak ígérkezik, a cél ugyanis az, hogy innovációra kényszerítsék a bankokat, az open banking pedig ennek lehet az alapköve. A bevezetést követően akkora bírságot helyeztek kilátásba a nem alkalmazkodóknak, hogy a bankoknak nem éri majd meg inkább veszteségként elkönyvelni, de nem csinálni semmit – legalábbis ezt ígérte az MNB.

A PSD2 rengeteg biztonsági szabályozást ír elő, de mennyire biztonságos ez valójában, még az új intézkedésekkel is?

Volt egy olyan kritikája a PSD2-nek és az RTS-nek is, hogy a biztonsági elemeket túlszabályozza. A bankok úgy látják a jelenlegi helyzetet, hogy felvállalható kockázatot érzékelnek, a jelenleg meglévő megoldásokat illetően ehhez megfelelőnek ítélik a biztonsági szintet. A problémát most az okozza, hogy különböző harmadik felek felé kinyitjuk a rendszert, így nyilván megváltozik a kockázat szintje. Valójában azonban ez igazából már eddig is létezett, hiszen már vannak olyan fizetéskezdeményező harmadik szolgáltatások, amik – screenscraping segítségével – „ráülnek” a netbankra, és az ügyfél loginjával rendelkeznek, ugyanakkor az már nem biztos, hogy erről az ügyfél maga tud is. A PSD2 szigorít ezen, a TPP-t felügyelet alá rendeli, és ezek után például nem tárolhatják a felhasználói jelszavakat, és auditálhatóvá válnak a felügyelet által.

Ráadásul a bankok számára születőben vannak a nemzetközi sztenderdek és gyakorlatok, amik tovább növelik a biztonsági szintet. A PSD2 eredménye ugyanakkor biztonságtechnikai szempontból vegyes – vannak ugyanis elemek, amik önmagukban túlzóak. Ezért vannak az RTS által meghatározott kivételszabályok, amelyek alkalmazhatósága ugyan külön technikai kihívás, ugyanakkor az eredeti célt, mely szerint legyen a pénzforgalmi piac biztonságosabb, kielégíti. Ennek a szabályozásnak a bankoknak és TPP-knek egyaránt meg kell felelniük, vagyis a TPP-kkel szembeni biztonsági elvárások is számonkérhetővé vállnak. Ráadásul attól, hogy kinyitják a bankokat, még nem lehet másra használni az adatokat, a TPP így például nem használhatja másra az ügyfél adatait, csak arra, amire a dokumentált tevékenysége indokolja, ezt pedig az ügyfélnek is előbb el kell fogadnia. A kép ugyanakkor még mindig nagyon vegyes, a biztonsági megoldások tekintetében számos különböző elképzelés van.

Mik azok a konkrét, már körvonalazódott problémák, amin elcsúszhat a bevezetés?

Ha egyet kell említeni, az a standardizálás hiánya, ugyanakkor személyesen azon a véleményen vagyok, hogy nem lesz ilyen. A PSD2-nek az alapvető iránykitűzése az, hogy segítsük a versenyt a bankok és a TPP-k tekintetében is. A bankok tevékenysége erősen szabályozott, de a gyakorlatban nem standard: van például elég sok magyar bank, akik mobilfeltöltést adnak, vagy autópálya-matricát lehet venni, ezek nem standard termékek, ezek kezelése ráadásul teljesen különbözik is az egyes bankok között. Ezt nem lehet standardizálni, gyakorlati tapasztalat, hogy ilyen standardizációk az egyes bankokon megbuknak, akik már implementáltak valamilyen megoldást, amitől nem szeretnének eltérni.

Elég sok részt lehetne ugyanakkor standarddá tenni, például a kommunikáció módját, az ügyfélhitelesítési folyamatokat, sőt, bizonyos szolgáltatási köröket ki is lehetne jelölni, vagy az ISO 20022 standard elemeinek alkalmazását rögzíteni lehetne. Ezt viszont az RTS legfrissebb változatából sajnos törölték. A következő nagy problémát a bankok saját rendszerei okozzák, az eddigi zárt struktúrában működő rendszert ugyanis most ki kéne nyitni – bár eddig is ezen rendszerek funkcióit osztotta meg a netbank, de sokkal zártabb, kontrolláltabb módon. Ez nem egy egyszerű feladat, ráadásul ezeknek a technológiája is lehet problémás: más válaszidő, más működés, és akkor még az azonnali fizetésről nem is beszéltünk.

Erre technikailag készen áll Európa vagy épp Magyarország?

Ez egy nagyon, nagyon jó kérdés. Ha csak complianceben gondolkodunk, akkor azt a netbank kinyitásával elérhetjük, hiszen ugyanazt a szolgáltatást adjuk, és relatíve kis fájdalmú megoldás, de nem jövőbe mutató. Ha előre akarunk menni, akkor nagyon komoly változtatásokra lehet szükség, ez viszont problémás. A banki számlavezető rendszerek többnyire régiek, elavult technológiájúak, nem 24 órás és 7 napos megoldásra vannak kitalálva, ezeket kéne lecserélni, ami viszont hatalmas költség és időtáv a bankok számára. Ugyanakkor úgy vélem, meg fogja ugrani az európai bankrendszer a PSD2-őt compliance szinten egy 1,5-2 éves időtávon. Vannak bankok, akik már nagyon elől tartanak, ehhez viszont kell egy vízió, hogy 5-10 éven belül hova akarnak jutni. Én biztos vagyok abban, hogy még nem felkészültek, de azt látom, hogy minden bank igyekszik megtenni a szükséges lépéseket, hogy megfeleljen ezeknek az igényeknek.