Statusul PSD2 in Romania – migrarea catre open banking

Pentru a se asigura ca API-urile, care permit implementarea conceptului de open banking, sunt in linie cu cerintele de reglementare, Banca Nationala a agreat cu comunitatea bancara un termen pentru conformitate: 31 martie a.c.. „Este termenul final pana la care practic piata noastra ar trebui sa fie aliniata cu cerintele legale si API-urile ar trebui sa creeze aceasta experienta unica si fara frictiuni.”

___________

Zitec, in parteneriat cu Google Cloud si Finqware, au organizat in 25 februarie un webinar pe tema statusului PSD2 in Romania. La eveniment a participat si Raluca Micu, Director Plati – Directia Supraveghere din Banca Nationala a Romaniei.

Audienta a depasit toate asteptarile. Dupa aproape 70 de minute de la inceperea evenimentului, erau peste 90 de persoane in webinar, fata de 80 la startul acestuia.

Institutiile financiare din Romania sunt in plin proces de transformare digitala, un proces complex, de durata. In prezent, unul dintre factorii cei mai importanti care determina acest proces, este tocmai noua Directiva a Serviciilor de Plata (Payment Services Directive – PSD2) si conceptul de open banking implementat prin intermediul API-urilor (Application Programming Interface).

Reprezentantul autoritatii de supraveghere constata ca Directiva scoate din zona de confort institutiile de credit, in special, care sunt principalii jucatori din industria de plati, si ii obliga sa implementeze si sa dezvolte solutii care sa permita noilor actori non-bancari (Third Party Providers – TPP-uri) sa vina cu noi servicii de agregare conturi si initiere de plati.

„Apar dintr-o data de noi jucatori, mult mai agili, mult mai inovatori cu capacitati tehnice si cunostinte mult mai dezvoltate la momentul acesta fata de ce cunosteam in sistemul financiar traditional, care practic vin sa aduca un mare plus in tot ce inseamna modalitatea de accesare a serviciilor de catre client,” spune Raluca Micu.

„Vorbim de un ecosistem care este construit de la zero. Practic, este pentru prima oara cand putem vorbi despre plati care vor fi initiate de catre alte entitati decat banci, prin aceste API-uri, care presupun bineinteles dificultati din perspectiva de reglementare  dar si din perspectiva tehnica.”

Unde suntem

Aceste dificultati vin pe fondul transpunerii tarzii a PSD2 in legislatia nationala, Romania fiind ultima tara din UE care a facut acest lucru (in decembrie 2019).

„Ce am vazut noi, in mai bine de un an de cand lucram cu institutiile de credit pe zona aceasta, este vorba despre dificultati tehnice, unele dintre ele aduse poate si de reglementarea putin ambigua sau neclara in anumite locuri, altele si de provocarile aduse de sistemele traditionale ale bancilor care trebuiau upgradate si modernizate pentru a permite acest nou concept de open banking,” spune Raluca Micu.

„Nu este ceva ce s-a intamplat doar la nivel national, este un fenomen care s-a manifestat la nivelul tuturor statelor membre. Poate ca noi suntem putin mai in urma, pe fondul transpunerii tarzii a Directivei, dar suntem acolo, suntem in pas cu ce se intampla. Deci, nu este ceva neasteptat ce vedem acum, in contextul actual.

Stadiul in care ne aflam acum pe partea de API-uri este un fenomen care se manidesta la nivel European. Ce am identificat noi ca obstacole in API-uri, si am solicitat bancilor sa remedieze, sunt practic aceleasi aspecte care au fost identificate si la nivel European. Nu cred ca putem sa vorbim despre o diferenta din acest punct de vedere.”

„Pana acum, API-urile nu au fost extrem de accesate si utilizate neavand jucatori in piata. O sa avem si acesti TPP-uri care vor fi licentiati si autorizati de Banca Nationala, care de fapt sunt principalii consumatori ai API-urilor, sau asa  ar trebui sa fie,” a mai precizat reprezentantul BNR.

Succesul open banking-ului depinde de calitatea API-urilor

Aceasta este convingerea ferma, atat a autoritatii de reglementare cat si a reprezentantilor domeniului fintech.

„Nu cred ca putem vorbi de succesul conceptului de open banking fara a intelege ca aceste API-uri, acest canal de comunicare intre banci si TPP-uri trebuie sa fie la cele mai inalte standarde de Securitate dar si sa fie in linie cu aceste multitudini de reglementari, opinii, s.a.m.d. care spun ca trebuie sa asigure si sa permita  clientului o experienta placuta, fara frictiuni, sa nu blocheze si sa nu ingreuneze activitatea TPP-urilor in accesarea conturilor,” spune Raluca Micu.

Dumitru Taraianu, CTO Finqware: „Noi developerii avem o directiva nescrisa catre lumea bancara si este legata de calitatea API-urilor. Sa aveti grija de aceste API-uri pentru ca s-ar putea sa devina cartea de vizita a bancii in viitorul nu foarte indepartat!„

Alex Lapusan, CEO Zitec: „Toata lumea spune ca nu mai exista viitor pentru banci. Vin fintech-urile si ele o sa faca tot. Evident ca este o exagerare grosolana. Dar modalitatea acesta de a deschide aceste API-uri, de a le folosi ca pe o carte de vizita si instrumente de tip customer care for developer, pentru acesti TPP, reprezinta fix modul prin care ecosistemul bancar poate sa castige agilitate si poate sa vina cu valoare adaugata mult mai mare decat un fintech independent. Trebuie insa avut grija pentru ca a dezvolta si a mentine API-uri este un un sport un pic diferit fata de a  dezvolta o interfata web sau o aplicatie mobila.”

In mod traditional, departamentele de IT ale bancilor erau concentrate pe asigurarea securitatii sistemelor si aplicatiilor. In prezent, se pune tot mai mult accent si pe partea de dezvoltare. Or nu toate institutiile de credit au resursele necesare, astfel ca ideea unor parteneriate se impune tot mai mult.

Raluca Micu: „Avem exemple in piata de banci care au constientizat faptul ca nu au poate resursele necesare, si umane si know-how, ca sa poata sa faca acest upgrade, o inovatie sau o imbunatatire a unui proces la nivel intern. Acesta este motivul pentru care avem colaborari cu fintech-uri. Un exemplu este si partea aceasta de conectare pe API-uri. O banca nu se integreaza pe sine.„

O solutie de gestionare a open banking-ului este migrarea in cloud.

Razvan Enache – Senior Sales Executive, Google Cloud – CEE: „Exista reglementari autorizate EBA de servicii de outsourcing catre „third parties”. Noi punem la dispozitie o mapare intre cerintele EBA pe de o parte si serviciile si produsele Google Cloud tocmai pentru a ajuta bancile in a cataloga corect noile serviciile oferite din Google Cloud.

Sunt solutii hibrid care iti pernit sa tii datele sensibile in centrul de date al bancii  si sa te duci in cloud doar cu anumite componente care nu sunt sensibile si care iti permit sa te scalezi cu ele.”

Alex Lapusan: „Impartirea intre serviciile care sunt non-core / core este un prim aspect. Evident ca toate serviciile care sunt non-core pot fi puse lejer intr-un cloud public iar mai departe, celelalte componente – mai ales daca sunt gandite cumva separat, nu in modul clasic de solutie monolit – in functie de importanta datelor, pot fi analizate si eventual externalizate intr-un cloud public. De asemenea, exista si alte solutii. Poate sa existe si o varianta de cloud hibrid. Solutii tehnice exista. Este vorba mai degraba de o reticenta decat de o problema de reglementare sau tehnica.”

Termene pentru conformitate

Pentru a se asigura ca aceste API-uri sunt in linie cu cerintele de reglementare, Banca Nationala a agreat cu comunitatea bancara un termen pentru conformitate.

Raluca Micu: „Este un termen pe care noi l-am stabilit cu comunitatea bancara, respectiv 31 martie. Este termenul final pana la care practic piata noastra ar trebui sa fie aliniata cu cerintele legale si API-urile ar trebui sa creeze aceasta experienta unica si fara frictiuni.

Noi am informat institutiile financiare despre acest termen dar si despre faptul ca si noi, la randul nostru, avem un termen stabilit de Autoritatea Bancara Europeana cu privire la ce facem si cum ne asiguram ca piata noastra se conformeaza. Acela este finalul lunii aprilie a.c.

In caz contrar, vom face uz de toate instrumentele de supraveghere pe care le avem astfel incat piata sa fie conforma. Aceasta va fi preocuparea noastra in perioada imediat urmatoare. Din punctul acesta de vedere, cu siguranta vom utiliza toate masurile pe care le avem. Aici evident ca intra si sanctiunea financiara. Dar nu este prima masura. Nu cred ca acesta este “batul” pe care trebuie sa-l arate supraveghetorul pentru ca piata sa se conformeze. Cred ca trebuie sa intelegem cu adevarat dificultatile cu care se confrunta piata la acest moment.

Cu pasi mici, pana la urma ne apropiem de aceste termene care, practic, speram noi sa dea drumul cumva catre acest nou fenomen de open banking cu adevarat. Mai ales ca vedem deja in piata ca avem institutii de credit care incep sa furnizeze servicii de tip Account Information Service Provider (AISP) ceea ce inseamna ca incepem sa avem consumatori de API-uri.”

Ce urmeaza

Din punct de vedere al autorizarii TPP-urilor, reprezentantul BNR a spus ca „daca nu avem obstacole, s-ar putea sa avem primul TPP autorizat la final de martie si inceput de aprilie„.

Registrul TPP-urilor este functional din perspectiva tehnica. „El este in format de machine readable tocmai pentru a fi preluata informatia. Practic, lucrurile sunt gata, doar sa avem pe cine sa trecem acolo.

In ceea ce priveste supravegherea implementarii acestor API-uri ale bancilor, am intrebat reprezentantul BNR daca acest lucru se va face de un departament specializat in cadrul bancii centrale, sau de anumite firme de audit cu care banca centrala va incheia parteneriate in acest sens.

Raluca Micu: „Noi ca si supraveghetori ne bazam foarte mult pe rapoarte de audit. Din acest punct de vedere oricum exista stipulat in RTS (n.r. Regulatory Technical Standards) obligatia de a face un audit, cel putin anual, pe aceasta interfata. Variantele pe care le avem sau la care ne-am gandit sunt fie ca printr-un raport de audit sa se confirme conformitatea inclusive din perspectiva obstacolelor – nu neaparat din perspectiva securitatii interfetei – sau varianta pe  care au prezentat-o colegii de la Finqware, ca banca centrala sa apeleze la un provider care asta sa faca, sa testeze si sa valideze cele comunicate de catre banca.

Mai este un instrument extrem de important, pe care il avem la dispozitie, feed-back-ul TPP-urilor. Este practic un ghid pe care noi il administram  care spune clar ca orice jucator din piata poate sa adreseze sesizari cu privire la nerespectarea prevederilor legale. Asta este practic o prevedere legala pe care orice TPP ne-o poate semnala. Tu (banca) pot sa spui ca esti compliant dar mai devreme sau mai tarziu va veni cineva si spune ca lucrurile nu sunt chiar asa. Nu vad neaparat un departament specializat. Cred ca sunt alte instrumente la dispozitie pe care le putem accesa.”

Din perspectiva lansarii si a serviciilor de initiere de plati, lucrurile par putin mai dificile, dar cu siguranta nu imposibile.

Raluca Micu: „Nu stiu daca sunt neaparat dificil de implementat tehnic, in sensul de a te conecta la aceste API-uri cat ma gandesc ca, fata de zona de account information, aici intervine si comerciantul, cel care trebuie cumva sa ofere aceasta solutie, aceasta modalitate de plata. Eu mai vad inca un jucator in plus si poate ca din acest considerent este putin mai dificil.”

Dumitru Taraianu: „Noi am inceput deja sa facem primele implementari de API-uri pentru initierea de plati si o sa le testam si pe cele de productie foarte curand.”

Invitatia/asteptarea BNR

Raluca Micu: „Noi speram sa vedem mult mai mult curaj din partea institutiilor de credit in a crea servicii inovatoare pentru clienti. Ii incurajam sa vina catre noi cu aplicatiile pe care vor sa le dezvolte.

Asta este valabil si pentru fintech-uri. Acestea au oricum canalul lor dedicat – Fintech Innovation Hub – pe care pot sa aplice oricand, sa prezinte solutiile pe care vor sa le dezvolte.

Speram sa ne miscam si sa inovam mai mult si sa nu ramanem doar in zona de open banking. Speram sa ne aliniem cu modalitatea de prestare a serviciilor financiare, si nu doar cele legate de PSD2, in zona digitala. Sa ne mutam poate catre conceptul de open finance, ceea ce vedem ca se intampla deja in statele mai active.”