facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 3/2020 , Banky a finanční organizace

Otevřené bankovnictví, PSD2, open API a BankID

aneb Změna paradigmatu ve finančním sektoru

Petr Hingar


EtneteraPosledních několik let bylo ve znamení snahy o implementaci principů vycházejících z regulace známé jako PSD2, respektive ve snaze o vytváření nových open bankingových řešení a komunikací skrze open API. Jako první uchopily tuto problematiku fintech startupy, jejichž vstup na trh finančních služeb byl spojen s velkými očekáváními. Nicméně zatím se zde nedá mluvit o explozi na trhu, jak bylo v počátcích „fintech revoluce“ predikováno.


V dnešní době stojíme na prahu velké adopce nových technologií a služeb bankovním sektorem. Banky se totiž nesmířily s faktem, ke kterému je PSD2 pomalu odsuzovala. A to stát se pouze poskytovatelem finálních produktů. Naopak, bankovní sektor se nadechuje k tomu, aby ve svých řešeních adoptoval mezisektorový ekosystém sdílení údajů. To znamená nejen nabízet vlastní služby, ale také poskytovat nabídku služeb a produktů třetích stran a stát se tak poskytovatelem komplexního customer journey svým zákazníkům. Cílem tohoto článku je říct si něco více o tom, co vlastně metodika PSD2 přináší a kde jsou její benefity po dvou letech její platnosti.

Klíčové pojmy:

PSD2 ‒ směrnice Evropské unie obecně se zabývající platebními službami. Obecně lze říct, že přikazuje bankám otevřít svoje API a zpřístupnit tak uživatelům různé funkce bankovního ekosystému.
Openbanking ‒ princip, na základě kterého má klient banky právo získat svoji historii transakcí, zadat platební příkaz, získat informace o kurzech atd. A co je nejdůležitější ‒ spotřebitel může tímto způsobem ke svým datům „pustit“ třetí stranu.
Open API ‒tento pojem představuje interface pro výměnu dat mezi různými systémy. PSD2 v rámci svých regulatorních požadavků definovala tři různá rozhraní pro tyto interface ‒ AIS, PIS a CIS.

Co se vlastně od přijetí PSD2 dodnes stalo? Začněme základními pojmy a pohledy, které jsou s touto problematikou spojené:

Openbanking je nejobecnější pojem. Znamená bankovní adopci přístupu, který je v IT již léta standardem. A to je „API first“ uvažování. Moderní systémy jsou stavěny jako platformy s otevřeným API, což umožňuje vytvářet rychle ekosystémy partnerů a dále se rozvíjet. Openbanking tedy říká, že i bankovní služby by měly být dostupné přes API. Před deseti lety musel zákazník s platebním příkazem dojít na pobočku své banky. Dnes s ním musí do internetové či mobilní aplikace, kterou mu jeho banka poskytla, a tam jej naklikat. Je to sice mnohem jednodušší, ale stále je tu otázka, proč nemůže svůj příkaz zadat přes API? A proč jej nemůže automaticky zadat aplikace třetí strany, které k tomu dá právo? To by byl openbanking v praxi ‒ skvělá myšlenka, která ovšem v praxi naráží na dva problémy.

API bez dokumentace

Náš tým se v nedávné době zúčastnil Pražského Bankathonu a tam si fyzicky osahal, jak tato API vypadají i z pohledu jiných IT společností a bank. A rozhodně to není nic, co by práci IT týmů bank zjednodušovalo. Základním problémem je, jak říká zástupce API teamu jedné z bank, že „PSD2 jako takové mandatorně vyžaduje, aby existovalo API, ale už k němu nevyžaduje dokumentaci.“ Výsledkem je tudíž API bez dokumentace, které reflektuje pohled každé jedné společnosti.

Z toho jasně vyplývá, že metodika PSD2 na jednu stranu definuje typy těchto API (AIS, PIS a CIS), ale na druhou stranu neřeší, jak mají toto API vypadat ani jak se vůči nim bude uživatel autorizovat. V různých zemích dochází k určitým snahám o standardizaci, ale ty již jsou čistě soukromého charakteru. Roztříštěnost API je primárně problém vývojářů. S tím se lze poprat a nakonec implementovat třeba 10 API pro největší české banky a bude to nějak fungovat. Ale vlastně ne tak docela. Protože je tu ještě problém identifikace zákazníka.

Jednotlivé banky vyžadují zcela odlišné přístupy k autentizaci uživatele. Někde je nutné mít mobilní klíč, někdy stačí vícefaktorová SMS, někde si musíte založit účet na portálu a k němu smlouvu, atd. A to je zásadní problém, který se dotýká uživatelů a zásadním způsobem omezuje použitelnost aplikací využívajících openbanking.

A právě proto tu máme třetí pojem ‒ BankID. Ukazuje se, že aby vše fungovalo, musí se banky dohodnout na autentizační identitě, kterou budou vzájemně uznávat. Příkladem úspěchu jsou severské země, kde vznikla BankID natolik úspěšně, že je používá i státní správa. Bez BankID dnes například občané v Dánsku v kontaktu se státem prakticky nic nevyřídí a jeho vlastnictví je stejně podstatné jako u nás občanský průkaz. BankID slouží jednak jako identifikace pro jednotlivá API bank, ale i jako poskytovatel identity pro e-shopy a další e-commerce subjekty.

Aktuální stav v ČR

Jak jsme uvedli v úvodu, s implementací PSD2 se očekávala fintech exploze na trhu tak, jak se to stalo například ve Velké Británii. Realita taková ale bohužel zatím není. Je tedy na místě otázka, proč tomu tak je. Důvodů je několik, stojí za tím hlavně složitost získání jedné z nutných licencí od ČNB a zároveň nízká adopce těchto mechanismů bankovním sektorem jako takovým. Aktuálně některou z licencí ČNB pro přístup k API bank získaly tři startupy (Spendee, GoPay a Zonky).

Jednotlivé banky se také zároveň snaží samy spouštět vlastní multibanking řešení. Příkladem je možnost přidat si externí účet v aplikacích ČSOB, KB a dalších, nebo například multibanking platební tlačítko České spořitelny.

Když se vrátíme k nízké adopci těchto principů, narazíme na klíčový problém, kterým je jasně definovaná a jednotná identita klienta. Tady se ale blýská na lepší časy s projektem SONIA (https://www.bankovni-identita.cz). Zákony umožňující jeho fungování podepsal po rekordně krátkém legislativním procesu prezident a nic tak nebrání dalšímu rozvoji.

SONIA má ambice stát se národním poskytovatelem identity pro:

  • Banky
  • Státní správu
  • Další subjekty, které vyžadují ztotožnění uživatele

Pro drtivou většinu úkonů tak může nahradit občanský průkaz. Ve výsledku by se tak ke každému login formuláři přidalo tlačítko „Přihlásit se českou bankovní identitou“. Systém dokáže zajistit nejen ztotožnění, ale i další služby. Jako příklad můžeme uvést poskytování informace o věku, nutné pro online prodej alkoholických nápojů.

Otevřené příležitosti dneška

Výše uvedené má obrovský potenciál změnit trh v mnoha oblastech. Banky mohou open API využít k budování služeb s přidanou hodnotou. Mohou je stavět pomocí partnerů a existujícího systému API. Tím, kdo je nejvíce ohrožen, jsou payment service provideři, tedy VISA, Mastercard apod. Ve chvíli, kdy na e-shopu pomocí API zadá uživatel okamžitou platbu z účtu, není důvod, aby obchodník odváděl část zisku karetnímu operátorovi. Zároveň lze pomocí dat, procházejících skrze toto API, docílit poměrně velké personalizace nabízeného, respektive zobrazovaného obsahu.

Kde tedy jsou ty největší příležitosti a možnosti spojené open API:

Interní použití API

V rámci interního použití umožňuje toto centralizované a specifické API vytvořit sadu větvených služeb využitelných napříč jednotlivými systémy banky, bez nutnosti pro každý systém vytvářet specifická volání a data.

Začlenění externích API

Začleněním externích API dostávají banky možnost doručení dat klientovi z jiných zdrojů ‒ například z jiné banky nebo od svého obchodního partnera. Tato varianta je nejblíže původnímu záměru definovanému v rámci metodiky PSD2. Zároveň ale bance neumožňuje vybudovat komplexní model spolupráce s klienty, protože banky jsou v tomto případě primárně konzumentem doručených dat.

Využití API pro komunikaci do externích kanálů třetích stran

V tomto modelu využití API banky vystupuje jako dodavatel dat o financích a produktech svého klienta. Nicméně zde je zásadní nevýhoda, že partner, který takto získaná data konzumuje, nad nimi de facto získává moc. Tedy nad tím, jak a kdy je zákazníkovi doručí.

Využití API platformy pro integraci služeb třetích stran

Právě zde vnímáme z pohledu bankovního trhu největší možný přínos a potenciál celé problematiky. Banky totiž získávají možnost vybudovat si poměrně silnou zákaznickou loajalitu a skrze svá řešení nabídnout komplexní customer journey. Respektive mohou z pohledu partnera nabídnout relevantní data pro zákazníkovo rozhodování, aniž by musely tato data získat přímo od něj.

„Zákazník banky může, díky možnostem open API, mít k dispozici jednoduché, ale komplexní aplikace. Takové, které budou mít schopnost pokrývat jeho potřeby v rámci běžného dne, jako je rychlý a přehledný pohled na finance, jednoduchá řešení day by day situací a požadavků. Banky tak mají šanci stát se partnerem a parťákem, kterého si zákazník bere vždy sebou. Zároveň jsou schopny dodávat svým partnerům trusted data, napomáhající zrychlení jejich obchodního cyklu,“ vysvětluje Jiří Štěpán, CEO společnosti Etnetera Activate.

Petr Hingar Petr Hingar
Autor článku působí na pozici Business Consultanta pro FSI segment ve společnosti Etnetera.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.