Evropská směrnice PSD2 otevírá možnost obsluhy bankovního účtu a provádění finančních transakcí i prostřednictvím systémů a aplikací, vytvořených a provozovaných subjekty mimo banku, která daný účet spravuje. Pro klienty evropských bank to znamená, že mohou například z jednoho rozhraní spravovat své účty u více různých bank, propojit svoje podnikové systémy s bankovním účtem pro automatické online párování plateb nebo třeba provádět úhrady faktur i další platby bez použití internetového bankovnictví. Směrnice PSD2 byla schválena Evropským parlamentem na podzim roku 2015, s povinností zavedení příslušných požadavků do legislativy členských států EU a zpřístupnění rozhraní pro napojení externích služeb do 13. ledna 2018.

Příliš volný standard

Přestože se směrnice PSD2 vztahuje na všechny banky působící na území EU, nechává jednotlivým členským zemím značnou volnost v její interpretaci. To vede k situaci, kdy se jednotlivá řešení bankovních API v řadě ohledů rozcházejí a není tedy jednoduše možné převzít existující řešení pro nasazení v jiné zemi.

Svoje rozhraní pro přístup k bankovním službám potřebovala vyvinout také slovenská ČSOB, jedna z největších bank na slovenském trhu. Pro realizaci nového API se rozhodla využít služeb společnosti Capgemini Česká republika, se kterou slovenská ČSOB během několika posledních let spolupracovala již na řadě dalších velkých projektů. „Vzhledem k rozsahu projektu a napnutému časovému harmonogramu pro splnění legislativních milníků jsme vybrali dodavatele, u kterého jsme si byli jisti, že bude projekt realizován včas a v požadované kvalitě,“ říká Miroslav Strapoň, ředitel Digitální divize slovenské ČSOB, a dodává: „Zahájení projektu komplikovalo i teprve probíhající schvalování příslušné legislativy a chybějící standardy, stejně jako další základní předpoklady jako registr EBA nebo regulačně-technické standardy – RTS).“

Společnost Capgemini se proto v projektu pro slovenskou ČSOB musela vypořádat i s řadou nevyřešených otázek, které se měly vyjasnit až se schválením příslušné legislativy a také ustálením jejího výkladu místním regulátorem. Stejně tak bylo již od počátku jasné, že se celé řešení bude následně upravovat na základě dalších nařízení, o kterých ale v do­bě zahájení projektu nebyly známé žádné konkrétní informace. „Jediné řešení bylo úzce spolupracovat s bankou a probírat potenciální změny už při pouhých zmínkách o možných dalších nařízeních,“ vysvětluje Jan Špringer, projektový manažer ve společnosti Capgemini Česká republika.

Velmi zodpovědným rozhodnutím hned na samém počátku projektu byl proto už jen výběr standardu, podle kterého bude nové rozhraní vytvořeno a integrováno se systémy banky. Musel to být standard, na kterém se následně shodne většina bank na Slovensku, ale v do­bě zahájení projektu žádný takový ve finální verzi neexistoval. Opět zejména kvůli nejasné legislativě. „Vybrat si na začátku projektu použitý standard, kterým se budeme řídit, znamenalo naskočit do některého z rozjíždějících se vlaků a začít připravovat řešení podle toho, co by asi mohlo být nakonec schváleno. Ostatní bylo nutné dořešit za běhu,“ popisuje Jan Špringer a dodává: „Vydat se vlastní cestou by znamenalo vše řešit samostatně úplně od začátku, což by přineslo určitě ještě větší komplikace a nejistotu.“

Napojení API na nové kanály

Podobně jako v každé jiné tradiční bance je také ve slovenské ČSOB historicky nastaveno mnoho různých kanálů, prostřednictvím kterých se potřebná data dostávají ke klientům. Nejde přitom jen o rozlišení technologické, na komunikaci přes mobilní, webové nebo offline aplikace, ale také o rozdělení retailových a korporátních klientů. Současně se ale datové kanály, spojené s prováděním platebních operací, sbíhají v transakčním systému, což do jisté míry vytvoření jednotného API usnadňuje.

Řešení navržené Capgemini vycházelo z detailní znalosti prostředí slovenské ČSOB a spočívalo ve vytvoření logiky a transformace pro PSD2 nad datovou vrstvou komunikačních kanálů. To umožnilo vyhnout se časově a technologicky náročným zásahům do core systémů banky. Pro integraci API s dalšími systémy, které poskytují data mimo banku, byly využity již existující komponenty. Jelikož se díky efektivnímu návrhu architektury podstatná část nového řešení odehrává mimo samotnou banku, bylo například i snadnější navrhnout a vytvořit potřebné hardwarové prostředí.

Odvážná volba cloudového řešení

Vzhledem k velmi krátkému termínu na realizaci projektu a značně omezené možnosti vytvořit prostředí pro splnění požadavků na rozhraní dle PSD2 navrhla společnost Capgemini Česká republika využít pro provozování nového API cloud. Jako nejvhodnější cloudové prostředí byla zvolena platforma Microsoft Azure, se kterou má Capgemini mnoho zkušeností i z dalších projektů, včetně některých řešení pro ČSOB.

Platforma Microsoft Azure také odpovídá nejnáročnějším požadavkům na zabezpečení i splnění legislativních a regulačních požadavků (GDPR a další), což je pro projekty tohoto typu zcela zásadní. „Volba cloudu byla docela odvážná, ale na druhou stranu logická – nejen s ohledem na velmi omezený čas pro vystavení funkčního API. Zkrátila nám a zjednodušila tvorbu různých prostředí, když jsme například prostředí pro vývoj vybudovali během jediného týdne a následně jsme byli velmi rychle schopni doplňovat další potřebné komponenty. Nasazení API dle PSD2 pro slovenskou ČSOB byl vlastně ideální případ, který vidíme na každé marketingové prezentaci migrace do cloudu,“ vysvětluje Jan Špringer z Capgemini Česká republika.

Slovenská ČSOB přistupuje k využívání cloudových řešení pragmaticky. Vždy zvažuje jak přednosti, tak nevýhody spojené s konkrétním řešením pro daný projekt. V současné době je ale již většina nových systémů ČSOB budována v cloudu a postupně jsou revidovány i stávající systémy, z nichž řada je rovněž přesouvána do cloudu.

Rychlá realizace se změnami za pochodu

Základní vývoj nového API pro splnění požadavků regulace PSD2 trval zhruba 6 měsíců. Následoval 3měsíční interní pilotní provoz a pak už bylo možné zahájit integraci prvního řešení třetí strany, postaveného na novém cloudovém API slovenské ČSOB. „Krátký termín pro zavedení nového API jsme dokázali dodržet navzdory mnoha změnám, ke kterým během projektu docházelo. Zásadní byla možnost vše pravidelně diskutovat s příslušnými týmy v bance. I díky úzké kooperaci v projektu od testingu po business se nám nakonec podařilo API vystavit včas, aby ČSOB splnila všechny legislativní požadavky,“ dodává Jan Špringer, projektový manažer ve společnosti Capgemini Česká republika.

Další úpravy na řešení API probíhají i v současné době, ať už z dů­vo­du nových regulačních požadavků, nebo v souvislosti s probíhající transformací a modernizací systémů a aplikací ČSOB. V cloudu provozované rozhraní je určené licencovaným subjektům, které mohu jeho prostřednictvím poskytovat vlastní inovativní produkty klientům slovenské ČSOB. Tento ekosystém se postupně rozvíjí a jeho potenciál je například ve využití okamžitých plateb za produkty a služby, které mohou přímo konkurovat karetním transakcím.

V době schválení evropské směrnice byla oblast PSD2 a API pro napojení služeb třetích stran k bankovním systémům pro všechny nová a nikdo na ni nebyl odborníkem. Požadavky legislativy nebyly zprvu vůbec jasné a v průběhu projektu se oficiální stanoviska, a tedy i požadavky na řešení bankovního rozhraní, často měnily. Přesto se Capgemini a slovenská ČSOB postupnými iteracemi propracovali k úspěšně realizovanému řešení. „V našich projektech považujeme dodavatele za přidanou hodnotu, a proto od nich očekáváme nové nápady, návrhy i doporučení, jak postupovat. A právě tak probíhala i spolupráce se společností Capgemini Česká republika. Projekt byl realizován v rámci legislativních milníků a s ohledem na měnící se požadavky lze konstatovat, že naše původní očekávání byla z velké části překonána,“ uzavírá Miroslav Strapoň, ředitel Digitální divize slovenské ČSOB.

Vývoj nových bankovních aplikací a služeb je nekončící, průběžný proces, a slovenská ČSOB v současné době prochází rozsáhlým transformačním procesem. Na řadě projektů s ním spojených rovněž spolupracuje se společností Capgemini Česká republika.