Oblast platebních služeb na vnitřním trhu Evropské unie bude od ledna 2018 ošetřovat směrnice 2015/2366/EU, která je známější pod zkratkou PSD2 (Payment Services Directive). Norma primárně reflektuje rozvoj informačních a komunikačních technologií, jež mění prostředí a zaběhlé postupy realizace finančních transakcí. Vedle očekávané regulace nabízí také několik pozitiv, jež kladně hodnotí zástupci byznysu. Ti vítají zejména sjednocení pravidel napříč členskými zeměmi a potenciální rozšíření nabídky souvisejících služeb. "Směrnici PSD2 považujeme za velkou příležitost pro všechny společnosti poskytující finanční služby, nevnímáme ji jako ohrožení stávajících bank," říká Jan Zdeněk z technologické společnosti Arbes Technologies, která vyvíjí bankovní systémy.

Unijní směrnice PSD2 o platebních službách na vnitřním trhu staví na několika základních principech. Její tvůrci chtěli primárně zajistit silnější ochranu spotřebitele, posílit konkurenční prostředí, zjednodušit zavádění inovací v sektoru finančních služeb a standardizovat pravidla na unijní úrovni. Přínosy směrnice pro koncové uživatele naznačuje Michal Babouček ředitel společnosti GoPay: "Z pohledu platících uživatelů lze očekávat rozvoj nových platebních služeb se zaručenou ochranou. V konečném důsledku by mělo dojít ke snížení poplatků za platební styk."

Směrnice podle očekávání mnoha expertů rozšíří řady poskytovatelů nejrůznějších platebních služeb. Pro některé půjde o řekněme samozřejmé doplnění a rozšíření jejich stávajících aktivit. "Zajímavou příležitostí se může PSD2 stát také pro pojišťovny nebo poskytovatele telekomunikačních služeb, kteří mohou nejen přímo vstoupit na finanční trh, ale také vytvářet různé aliance a podniky typu joint venture s technologickými společnostmi nebo s tradičními bankami. Současně platí, že se nově do České republiky mohou na základě jednotné evropské licence dostat zahraniční zprostředkovatelé platebních nástrojů, kteří již fungují v jiných zemích EU," dodává Michaela Tokárová, konzultantka společnosti Ernst & Young.

PSD2 v ČR

Transpozici směrnice Evropského parlamentu a Rady 2015/2366 z 25. listopadu 2015 o platebních službách na vnitřním trhu do lokální legislativy musí členské státy EU zvládnout do 13. ledna 2018.

Do platebního byznysu se mohou teoreticky zapojit subjekty z nejrůznějších odvětví. Odborníci ale očekávají, že tak učiní pouze malá část. Zbývající využijí nabídky zprostředkovatelů a efekty vysoké míry konkurence mezi nimi. "Pro obchodníky se otevírá možnost napojit se na bankovní domy napřímo a služby třetích stran nevyužívat. Vzhledem k velmi přísným pravidlům regulace, vysokým nákladům na implementaci potřebných nástrojů a požadavkům jiných norem, například GDPR, tuto možnost využije jen menší část z nich," říká k tématu nových hráčů na trhu platebních služeb Barbora Tyllová, manažerka společnosti PayU.

Předchozí generace směrnice PSD z roku 2007 si v mnoha ohledech kladla podobné ambice jako její nástupkyně. Praktickou aplikaci doprovázely nejrůznější nedostatky. Umožňovala například použití rozdílných poplatků za platební služby v jednotlivých členských státech. Požadovaná míra standardizace řešení a zabezpečení byla ze strany operátorů za svou nedostatečnost rovněž kritizována.

 

PSD2 v tuzemské legislativě

Transpozici směrnice Evropského parlamentu a Rady 2015/2366 z 25. listopadu 2015 o platebních službách na vnitřním trhu do lokální legislativy musí členské státy EU zvládnout do 13. ledna 2018. Tuzemští zákonodárci by celý legislativní proces mohli stihnout ještě do podzimních voleb.

V březnu letošního roku předložila vláda návrh zákona o platebním styku, který zpracovalo ministerstvo financí. Požadavek na jeho odsouhlasení v rámci prvního čtení Poslanecká sněmovna zamítla. Návrh měly určené výbory projednat do konce května. Schválení zákona o platebním styku ukončí účinnost jeho v podstatě stejnojmenného předchůdce z roku 2009.

Ondřej Brom, ředitel pro bankovní segment ve společnosti Cleverlance, k tématu dodává: "Vzhledem k tomu, že legislativa definuje spíše principy než způsob naplnění, bude zajímavé sledovat i to, zda a jak budou celý proces usměrňovat Česká národní banka či Česká bankovní asociace. Předpokládáme, že se banky s pomocí ČBA buď domluví na standardizovaném rozhraní, které budou všichni na českém trhu využívat, nebo do hry vstoupí více agregátorů, zprostředkovatelů."

 

Technické a organizační aspekty

Směrnici PSD2 doprovází jedenáct dokumentů, které specifikují její technické a regulatorní požadavky. Ne všechny standardy a postupy jsou ale ve finální podobě, povětšinou jde stále o pracovní verze. V technické části normy figuruje šest dokumentů kategorie RTS - Regulatory Technical Standards. Tematicky se věnují oblastem zabezpečení, autentizace, výměny informací, metodické spolupráci v oblasti dohledu nebo komunikace s centrálním elektronickým registrem. Účinnost regulatorních technických standardů se nekryje s datem účinnosti směrnice.

"Pokud má banka vybudovanou servisně orientovanou architekturu, dokáže velmi snadno otevřít další kanál a vystavit do tohoto kanálu API pro služby vyžadované směrnicí PSD2. Každopádně banky však budou muset zajistit vysokou bezpečnost svých systémů, a to nejen z důvodu PSD2, ale také proto, že se zcela jistě nově otevřená veřejná rozhraní stanou terčem různých útoků," dodává Ondřej Brom ze společnosti Cleverlance.

Směrnic z EU přichází více

Záplava novinek, která se chystá od roku 2018 díky řadě směrnic EU, je za celé čtvrtstoletí rekordní a vyžaduje komplexnější přístup než jen implementaci mnoha úprav. Mezi hlavní tahouny změn patří především směrnice MiFID2 se svojí sestrou MiFIR a bratříčkem PRIIPs, jehož účinnost již byla několikrát odložena. Tuto trojici pak doplňují směrnice PSD2 pro platební styk a GDPR pro ochranu osobních dat.

rkp

Relevantní postupy pro orgány a účastníky trhu platebních služeb ošetřuje pětice dokumentů označovaných jako "Guidelines" neboli průvodci. Věnují se mimo jiné procesům reklamace, pojištění transakcí, bezpečnostní certifikace nebo autorizace platebních institucí.

K tématu standardizace Barbora Tyllová ze společnosti PayU pro ČR a SR, dodává: "Z pohledu bank může PSD2 znamenat příležitost i ohrožení. Nejzajímavějším příkladem ze zemí, kde PayU působí, je vstřícný postoj bank v Polsku, které se vzájemně dohodly na jednotném polském API, čímž se přístup k datům pro tzv. fintech společnosti zásadně zjednoduší. Některé banky zase vytváří jednotné API pro všechny své pobočky v různých zemích. Na českém trhu to zatím na vzájemnou dohodu bank nevypadá."

Aplikace směrnice PSD2 ovlivní všechny stávající i potenciální hráče na trhu platebních služeb ve čtyřech oblastech. Budou muset přezkoumat veškeré smluvní podmínky a závazky, aby dostáli požadavkům nové normy. S tímto krokem souvisí také přenastavení procesů, a to vnitřních i vnějších. Technologické systémy bankovních institucí musí od ledna 2018 počítat s přístupem registrovaných a autorizovaných poskytovatelů platebních služeb. Tato změna s sebou nese jistá rizika, která jednotlivé subjekty ošetří implementací organizačních a technických opatření. "Oproti všeobecně sdílenému názoru považujeme vytvoření technologického API pro přístup externích subjektů k platební infrastruktuře (PISP) a transakčním informacím (AISP) za menší a snazší ze souvisejících technologických úkolů. Ten zásadní představuje požadavek na zachování transakční bezpečnosti a důvěrnosti v nové architektuře," komentuje technické požadavky normy Jan Zdeněk ze společnosti Arbes Technologies.

Norma také více zreguluje tvorbu a výši poplatků za platební transakce, případně pozmění institut dne připsání na účet. Jeden z očekávaných ekonomických dopadů PSD2 popisuje Viktor Šanc, konzultant společnosti Ernst & Young: "Vztah mezi kartovými operátory a bankami ovlivní zejména to, že směrnice dále omezuje poplatky za použití karty. Současně dává směrnice bankám možnost obejít se v některých případech i bez spolupráce s kartovými operátory při zachování obdobného standardu služeb pro jejich klienty. Očekáváme, že nejvíce tyto vztahy ovlivní nárůst počtu a typů subjektů na trhu a fakt, že mnohé z nových služeb karty vysloveně nahradí a sníží kontakt mezi bankami a obchodníky."

Provozovatelé alternativních platebních systémů získají díky směrnici možnost nabízet a provozovat nové služby. Jde například o možnost nepřímého udělení platebního příkazu Payment Initiation Service. Transakce v takovém případě probíhá zprostředkovaně v aplikaci třetí strany bez přístupu uživatele k jeho bankovnímu kanálu, nejčastěji internetovému bankovnictví. Informace o různých bankovních účtech zase mohou soustředit služby typu Account Information Service.

 

Výhody, povinnosti a rizika

"Poskytovatelé platebních služeb se tak vůči bankám ocitnou ve výhodnější vyjednávací pozici a nebudou muset akceptovat některé současné podmínky a povinnosti, které nyní dopadají na obchodníky a tím i na platící," říká Michal Babouček ze společnosti GoPay. A doplňuje: "Na druhé straně i poskytovatelům platebních služeb přinese směrnice nové odpovědnosti a povinnosti. Budou nuceni zajistit bezpečný proces platby a budou dále povinni garantovat přenos uživatelských osobních dat přes zabezpečené kanály. Poskytovatel, který nezabrání podvodnému jednání nebo který nebude mít platební proces ošetřený silnou mandatorní autentizací, bude nově odpovědný za případnou vzniklou škodu a bude povinen ji platícímu uhradit."

Na potenciální rizika v podobě neprověřených partnerů, zprostředkovatelů upozorňuje také Viktor Šanc ze společnosti Ernst & Young: "Pro obchodníky bude nová regulace spíše výhodou, rozšíří nabídku partnerů v oblasti platebních služeb. Problematické však může být to, že nové subjekty nebudou ještě prověřené trhem a některé z nich se mohou ukázat jako nespolehlivé."

 

Článek byl publikován v ICR revue 6/2017.