Sdělení ČBA k přechodnému období PSD 2 a nového zákona o platebním styku

10.01.2018

Dne 13. 1. 2018 nabývá účinnosti zákon č. 370/2017 Sb., o platebním styku, kterým se do české legislativy provádí Revidovaná směrnice EU o platebních službách, známá pod názvem PSD2. Tato legislativa mj. umožňuje klientům využívat nové služby nepřímého dání platebního příkazu prostřednictvím poskytovatelů služeb nepřímého dání platebního příkazu (tzv. třetích stran). Banky budou povinny poskytnout (se souhlasem uživatele) těmto třetí stranám informace o platebním účtu klientů. Banky jsou připraveny klientům v tomto směru poskytnout potřebná vysvětlení a doporučení. 

K datu 13. 1. 2018, kdy nabývá účinnosti zákon č. 370/2017 Sb., o platebním styku, nebude účinná drtivá většina prováděcích předpisů EU (standardy, vyhlášky a doporučení), které jsou nutné pro zajištění fungování nových služeb, podléhajících regulaci. Není přesně známo, kdy tyto předpisy budou vydány a zda, či v jaké míře jejich znění bude odpovídat doposud zveřejněným návrhům těchto norem. Jde zejména o technické normy, stanovující pravidla pro silnou autentizaci a bezpečnou komunikaci mezi bankami, které vedou účty a tzv. třetími stranami, tedy poskytovateli platebních služeb (Regulatory Technical Standards on strong authentication and secure communication, dále jen „RTS“).

Nový zákon reaguje na tento stav pouze částečně tím, že ustanovení, týkající se silného ověření a poskytování nových platebních služeb se poprvé použijí až 18 měsíců (přechodné období) od vydání výše uvedených technických norem, tj. cca v září 2019.

Technické způsoby, jak přístup k účtu zajistit, existují v současné době dva – prostřednictvím zvláštního rozhraní umožňujícího strojovou komunikaci (API) a prostřednictvím strojového čtení uživatelského rozhraní (screen scraping). Ministerstvo financí i Česká národní banka považují vzhledem k výše uvedenému za preferovaný způsob zpřístupnění účtu třetím stranám API. API lze doporučit i s přihlédnutím k eliminaci rizikových faktorů spojených se sdílením osobních bezpečnostních prvků při využití screen scrapingu.

Česká bankovní asociace připravila a vydala tzv. Český standard pro open banking (dále jen „ČOBS“), který vychází z nového zákona a obsahuje technickou specifikaci pro přístup třetích stran k informacím a službám bank. Tento Standard obsahuje specifikace technického rozhraní, bezpečnostních principů a datového obsahu jednotlivých služeb, popisuje definice API pro podání informací o účtu, pro nepřímé dání platebního příkazu a pro ověření dostatku prostředků na konkrétním účtu.

Objektivně i přes veškerou snahu bankovní asociace o překlenutí přechodného období však není možné, aby Standard pokryl celou problematiku dosud neschválených technických norem (RTS) a nové postupy proto řeší pouze částečně. Je proto zřejmé, že v přechodném období do implementace RTS a dalších norem bude neúplný právní stav navozovat určité nejistoty. Otevřena zůstává například otázka certifikace třetích stran, hlášení incidentů, pojištění subjektů a jejich řádná identifikace vůči bankám a neexistuje ani evropský registr subjektů poskytujících platební služby.

Připravené postupy bank tak budou muset procházet úpravami s cílem je sladit s postupně vydávanými předpisy. Tento stav není optimální pro nikoho a přináší určitá rizika i pro klienty. Dne 19. 12. 2017 vydal Evropský orgán pro bankovnictví („EBA“) stanovisko (Opinion of the European Banking Authority on the transition from PSD1 to PSD2), ve kterém se vyjadřuje k přechodnému období a dává členským státům doporučení ohledně tohoto období. EBA také zdůrazňuje složitou situaci a apeluje na banky, aby věnovaly veškeré úsilí přípravě finálního řešení v souladu s komplexní legislativou. Toto stanovisko EBA předkládá zároveň regulátorům jednotlivých členských států s tím, aby ve stejném duchu komunikovali a uplatňovali závěry stanoviska v jednotlivých členských zemích. V následujících týdnech budou pokračovat intenzívní konzultace mezi ČBA, MF a ČNB za účelem koordinace dalšího postupu v přechodném období.

Klienti bank by proto v uvedeném období měli přistupovat k využívání nových platebních služeb obezřetně. Doporučujeme klientům i nadále a v nezmenšené míře dodržovat bezpečnostní pravidla používání internetových kanálů a v případě jakýchkoli pochybností kontaktovat jejich banku. Banky jsou připraveny jim v tomto směru poskytnout potřebná vysvětlení a doporučení.  

Kategorie: 
Tiskové zprávy