Psal se leden 2018, když vešla v platnost evropská směrnice PSD2. Politici si od ní slibovali především bezpečnější a agilnější online ban­kov­nic­tví. Kromě toho měla rozvázat ruce fintechům. Jenže realita se od předpokladů dramaticky lišila. Ačkoli nastartovala v oblasti online plateb určitý posun v myšlení, o zjednodušení nemohla být řeč. Právě mladé firmy brzy zjistily, že jim jejich služby znepříjemňuje celá řada technologických, byznysových a byrokratických překážek.

PSD2 – dobrá na papíře, horší v realitě

Zavedení původní směrnice bylo navíc velmi nákladné. Za implementaci API Open Bankingu a silnou autentizaci zákazníků (SCA) daly banky a další finanční instituce přes 8 miliard eur. PSD2 a prováděcí technická směrnice RTS navíc nechaly velký prostor k interpretaci jednotlivých nařízení. Banky tak byly nuceny utrácet další peníze za právní a realizační služby. Že většina účastníků finančního trhu cítí silnou hořkost, ukázala studie dopadů, kterou si Evropská unie nechala posléze vypracovat.

V čem konkrétně byl zakopán pes? Zmiňované fintechy musely podstoupit zdlouhavou certifikaci a bojovat s nejednotnými API bank. Jelikož ale banky nejsou finančně motivované poskytovat PSD2 rozhraní konzistentně a kvalitně, většina zvolila cestu nejmenšího odporu a implementovala naprosté minimum toho, co jim směrnice nařizovala. Legislativa navíc od bank nepožadovala žádný konkrétní uptime nebo rychlost odezvy. Dokonce ani minimální sadu dat, která má instituce v rámci PSD2 API poskytovat. Dodnes kvůli tomu firmy čelí neustálým bankovním obstrukcím.

Jak fintechy přicházejí o uživatele

Problém také spočíval v konzistenci dat mezi internetovým bankovnictvím a API rozhraním. U spousty bank chybí metadata o transakcích, nelze přistoupit ke všem historickým pohybům na účtu a zůstatky někdy nesedí kvůli odlišné metodě výpočtu. Tento rozdíl mezi informacemi v bankovnictví a těmi poskytnutými skrze API háže klacky pod nohy aplikacím, jejichž cílem je tyto informace pro zákazníka maximálně zpřehlednit.

Podle pravidel PSD2 se navíc uživatelé aplikací AISP fintechů (poskytujících zprostředkované informace o bankovních účtech klientů) musejí ověřovat u své banky skrze SCA každých 90 dní. To samozřejmě mnoho lidí obtěžuje, a fintechy tak neustále přicházejí o aktivní uživatele. Například pro aplikace zaměřené na personal wealth management je to obrovská komplikace.

Problémy napříč e-commerce

Pro firmy, které využívají API pro iniciaci plateb z bankovního účtu uživatele (PISP), není situace o nic lepší. Velmi často totiž platební instituce neposkytují v API všechny potřebné informace k tomu, aby se platba dala pohodlně založit. Často chybí aktuální zůstatek nebo měna, se kterou účet operuje. Stav platby je někdy na rozhraní nedostupný nebo silně zpožděný. Povinnost projít SCA při každé platbě navíc znemožňuje některé případy použití, například využití PISP API pro platbu věrnostními kartami.

Je poměrně paradoxní, že žalostný stav jednotlivých API přivedl na trh nové hráče. Takzvané open banking agregátory si totiž vybudovaly byznys na opravování chyb, které směrnice způsobila, a na sjednocení rozhraní. Dnes roztříštěné API pro firmy sjednocují a poskytují jim funkční rozhraní.

Problémy PSD2 ovlivnily i digitální tržiště a e-shopy. Povinné SCA sice zlepšilo uživatelskou bezpečnost, z důvodu špatného UX a složitého procesu ověření však zvýšilo počet nedokončených transakcí. Dopadová studie EU odhaduje, že se kvůli SCA ročně nedokončí transakce v celkové hodnotě 33 miliard eur. Všechny tyto chyby vedly Evropskou unii k aktualizaci legislativy v podobě nové směrnice PSD3. Ta má za cíl odstranit ty největší překážky, kterým fintechy v posledních letech čelily.

Větší ochrana, přehlednost a méně překážek

Nová směrnice přináší více požadavků především na banky. Ty budou uživatelům nově nuceny poskytovat rozhraní s přehledem všech souhlasů k přístupu, které udělili třetím stranám. Uživatelé budou mít navíc možnost jednoduše souhlasy odvolávat a teoreticky i obnovovat. Banky také musejí nově poskytovat veřejné informace o dostupnosti svého rozhraní a informovat třetí strany minimálně tři měsíce předem o jeho možné změně. Nově také musejí zpřístupnit testovací prostředí, ve kterém si fintechy budou moci svoji integraci vyzkoušet. Pro fintechy využívající AISP API navíc odpadá povinnost opakovaného ověření klienta po 90 dnech. To by mělo značně zvýšit uživatelskou retenci a zpříjemnit používání agregačních aplikací.

Změny potkaly i PISP API. Přibude funkce odložené platby, kterou lze díky API rovněž odvolat, dokud neproběhne. Odvolané platby půjde navíc znovu obnovit. Uživatel tím získá větší kontrolu nad svými plánovanými platbami.

Vráskou na jinak revidované PSD3 je stávající povinnost SCA při zakládání platby. Banka si zároveň během založení platby bude muset nechat fintechem nebo uživatelem potvrdit, že IBAN a jméno příjemce souhlasí. To sice snižuje riziko podvodů, komplikuje však už tak složité uživatelské rozhraní. Zatím totiž neexistuje žádný „rejstřík“, který by tyto informace obsahoval spárované a jehož pomocí by toto banka mohla vyhodnotit.

Z otevřeného bankovnictví do otevřených financí

PSD3 však není jedinou změnou, která fintechy a banky v blízké době potká. V Unii se aktuálně připravuje regulace Framework for Financial Data Access, zkráceně FIDA. Ta by měla otevřít rozhraní k většině finančních institucí a zpřístupnit data finančních produktů nad rámec bankovních účtů.

Zákazníci si tak budou schopni například porovnat výhodnost hypotéky ve srovnávacích aplikacích, aniž data zadají manuálně. Ta se totiž jednoduše načtou od stávajícího poskytovatele skrze API. Tato regulace naopak neovlivní běžné účty, životní spoření a skóring. Principy jako poskytování údajů na žádost uživatele nebo možnost odvolání souhlasu má FIDA společné s klasickým PSD3.

Na rozdíl od PSD by však FIDA měla přinést i určitou povinnou standardizaci v rámci specifikace datových modelů a rozhraní API. To by mohlo vést k větší jednotě digitálního ekosystému. I přesto pravděpodobně zbude místo pro zmiňované API agregátory.

Změny? Nejdříve za dva roky

Na nová pravidla hry si však počkáme minimálně do konce letošního roku. Členské země mají na implementaci 18 měsíců, a tak lze očekávat, že legislativa vstoupí do ostrého provozu přibližně v roce 2026. Finalizaci doplňující legislativy FIDA evropští zastupitelé slibují k začátku roku 2025, její platnost tedy můžeme čekat také v polovině roku 2026. Vše ale závisí na probíhajících jednáních.

Pro banky a platební instituce to znamená, že budou muset do dvou let od přijetí PSD3 projít novou certifikací, která prokáže, že fungují v souladu se směrnicí. Ačkoli se tyto termíny mohou zdát jako daleká budoucnost, díky rozsáhlým zkušenostem s implementací PSD legislativy pro banky víme, že s přípravami je dobré začít už teď.

Vratislav Kalenda Autor je spoluzakladatel a CEO Appliftingu.