Доработан стандарт PSD2 по SCA и CSC:ожидание закончилось, а вопросы остались

Через двадцать месяцев после того, как Европейское банковское управление (EBA) выпустило первый проект, 13 марта был наконец опубликован нормативный технический стандарт (RTS) строгой аутентификации клиентов (SCA) и общей безопасной связи (CSC) в соответствии с пересмотренной Директивой о платежных услугах (PSD2). в Официальном журнале Европейского Союза.

Длительность процесса и количество итераций, необходимых для доработки стандарта, свидетельствуют о сложности разработки правил для установления равных условий для различных участников рынка при одновременном обеспечении технологической нейтральности, защиты прав потребителей и повышенной безопасности платежных сервисов. .

Завершение RTS является важной вехой, которая даст компаниям гораздо больше ясности и уверенности в том, как продвигать свои стратегические программы и программы соответствия PSD2. Тем не менее, окончательный RTS по-прежнему оставляет открытым ряд важных вопросов, особенно в отношении разработки и тестирования интерфейсов доступа для сторонних поставщиков (TPP).

Установление общих стандартов связи

Окончательный текст RTS, который остается таким же, как версия, опубликованная Комиссией ЕС в ноябре прошлого года, будет применяться полностью с 14 сентября 2019 года. Однако с 14 марта 2019 года поставщики платежных услуг, обслуживающие счета (ASPSP), должны будут сделать технические характеристики своих интерфейсов доступа (будь то выделенных или ориентированных на пользователя) доступными для TPP, а также предоставить им возможность тестирования программного обеспечения и приложений, которые TPP будут использовать для предоставления услуг своим пользователям.

В RTS указывается только то, что ASPSP должны обеспечить соответствие своих интерфейсов стандартам связи, установленным международными или европейскими организациями по стандартизации. Комиссия признает, что отсутствие более подробных требований является проблемой, но считает, что участники рынка обязаны работать вместе над выработкой решения, которое устроит все стороны.

Чтобы облегчить это, Комиссия предложила создать группу по оценке интерфейса прикладного программирования (API EG) для оценки спецификаций стандартизированных API, чтобы гарантировать их соответствие PSD2 и другому соответствующему законодательству, включая новый Общий регламент по защите данных (GDPR). и удовлетворить потребности ASPSP, TPP и пользователей платежных услуг (PSU). Комиссия ЕС, ЕБА и Европейский центральный банк (ЕЦБ) будут наблюдателями в API EG, но при необходимости будут оказывать помощь участникам рынка.

Рекомендации и руководства, выпущенные API EG, будут направлены на создание гармонизированных рыночных практик в государствах-членах ЕС. Достижение этого не только сократит время и затраты на внедрение ASPSP и TPP, но также будет иметь решающее значение для обеспечения эффективной международной конкуренции на основе продуктов и услуг с поддержкой PSD2.

Общие стандарты связи также могут помочь национальным компетентным органам (NCA) в определении того, следует ли освобождать отдельных ASPSP, если они решили разработать выделенный интерфейс, от внедрения резервного механизма (т. канал), на который могут положиться TPP, если такие выделенные интерфейсы не соответствуют общепринятым рыночным критериям приемлемости или недоступны более 30 секунд.

Это может помочь смягчить, хотя и лишь частично, некоторые опасения, высказанные EBA относительно того, что положения окончательной версии RTS, включая стресс-тестирование, управление исключениями и мониторинг производительности выделенных интерфейсов, влекут за собой значительные и чрезмерные дополнительные административные и операционные расходы. нагрузка как на EBA, так и на NCA.

EG API начала свою работу в январе с целью выпустить окончательное руководство и рекомендации по стандартам API к июню 2018 года, после чего она сосредоточится на определении принципов и подхода высокого уровня для общей структуры тестирования интерфейсов доступа.

Пора фирмам подготовиться

В RTS указывается только то, что ASPSP должны обеспечить соответствие своих интерфейсов стандартам связи, установленным международными или европейскими организациями по стандартизации. Комиссия признает, что отсутствие более подробных требований является проблемой, но считает, что участники рынка обязаны работать вместе, чтобы разработать решение, которое будет работать для всех сторон.

Чтобы облегчить это, Комиссия предложила создать группу по оценке интерфейса прикладного программирования (API EG) для оценки спецификаций стандартизированных API, чтобы гарантировать их соответствие PSD2 и другому соответствующему законодательству, включая новый Общий регламент по защите данных (GDPR). и удовлетворить потребности ASPSP, TPP и пользователей платежных услуг (PSU). Комиссия ЕС, ЕБА и Европейский центральный банк (ЕЦБ) будут наблюдателями в API EG, но при необходимости будут оказывать помощь участникам рынка.

Рекомендации и руководства, выпущенные API EG, будут направлены на создание гармонизированных рыночных практик в государствах-членах ЕС. Достижение этого не только сократит время и затраты на внедрение как ASPSP, так и TPP, но также будет иметь решающее значение для обеспечения эффективной международной конкуренции на основе продуктов и услуг с поддержкой PSD2.

Общие стандарты связи также могут помочь национальным компетентным органам (NCA) в определении того, следует ли освобождать отдельных ASPSP, если они решили разработать выделенный интерфейс, от внедрения резервного механизма (т. канал), на которые TPP могут положиться, если такие выделенные интерфейсы не соответствуют общепринятым рыночным критериям приемлемости или недоступны более 30 секунд.

Это может помочь смягчить, хотя и лишь частично, некоторые опасения, высказанные EBA относительно того, что положения окончательной версии RTS, включая стресс-тестирование, управление исключениями и мониторинг производительности выделенных интерфейсов, влекут за собой значительные и чрезмерные дополнительные административные и операционные расходы. нагрузка как на EBA, так и на NCA.

EG API начала свою работу в январе с целью выпустить окончательное руководство и рекомендации по стандартам API к июню 2018 года, после чего она сосредоточится на определении принципов и подхода высокого уровня для общей структуры тестирования интерфейсов доступа.

Нужно ли швейцарским фирмам готовиться?

В ходе прошлогоднего опроса PSD2, проведенного в регионе EMEA, многие фирмы отметили, что отсутствие окончательной версии RTS создает проблемы при определении их более широких программ соответствия. Теперь, когда правила завершены, включая короткие сроки внедрения, европейским фирмам следует двигаться вперед на полной скорости не только в отношении своих коммуникационных интерфейсов, но и в отношении своих решений SCA.

Однако, с точки зрения Швейцарии, в настоящее время существует ограниченное давление на фирмы, чтобы они продвигали внедрение, поскольку на данный момент швейцарские фирмы не обязаны соблюдать PSD2, за исключением их дочерних компаний в ЕС, которые предлагают платежные услуги. Таким образом, швейцарские банки имеют право решать, делать ли свои API доступными для третьих лиц, и если да, то каким образом.

Мы считаем целесообразным тщательно оценить вышеупомянутые объявления EBA и особенно следить за результатами работы API EG, поскольку ожидается, что давление, в частности со стороны клиентов, вероятно, увеличится, как только услуга станет доступна в соседних государствах ЕС. Мониторинг реализации не только внесет ясность в открытый вопрос, касающийся разработки и тестирования интерфейсов доступа для ТТР, но также предоставит швейцарским банкам возможность заранее подготовиться к будущей открытой банковской экосистеме.

Поскольку те банки, у которых есть дочерние компании, предлагающие платежные услуги в ЕС, вынуждены соблюдать РТС уже к 14 сентября 2019 года, они должны будут внимательно следить за тем, как стандарты связи определяются и внедряются в ЕС. Кроме того, эти банки могут счесть более эффективным внедрение изменений во всем своем банке, чтобы использовать необходимые инвестиции в будущую открытую банковскую экосистему. В зависимости от динамики этого развития на швейцарском рынке вполне вероятно, что давление на других швейцарских игроков возрастет раньше, чем ожидается в настоящее время.

Этот блог был впервые написан Центром стратегии регулирования Deloitte EMA. Чтобы узнать больше об открытом банкинге, нажмите здесь.


банковское дело
  1. зарубежный валютный рынок
  2.   
  3. банковское дело
  4.   
  5. Валютные операции