Egy év és nyílnak az EU-s banki adatkapuk

Még szűk egy évük van a bankoknak összeszedni magukat: az Európai Bizottság nyilvánosságra hozta az erős ügyfél-hitelesítésre (Strong Customer Authentication - SCA) és a nyílt API-kra vonatkozó rendeletét. Eszerint legkésőbb 2019. március 14-ig kell a pénzintézeteknek rendszereikhez hozzáférést biztosítaniuk a külső fejlesztők számára - írja a FintechZone.

A nyílt banki API-kat valószínűleg nem sokaknak kell bemutatni, igaz az először az idei évre beharangozott nagy nyitás éles rajtja - nem túl meglepő módon - végül jövőre tolódott. Az iparág mindenesetre készül a rajtra, több hazai bank már sandbox környezetben hozzáférhetővé is tette adatait az érdeklődő fejlesztők számára. Az új rendelettel a szabályozók első körben a PSD2 szerinti új piaci szereplőknek, azaz a leendő számlainformációs szolgáltatóknak (Account Information Service Provider, röviden AISP), illetve a fizetéskezdeményezési szolgáltatóknak (Payment Initiation Service Provider, PISP) kedveznek. Előbbiek a rendelet szerint ugyanazokhoz az adatokhoz kell hogy hozzáférést nyerjenek, amelyekből az adott bank saját netbanki felülete is dolgozik, és a PISP-ek is ugyanazokat az információkat kell hogy megkapják, mint ha a felhasználó a netbankból indítana fizetést.

A különböző pénzintézetek API-jaihoz ugyanakkor jelen állás szerint egyenként kell hozzáigazítani a készülő, új generációs pénzügyi szolgáltatásokat, ami komoly kihívást jelenthet a fejlesztőknek, főleg ha a piac minél nagyobb szeletét le akarják fedni. A folyamat megkönnyítése érdekében a piaci munkacsoportok, a Berlin Group, illetve az Open Banking Implementation Entity is létrehozták saját API szabványosítási javaslataikat- az Európai Biztottság Fintech Akcióterve alapján a szabványok jövő év második negyedében kerülhetnek nyilvánosságra. Az eltérő banki API-k problémáját egyébként már egy magyar startup, a FintechBlocks is kiszúrta, és egy köztes, egységes réteget kínál a fejlesztők számára, amellyel nem kell minden interfészhez külön igazodnia a területtel szemezőknek.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Az erős ügyfél-hitelesítés ugyancsak kulcsfontosságú, mind az említett AISP, mind a PISP szolgáltatások esetében, noha akadnak kivételek, mikor a szolgáltatók mentesülhetnek az SCA alkalmazása alól. Az AISP szereplőknek például csak a legelső adatbekérésnél, illetve azt követően  90 naponta egyszer kell használniuk azt és az azonos tulajdonoshoz tartozó számlák között sincs rá szükség. Ugyancsak kivételt képeznek az egy felhasználónak szóló, fix összegű rendszeres fizetési megbízások (itt is csak az első alkalommal kell SCA-t használni), továbbá a felhasználók létrehozhatnak egy saját listát is a bank felületén a megbízható kezdeményezettekről, akiknél nem lesz szükség az erős hitelesítésre - maga a lista kezeléséhez viszont igen.

Mindezek mellett a pénzintézeteknek egy tartalékmechanizmust is be kell vezetniük, amelyekkel a banki API-k meghibásodása esetén biztosítják a csatlakozó szolgáltatások működését. Meghibásodásnak számít, ha a rendszer öt egymást követő API hívás után fél perccel sem válaszol, ilyenkor a bank hozzáférést kell hogy engedjen a szolgáltatásnak adataihoz a felhasználói felületen keresztül, például screen scrapinggel. Ha egy bank piaci tesztekkel igazolni tudja, hogy az API paraméterei száz százalékig megfelelnek a bizottság iránymutatásában foglaltaknak, mentességet kaphatnak a tartalékmechanizmus bevezetése alól - ha azonban akár két hétig bármilyen hiányosságot mutat a területen, elveszíti a mentességet. A bankoknak tehát 2019. március 14-ig van idejük felkészülni a hivatalos rajtra, ekkorra pedig valószínűleg tekintélyes startupseregek állnak majd készen a pénzintézetek adathalmainak megcsáklyázására.