Różdżka i zaklęcie

Czego potrzebował Harry Potter, by otworzyć Komnatę Tajemnic? Wyjąć czarodziejską różdżkę, wycelować nią w rurę kanalizacyjną i rzucić zaklęcie. Różdżka była przypisana tylko do niego, a zaklęcie znali nieliczni. W przypadku autoryzacji dwuskładnikowej, potrzebnej, gdy za cokolwiek płacimy elektronicznie lub wypłacamy pieniądze z bankomatu, jest podobnie, a nawet lepiej. Bo zaklęcie teoretycznie znamy tylko my, a co więcej, gdy w grę wchodzi internet, każdorazowo się ono zmienia. Nasza różdżka to karta płatnicza lub smartfon, a zaklęcie to nasz PIN do karty albo przysłany przez bank sześciocyfrowy kod weryfikacyjny. 

Pojawia się jednak nowa, potężniejsza magia i całej tej skomplikowanej zabawy ze zmieniającymi się zaklęciami już w sumie nie trzeba. 

Idąc z duchem czasu, Parlament Europejski uchwalił w listopadzie 2015 r. dyrektywę PSD2 (Payment Services Directive 2), dając krajom członkowskim UE dwa lata na dostosowanie do niej ich wewnętrznych regulacji. Wiele banków traktuje ją jako zagrożenie. Jeszcze bardziej rozbija ona bowiem ich monopol na rynku usług związanych z płatnościami, którą to liberalizację zapoczątkowała już wcześniej dyrektywa PSD. Dopuściła ona na ten rynek podmioty niebankowe, a jej wdrożenie miało rewolucyjne konsekwencje zarówno dla biznesu, jak i dla tych, którzy płacą bezgotówkowo za zakupy. Jeśli chodzi o firmy, to przede wszystkim napędziła rozwój fintechowych startupów i generalnie – usług (świadczonych także przez banki) związanych z płatnościami. – Fintechy wchodzą na obszary zarezerwowane dla banków i konkurują z nimi wygodą, szybkością i ceną – mówi prezes Biura Informacji Kredytowej Mariusz Cholewa. 

Płatności stały się w efekcie prostsze  i, co z punktu widzenia biznesu było w tym wszystkim najważniejsze – tańsze, bo dokonywane bez bankowych pośredników i odpalanych im prowizji. Docenili to przeprowadzający transakcje w internecie, a szczególnie sektor e-commerce. 

Awans strony trzeciej

Nowe przepisy idą dalej. PSD2 nakazuje bowiem bankom zbudować otwarty  API (Application Programming Interface – interfejs programowania aplikacji), dzięki któremu do rachunków ich klientów będzie miała dostęp tzw. strona trzecia, czyli każda firma zajmująca się usługami związanymi z płatnościami. Do tej pory banki mogły sobie wybierać dostawców takich usług, ale też sprawdzały ich wiarygodność lepiej niż przeciętny właściciel rachunku. A ponadto zawierały z nimi umowy jasno określające, kto odpowiada za pieniądze klienta. Po wejściu w życie PSD2 bank nie będzie już mógł domagać się zawarcia takiej umowy ani weryfikować wiarygodności „strony trzeciej”. 

Jeśli zaś chodzi o samego klienta, będzie on mógł podpisać umowę z jakimkolwiek wybranym przez siebie niebankowym dostawcą usług płatniczych, który zobowiąże się załatwiać za niego wszystkie płatności. Dostawca ten, zyskując dostęp do jego rachunku lub nawet kilku, będzie o nim dużo wiedział. I o to głównie chodzi: o dostęp do Komnaty Tajemnic. Bo płatności to tylko punkt wyjścia do oferowania wielu innych usług, jak choćby finansowanie kredytem wakacji, kiedy „trzecia strona” stwierdzi, że nasze wydatki wskazują, iż się na nie wybieramy. 

Zmiany te wymusiło życie: wspomniany już silny wzrost znaczenia sektora e-commerce i usług finansowych świadczonych drogą elektroniczną. Ich skutkiem będzie najpewniej dalsze biznesowe ożywienie i powstawanie kolejnych startupów fintechowych. Wzrośnie też zainteresowanie nimi ze strony inwestorów, a także banków wchodzących z fintechami, dla własnego dobra, w ścisłą współpracę (co już się dzieje na potęgę np. w Wielkiej Brytanii). Rynek usług finansowych jeszcze bardziej przyspieszy. Na tym wszystkim skorzysta, rzecz jasna, e-commerce. 

Ale ten awans dostawców niebankowych usług finansowych to nie jedyna zmiana wprowadzana przez PSD2.  Kolejne z jej najważniejszych postanowień mówi o konieczności dwuskładnikowego autoryzowania płatności. Czyli każdy, kto płaci bezgotówkowo, będzie musiał zarówno mieć różdżkę, jak i znać zaklęcie, bo sama karta lub smartfon nie wystarczą. Trzeba będzie też podać PIN lub sześciocyfrowy kod przysłany przez bank (nie będzie to dotyczyć tylko płatności zbliżeniowych na niskie kwoty). Jednym z najważniejszych celów dyrektywy jest bowiem zapewnienie płatnościom bezpieczeństwa. 

Ktoś może zapytać, gdzie tu zmiana, przecież w Polsce dwuskładnikowa autoryzacja z silnym zaklęciem już od dawna funkcjonuje. Zgoda, ale niektórzy dostawcy usług płatniczych oferują już także możliwość zapłaty „jednym kliknięciem”, gdy etap weryfikacji PIN-em czy kodem możemy pominąć. W dodatku nie wszędzie w Europie używanie i różdżki, i zaklęcia jest standardem. 

Rozmiękczanie zaklęcia

Właśnie na temat siły zaklęcia i tego, kto jeszcze oprócz nas może je znać, toczy się teraz gorąca dyskusja między bankami a fintechami, gdyż ustalane są teraz szczegółowe standardy techniczne do PSD2. Będą miały kluczowe znaczenie, a mogą znacząco odbiec od pierwotnych intencji prawodawców. 

Standardy mogą bowiem „rozmiękczyć” dwuskładnikową autoryzację, po- zwalając np. na to, byśmy „stronie trzeciej” udostępnili na stałe hasło do swojego bankowego rachunku, na którym w naszym imieniu dokonywałaby ona operacji związanych z płatnościami. Już teraz wielu usługodawcom dajemy stały dostęp do swojego konta czy karty kredytowej, żeby łatwiej płacić za zakupy w sieci, choć kiedy składamy stosowne zlecenie, bank przysyła nam jednak kod, który wpisujemy, by autoryzować transakcję (z wyjątkiem wspomnianych już usług zapłaty „jednym kliknięciem”). Co ważne – akceptujemy ją wyłącznie w bankowym serwisie transakcyjnym. W przyszłości może być tak, że za naszą ogólną zgodą fintechy będą autoryzować transakcje za nas (choć, jeśli zwycięży któreś z twardszych podejść, takie usługi jak „płać jednym kliknięciem” znikną z rynku). 

Banki uważają, że jeśli dwuskładnikowa autoryzacja zostanie rozmiękczona, to w sytuacji, gdy każda firma z rynku płatności będzie mogła z nami podpisać umowę, pieniądze na naszych kontach będą mniej bezpieczne. Upierają się, by klient zawsze samodzielnie zatwierdzał w bankowym systemie transakcje, używając odpowiedniego zaklęcia. Upór ten jest o tyle zasadny, że banki, od lat atakowane przez cyberprzestępców, nauczyły się całkiem nieźle przed nimi bronić, dorabiając się wysokiej klasy zabezpieczeń. Ukraść z nich pieniądze jest dziś trudno. 

Nie jest wcale pewne, czy niebankowe firmy pośredniczące w płatnościach dorobią się zabezpieczeń równie skutecznych. Na razie wiele z nich to niewielkie startupy. Jakie jest ich doświadczenie z cyberprzestępcami, czy przeszły bojowe testy? Jaki jest poziom zatrudnionych w nich informatyków zajmujących się bezpieczeństwem?

Spółki fintechowe oskarżają banki o to, że nie chcą dopuścić do większej konkurencji na rynku usług płatniczych. Przed swymi klientami roztaczają kuszące perspektywy: jeśli ci dadzą im pełny dostęp do swoich rachunków, będą za nich błyskawicznie realizować wszelkie płatności i zapewnią jeszcze większą niż dotąd wygodę. A słuchaczy mają wdzięcznych. Badania opinii publicznej na całym świecie pokazują, że jeśli chodzi o płatności, ludzie ponad bezpieczeństwo przedkładają szybkość i komfort. Nie inaczej jest i u nas. W sondażu ARC Rynek i Opinia, przeprowadzonym dla firmy technologicznej SIA w czasie, gdy PE uchwalał PSD2, na wygodę, jako na największą zaletę płatności bezgotówkowych, wskazało aż 90 proc. Polaków.