Stav PSD2 v českých bankách

5_12_2018

Asi bychom v evropském bankovním světě jen těžko hledali někoho, kdo dosud neslyšel o PSD2. Ale jaká je realita? Které banky už PSD2 API poskytují v produkčním režimu, které mají alespoň testovací rozhraní a které zatím nemají publikováno vůbec nic? Proč některé banky zatím vyčkávají, zatímco jiné už mají přehlednou prezentaci? Je screenscraping mrtvá technologie? A jak složité je vlastně informace o bankovních API získat? Nejen na tyto otázky se pokusíme odpovědět v následujícím článku.

 

Jak to všechno začalo

Bude tomu už skoro rok, co nabyl účinnosti zákon č. 370/2017 Sb., o platebním styku, kterým se do české legislativy provádí Revidovaná směrnice EU o platebních službách, známá pod názvem PSD2. Zatím se však stále čeká, až EU uvolní prováděcí předpisy. Jedná se zejména o pravidla pro bezpečnou komunikaci mezi bankami a třetími stranami (TPP – Third Party Provider), známá pod zkratkou RTS (Regulatory Technical Standards on strong authentication and secure communication). Uvedený zákon poskytuje alespoň přechodné období (do září 2019), ve kterém se některá ustanovení nebudou využívat a bankám tedy za nevystavení API nehrozí postih.

 

Standard pro bankovní API existuje, ale…

ČBA (Česká Bankovní Asociace) vydala COBS (Český standard pro Open Banking), který z nového zákona vychází a obsahuje technickou specifikaci pro přístup TPP k bankovním službám. Tento standard však nepokrývá celou šíři RTS a do její implementace tak bude panovat určitá právní nejistota. Jedním z důvodů vzniku COBS byla bezpochyby ambice nabídnout jednotné rozhraní pro TPP, ideálně bez nutnosti prostředníka, který by rozhraní různých bank sjednocoval. Situace však není tak růžová, protože ne všechny banky se standardem řídí. Liší se jak struktura požadavků a odpovědí, tak práce s klientskou autorizací.  Např. některé banky podporují refresh token, jiné ne.  Rozdíl je třeba také v povolování přístupu k účtům – jednotlivě nebo pro všechny najednou, v chování při přidání nového účtu do klientova portfolia (povolení se na něj vztahuje nebo ne), nebo v poskytované délce či obsahu transakční historie. Toto je jen pár příkladů, které ilustrují složitost integrace s různými bankami – byť se na první pohled může zdát, že rozhraní vypadají podobně. Třetím stranám pak nezbývá nic jiného, než se s rozdíly u bank vypořádat nebo zvolit agregační vrstvu. Jedním z takových agregátorů je i BAAPI (Bank Aggregation API) od firmy Trask Solutions. BAAPI již integruje 6 českých bank a jednu zahraniční, přičemž portfolio se stále dynamicky rozšiřuje.

Dalo by se tedy říct, že banky, které PSD2 API již poskytují, jsou svým způsobem průkopníky a naopak banky, které ještě ne, není možné za toto nijak penalizovat. Onen magický datum účinnosti zákona o platebním styku tedy neznamenal žádný “velký třesk” v dostupnosti PSD2 API, ale jedná se spíše o postupný proces.

 

API vs. screenscraping

Před existencí PSD2 bylo často jedinou možností, jak integrovat více bank do jednoho rozhraní, použití screenscrapingu. Pomocí něj se dá normě PSD2 taktéž do určité míry vyhovět. ČBA však před screensrapingem, který považujeme již za překonaný,  preferuje připojení pomocí API. Připravenost bank proto posuzujeme právě na základě dostupnosti API, i když některé mohou screenscraping stále podporovat.  Ten ovšem EBA (Europian Banking Authority) po září 2019 vysloveně zakázala, protože nezajišťuje dostatečné ověření TPP (resp. jeho implementace do screenscrapingu by byla náročná) a bance by tak hrozila náhrada případných škod.

Dalším požadavkem, který EBA na banky klade, je dostupnost tzv. nouzového mechanismu, kterým zpřístupní svá vystavená data v případě, že přístup přes PSD2 API bude nefunkční. Z tohoto nařízení je možné dostat výjimku, kterou schvaluje jak ČNB, tak EBA. Obě tyto instituce mají na schválení jeden měsíc. Pokud tedy banky budou chtít stihnout výjimku do září 2019, musí mít žádost připravenu přibližně na jaře 2019. Zatím to vypadá, že banky budou žádost o výjimku podávat hromadně, pravděpodobně přes ČBA. V té době by tedy banky měly mít jasnější představu o svých PSD2 API.

 

Sháníme informace

V rámci analýzy jsme prošli seznam všech bank a finančních institucí v ČR, které mají povinnost vystavovat PSD2 API. Mimochodem, ani získání tohoto seznamu není zdaleka tak triviální, jak by se mohlo na první pohled zdát – třeba načtení jednoho číselníku od ČNB z JERRS (Jednotná evidence regulovaných a registrovaných subjektů). Je potřeba zkombinovat více podmínek uvedených v zákoně, resp. směrnici a pomocí nich pak pracovat s číselníky v JERRS.

Najít informace k otevřeným API je u různých bank různě obtížné. Některé se jimi chlubí a odkaz je dobře patrný z hlavních stránek. U jiných je potřeba hledat pomocí fulltextového vyhledávání buď na webu samotné banky nebo pomocí internetových vyhledávačů. A pak jsou ty, u kterých se informace o API dohledat nedají – jsou to ve velké míře právě banky, které PSD2 rozhraní zatím neposkytují. V případě, že nemáte přístup k informacím uvnitř banky, pak zbývá jediná cesta – zeptat se (např.  pomocí kontaktního formuláře, mailem nebo přes infolinku). S větším či menším zpoždění pak obdržíte odpoveď, převážně negativní. A jaké jsou nejčastější odpovědi bank, že PSD2 API ještě nemají? Zde jednoznačně vede absence RTS následovaná odpovědí ve stylu “připravujeme”.

Taktéž k prezentaci svých API přistupují banky různými způsoby. V případě, že banka patří do nějaké nadnárodní skupiny, existuje v rámci této skupiny také společný vývojářský portál s dokumentací API. Jsou banky, které poskytují komplexní informace, zatímco jiné pouze zobrazí vygenerovanou technickou dokumentaci ve Swaggeru.

 

Sandbox a produkce

Když už se podaří získat dokumentaci, nastává další krok – jak se dostat k samotnému provolávání zpřístupněných služeb. Tady už je situace stejná u většiny bank. K dispozici je testovací prostředí, tzv. sandbox, které je možné využívat po bezplatné registraci. Tato registrace nemá žádné zvláštní požadavky, akorát někdy je vícekroková s ručním schvalováním v bance, což proces prodlužuje. Registrace na produkční prostředí ovšem již vyžaduje licenci ČNB, kterou dodavatelé software často nedisponují. V praxi tedy probíhá testování na sandboxu (s určitými omezeními, viz dále) a produkční volání se otestuje až po dodávce klientovi, který licencí disponuje.

 

Dostupnost API

Z relativně velkého množství získaných informací lze vyvodit různé závěry. Vystavená PSD2 API na produkci má v dnešní době více než čtvrtina českých bank (konkrétně 13) – viz graf. Polovina z nich pak podporuje všechny tři scopy, tj. AISP, PISP i CISP. Testovací (sandbox) i produkční prostředí mají všechny tyto banky, až na jednu výjimku. Sandboxy však často neposkytují stejnou funkčnost jako produkční prostředí. Někdy vrací pouze statické odpovědi, přeskakují krok autentizace (tu je tedy možné prakticky vyzkoušet až v produkčním prostředí) a setkali jsme se dokonce i s případem, kdy testovací prostředí obsahovalo starší verzi API.

Často se setkáváme s dotazem, která z bank již pomocí PSD2 API umožňuje práci s korporátními účty. Většina bank  toto opravdu nabízí, ale podmínky nastavení těchto přístupů (vyřízení různých typů oprávnění, návštěva pobočky apod.) znamenají, že jsou prakticky dostupné pro minimum klientů.

Veřejně dostupnou dokumentaci pro své publikované PSD2 API nabízí všechny banky, kromě jedné. Formát komunikace je pak převážně JSON dle COBS, opět s jedinou výjimkou, kdy je použito XML.  Co se týče formátu dokumentace, tak nejčastějsím případem je popis pomocí Swaggeru. Některé banky pak přidávají i podrobnější informace a podporu v podobě portálu věnovaného otevřeným API, která poskytují.

 

Dostali jsme nápad…

Tento článek se zabýval rozhraním PSD2, ale banky čím dál více poskytují i jiná API – např. identifikaci klienta KYC (Know Your Customer), kurzovní lístky, kontaktní informace, kalkulačky, transparentní účty, platební karty atd.  Je tedy evidentní, že sledovat vývoj v této oblasti u každé banky je relativně časově náročná činnost.

Do této doby na českém i evropském trhu neexistoval pravidelně aktualizovaný přehled bankovních API. A protože je Trask firma, která se integrací bankovních API velmi intenzivně zabývá, bylo pro nás přirozeným krokem takový přehled vytvořit a udržovat. Dostal jméno openAPI portál a jsou v něm jak informace, které se nám podařilo zjistit z veřejných zdrojů, tak informace, které jsme nabyli při samotných integracích s bankami. Právě tyto poznatky jsou vykoupeny relativně velkým úsilím a my vám je nabízíme k volnému použití. Jelikož chceme, aby byl seznam stále přesný a aktuální, prosíme i vás o zapojení do jeho rozvoje.

Jste banka, u které jsou uvedeny neaktuální nebo chybné údaje? Nebo vaše firma v přehledu úplně chybí, přestože uvedené rozhraní poskytujete? Máte informaci, která na portále není uvedena a myslíte si, že by tam být měla? Rádi byste se dozvěděli více o integraci v bankovním prostředí? Pokud jste si alespoň na jednu z otázek odpověděli ano, nebo nám prostě chcete něco sdělit k tématu, neváhejte nám napsat přes kontaktní formulář. Portál bude pouze tak kvalitní, jak kvalitní budou informace v něm obsažené – a k tomuto cíli můžete přispět i Vy!

Tagy