PSD2: mokėjimų rinkos pokyčiai dalyvio akimis

Šių metų sausio 18 d. Europos Sąjungoje (ES) įsigaliojo naujoji mokėjimų paslaugas reglamentuojanti direktyva PSD2. Į mokėjimų rinką šis reguliacinis pokytis įnešė nemažai sumaišties, nes naujoji tvarka iš esmės keičia jėgų pusiausvyrą rinkoje – bankai yra priversti atverti klientų sąskaitų duomenis kitiems mokėjimų rinkos dalyviams

Tikimasi, jog naujasis reglamentavimas skatins konkurenciją ir sudarys sąlygas spartesnei inovacijai ir naujų paslaugų kūrimui. Nors prieiga prie sąskaitos duomenų yra bene plačiausiai aptarinėjimas PSD2 aspektas, jo realus įgyvendinimas ES mastu, tikėtina, užtruks apie porą metų. Dėl to apmaudu, kad žiniasklaidoje tarp skambių antraščių dažnai nublanksta kiti dėl PSD2 atsiradę pokyčiai, kurie jau dabar daro realų poveikį tiek mokėjimų įstaigoms, tiek jų klientams. Būtent šiuos, mažiau eskaluojamus, tačiau didelę įtaką jau dabar darančius aspektus noriu apžvelgti plačiau.

Esu Jungtinėje Karalystėje įkurtos lietuviško kapitalo mokėjimų įstaigos ArcaPay vadovas. Prieš kelis mėnesius sėkmingai užbaigėme PSD2 licencijos atnaujinimo procesą, tad dalijamės įžvalgomis iš mūsų pačių patirties. Nors veikiame nuo 2011-ųjų metų, norėdami toliau teikti paslaugas, Jungtinės Karalystės priežiūros institucijai turėjome įrodyti, kad atitinkame atnaujintus reikalavimus. Techninė reikalavimų dokumentacija apima šimtus puslapių, tačiau juos galima suskirstyti į tris pagrindines sritis: 1) interneto platformos saugumas, 2) konfidencialių duomenų saugumas, 3) veiklos ir paslaugų tęstinumo užtikrinimas.

Iki PSD2 priežiūros institucijos daugiausia dėmesio skyrė vidinėms mokėjimų įstaigų tvarkoms ir pinigų plovimo prevencijos procesams užtikrinti. Dabar dėmesys labai aiškiai pakrypo į IT infrastruktūrą. Įsigaliojus PSD2, mokėjimų įstaigoms privalu turėti detalią saugumo sistemų techninę dokumentaciją, įskaitant schemas, apibūdinančias mokėjimų sistemos logiką ir atnaujinimų diegimo procesus. Taip pat atsirado reikalavimas apie saugumo incidentus operatyviai informuoti priežiūros instituciją bei paveiktus klientus. Kadangi mokėjimo įstaigos gali kardinaliai skirtis savo dydžiu, struktūra ir paslaugų spektru, priežiūros institucija tikisi įmonės sudėtingumą atitinkančių standartų. Galutiniam vartotojui nauji IT infrastruktūros reikalavimai užtikrina, kad jų naudojama licencijuotos mokėjimų įstaigos interneto platforma nėra avantiūristiškai sukonstruotas mechanizmas. Į skaitmenines paslaugas orientuotoms įmonėms šie reikalavimai nesukėlė daug papildomo darbo, tačiau kiek mažiau technologiškai pažangioms, net ir seniai veikiančioms mokėjimų įstaigoms tai gali būti rimtas iššūkis.

Dar prieš įsigaliojant bendrajam duomenų apsaugos reglamentui (BDAR) PSD2 daug dėmesio skyrė klientų duomenų saugumui ir jų naudojimui. Mokėjimų įstaigos buvo įpareigotos konkrečiai įvardyti, kokia informacija renkama apie kiekvieną vartotoją ir jo operacijas, kokiais kanalais ji atkeliauja, kokiems vidiniams procesams (pavyzdžiui, anonimizuotai statistinei analizei) duomenys naudojami. Įmonėms buvo pavesta identifikuoti, kuri informacija yra laikoma jautria, ir užtikrinti, kad prieiga prie jos yra apsaugota papildomu saugumo lygiu. Nors didžioji dalis finansų industrijoje veikiančių įmonių puikiai supranta klientų informacijos konfidencialumo svarbą, priežiūros institucijos parengtos susistemintos gairės buvo sveikintinas žingsnis.

Svarbiu aspektu, į kurį priežiūros institucijos pakeitė savo požiūrį, tapo mokėjimo paslaugų prieinamumo užtikrinimas. Iki šiol mokėjimo įstaigos turėjo laisvę savo nuožiūra sustabdyti paslaugų teikimą dėl techninių ar kitų vidinių priežasčių. Vis dėlto naujoji teisinė bazė aiškiai nurodo, jog vartotojai turi teisę pagrįstai tikėtis, kad jų finansines operacijas atliekančios įmonės svetainė ir paslaugos bus prieinamos įprastu būdu, be trikdžių. Tam tikrose situacijose vartotojui gali būti nepraktiška arba iš viso neįmanoma pasinaudoti konkurentų paslaugomis. Šis reikalavimas taip pat įpareigoja mokėjimų įstaigas operatyviai teikti detalias ataskaitas apie sutrikimus ir imtis veiksmų jų prevencijai ateityje, taip sumažinant nemalonių netikėtumų tikimybę vartotojams. Nesugebanti užtikrinti paslaugų tęstinumo įmonė rizikuoja prarasti teisę teikti paslaugas.

Lietuvos banko išduotas mokėjimo įstaigos licencijas turinčios įmonės iki šių metų lapkričio 1 d. privalo pateikti pagal naująjį reglamentą privalomą informaciją. Iki kitų metų vasario 1 d. neįgyvendinęs reikalavimų rinkos dalyvis neteks teisės teikti paslaugas. Norėdami užsitikrinti, kad naudojatės patikimos ir legaliai paslaugas teikiančios įmonės paslaugomis, visuomet pasitikrinkite informaciją viešai prieinamame finansų rinkos dalyvių sąraše.

Apibendrinant galima teigti, kad PSD2 privertė rinkos dalyvius pasitempti ir standartizuoti vidinius procesus. Iš to daugiausia laimi galutiniai vartotojai, kurių interesai yra iškelti į aukščiausią poziciją. Palaipsniui įsigaliojant ir likusioms mokėjimų direktyvos dalims turėtume sulaukti ne tik aukštesnio lygio paslaugų, tačiau ir aršesnės konkurencijos tarp rinkos dalyvių bei inovatyvių sprendimų.

Komentaro autorius - Marius Bausys, ArcaPay Ltd įkūrėjas ir vadovas

Komentarai