18 grudnia 2019

Alior Bank chce „podebrać” klientów kredytowych innym bankom. A jak? Zaglądając na ich konta dzięki dyrektywie PSD2

Alior Bank chce „podebrać” klientów kredytowych innym bankom. A jak? Zaglądając na ich konta dzięki dyrektywie PSD2

Wygląda na to, że na razie na tzw. otwartej bankowości, czyli możliwości „podpinania się” do bankowych danych o klientach korzystają głównie… banki. Niedawno ING stworzył rozwiązanie, dzięki któremu jego klienci z bankowości elektronicznej ING mogą stworzyć centrum dowodzenia swoich finansów rozsianych w kilku bankach. A teraz Alior Bank upraszcza proces kredytowy dla klientów, którzy nie mają w nim konta. Oto dyrektywa PSD2 w praktyce

Unijna dyrektywa o usługach płatniczych (PSD2) weszła w życie 14 września tego roku. Już w dniu debiutu pokazała swoją moc. Nowe prawo wprowadziło m.in. obowiązek stosowania dodatkowych zabezpieczeń przy uwierzytelnianiu klientów (czyli upewniania się, że Kowalski to Kowalski) oraz autoryzowania transakcji (czyli tego, że to Kowalski chce dokonać konkretnej płatności).

Zobacz również:

Banki zaczęły więc prosić o dodatkowe potwierdzenie tożsamości klienta przy wejściu na konto np. kodem przysłanym SMS-em albo poprzez kliknięcie przycisku w aplikacji mobilnej. A po kilku z rzędu płatnościach zbliżeniowych kartą bez podawania PIN-u banki zaczęły prosić o „wklepanie” PIN-u. To właśnie pierwsze skutki działania dyrektywy PSD2 w praktyce.

Przeczytaj też: Zmiany w logowaniu i płaceniu za zakupy. Nowe usługi bankowe, błyskawiczne reklamacje i niższa odpowiedzialność za fraudy. Wchodzi w życie PSD2. Co musisz wiedzieć?

Przeczytaj też: Dyrektywa PSD2 otwiera drzwi do naszych rachunków bankowych zewnętrznym firmom. Ale czy chcemy je tam wpuścić? Oni to zbadali

Na otwartej bankowości korzystają… banki

Ale to nie wszystko. Dyrektywa ułatwiła też zewnętrznym firmom dostęp do naszych rachunków bankowych. Nie dzieje się to automatycznie. Firma, która chciałaby sie „wpiąć” do banku i skorzystać z jego zasobów,  musi najpierw przejść solidny audyt bezpieczeństwa. A poza tym na dostęp do historii naszego konta musi dostać naszą wyraźną zgodę.

Przed erą PSD2 banki działały w myśl przysłowia „każdy sobie rzepkę skrobie”. Miały swoich klientów, na podstawie stanu ich rachunków znały poziom zamożność, a więc mogły oferować im dopasowane do potrzeb oferty kredytów, depozytów, czy inwestycji. Wraz z PSD2 to się zmieniło. Teraz każda firma, która spełni wymogi oraz ma naszą zgodę, może korzystać z bankowych zasobów.

To całe otwarcie się banków (właściwie obowiązek) na inne firmy określa się mianem „otwarta bankowość”, a firmy, które mają licencję korzystania z bankowego ekosystemu – trzema literami TPP, co jest skrótem z angielskiego Third Party Provider. Sądziłem, że takimi TPP będą chciały zostać fintechy, które mogłyby zaoferować klientom alternatywne formy płatności czy usługi transferu pieniędzy.

Wygląda jednak na to, że na razie beneficjentem tej funkcji PSD2 są… banki. Warto bowiem wiedzieć, że również one mogą posiadać licencję TPP i „wszczepić się” do systemu innych banków. Jak z tego skorzystać, pokazał niedawno ING Bank, który zaoferował klientom – z poziomu bankowości elektronicznej – możliwość podglądu finansów (stan kont i kart) w innych bankach. Klienci ING mogą na razie „podpatrzeć”, co dzieje się z ich finansami w trzech innych bankach. Ale z pewnością ta lista będzie się wydłużać.

Dzięki PSD2, ale też temu, że ING dość szybko zareagował na nowe możliwości, ma szansę stać się dla pewnej części klientów bankiem pierwszego wyboru. O tym, jak to działa w szczegółach, przeczytacie w recenzji Maćka Samcika.

Przeczytaj też: Unijna dyrektywa PSD2 miała zwiększyć nasze bezpieczeństwo. Ale… chyba coś poszło nie tak. „Absurd. Pogorszyli zamiast poprawić”

Przeczytaj też: Kupuję w Leroy Merlin, płacę z góry, odbieram w sklepie, a oni… żądają adresu zamieszkania. Tylko niedopatrzenie, czy… wyłudzenie?

Dodam tylko, że pierwszy w tej kategorii był mały Nest Bank, który jeszcze przed wejściem PSD2 w życie zaoferował podobne rozwiązanie, tyle że „analogowe”. Żeby zobaczyć globalny stan swoich finansów, trzeba było najpierw zalogować się do innych banków, w których mamy rachunki, ściągnąć plik PDF z historią kont i wgrać je do systemu Nest Banku. Jeśli wykonamy tę robotę, możemy bawić się danymi, jak w panelu ING Banku.

PSD2 nakręci sprzedaż kredytów?

Teraz Alior Bank zdradził, jak chciałby wykorzystać możliwości, które daje PSD2 – chce sprzedawać więcej kredytów wśród osób, które nie mają z nim żadnych relacji. Do tej pory klient „z ulicy”, żeby dostać aliorową pożyczkę musiał dostarczyć bankowi zaświadczenie o zarobkach (to zbędny papier, gdy ubiegamy się o kredyt w banku, w którym mamy konto). Teraz klienci PKO BP, Banku Pekao, Santander Banku i ING Banku będą mogli wnioskować o kredyt w Alior Banku bez zaświadczenia o zarobkach.

„Klienci tych banków nie muszą mieć wcześniejszej relacji z Alior Bankiem, wystarczy że przy wnioskowaniu o kredyt udzielą zgody na pobranie i dostarczanie informacji o swoim ROR w banku, do którego wpływa ich wynagrodzenie”

– informuje Alior. Choć rzecz dotyczy klientów tylko kilku banków (wkrótce ma dołączyć kolejny), to jeśli zliczymy liczbę prowadzonych przez nie rachunków, wyjdzie jakieś 26 milionów (te banki obsługują mniej więcej połowę klientów w Polsce). Alior Bank bazuje na AIS, czyli usłudze dostępu do informacji o rachunku płatniczym (Account Information Service), którą wprowadziła dyrektywa PSD2.

Usługa pozwala pobierać dane o ROR-ach w innych bankach i na ich podstawie przeprowadzić ocenę zdolności kredytowej. Dzięki takiemu procesowi, bank jest w stanie zweryfikować dane o zarobkach w ciągu kilku minut.

„Cała procedura udostępnienia informacji o rachunku w innym banku przypomina standardowe płatności realizowane w internecie z tą różnicą, że zamiast autoryzowania transakcji płatniczej, klient zatwierdza dostęp do swojej historii rachunku”

– wyjaśnia Agata Strzelecka z zarządu Alior Banku. W praktyce klient zainteresowany kredytem w Alior Banku dostanie SMS-a z linkiem do formularza i jeśli da Aliorowi zgodę na dostęp do informacji o rachunku, zostanie przekierowany na stronę swojego banku, a tam w bankowości internetowej musi zatwierdzić zakres dostępu do rachunku w ramach AIS. Dopiero wtedy Alior Bank będzie mógł pobrać historię rachunku, która zastąpi tradycyjną formę potwierdzenia dochodu w procesie kredytowym.

Zanim jednak sięgniemy po to rozwiązanie, zastanówmy, się czy kredyt w ogóle jest nam potrzebny, a jeśli tak, to upewnijmy się czy oferta Aliora jest warta grzechu.

Przeczytaj też: Kupujesz choinkę w doniczce, bo tak jest ekologicznie? To mit. Jakie drzewko kupić, żeby naprawdę być eko? I ile to kosztuje?

Przeczytaj też: Firma meblarska, która nie potrafi przyciąć trzech desek? Walka z IKEA o zabudowanie lodówki. Czy mam prawo do rekompensaty?

Kto wygra walkę o otwartą bankowość?

Nie jest tak, że zewnętrzne firmy „nie węszą” wokół bankowych ekosystemów w ramach możliwości, jakie daje PSD2. A same banki – oprócz obowiązkowego udostępnienia swoich systemów – starają się pomagać fintechom, z którymi chciałyby współpracować. Przykładem jest mBank, który powołał do tego spółkę mElements, BNP Paribas stworzył Akademię PSD2, czyli platformę wspomagającą fintechy, które nie mają jeszcze licencji TPP.

Co ciekawe, pojawiło się rozwiązanie – banqUP – które pozwala firmom technologicznym na dostęp do części bankowych danych bez konieczności posiadania licencji KNF. Krzysztof Pulkiewicz z banqUP mówi, że otwarta bankowość dopiero się zaczyna, a rynek zdobędą te podmioty, które zaoferują klientom największą wartość dodaną. Może to będą banki, a może fintechy.

 

5
Dodaj komentarz

avatar
1 Comment threads
4 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Krzysztof A.gosc Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
gosc
Gość
gosc

37 szwajcarskich banków zleciło Lucerne University of Applied Sciences and Arts stworzenie serwisu poświęconego bezpiecznemu korzystaniu z bankowości elektronicznej. Serwis istnieje od 10 lat i nazywa się: “eBanking – but secure!” Banki te w swoich sekcjach bezpieczeństwa podają link do tego serwisu: https://www.ebas.ch/en/ – polecam! Serwis ten przestrzega przed korzystaniem z usług Third Party Provider’s i tłumaczy dlaczego: Third-party access to bank accounts There are several third party providers offering intra-bank payment and account information services for e-banking customers. And although this may be convenient, there are some risks involved. Protect yourself by… not passing on your personal access data… Czytaj więcej »

Krzysztof A.
Gość
Krzysztof A.

W przypadku TPP nie ma mowy o przekazywania im haseł dostępu – jesteśmy przekierowywani na stronę logowania banku z identyfikatorem który pozwala unikalnie rozpoznać żądanie (np. GUID, których jest więcej możliwych kombinacji niż atomów we wszechświecie) i informacjami jakich uprawnień chce TPP. Po podaniu hasła (wciąż pamiętajmy – na stronie logowania banku), bank w odpowiedzi generuje token ważny przez określony czas, który wraca do TPP i potem jest przez niego wykorzystany do uwierzytelnienia oraz sprawdzenia autoryzacji. Sam ten protokół przy prawidłowej realizacji jest jednym z bezpieczniejszych sposobów uwierzytelniania. Serwis opisuje technikę screen scrapingu, w której faktycznie nie mamy możliwości zweryfikowania… Czytaj więcej »

gosc
Gość
gosc

1) Zakładam, że ma Pan racje co do tego, że jest to opis screen scrapingu, w każdym razie szwajcarskie banki nie zdecydowały się na udostępnianie API podmiotom trzecim co mówi o ich stosunku do tej technologii. 2) Serwis mówi o tym, że TPP nie podlegają tak ścisłemu nadzorowi jak banki co zwiększa ryzyko. W przypadku niebankowych podmiotów takich jak Kontomatik.pl jest to prawda. Nawet jeśli TPP jest bank to w przypadku problemów/straty klienta można się spodziewać przerzucania odpowiedzialności między bankami co utrudni dochodzenie roszczeń przez klienta. 3) W przypadku usług polegających na tym, że po zalogowaniu do jednego BANKU (podmiotu)… Czytaj więcej »

Krzysztof A.
Gość
Krzysztof A.

„w każdym razie szwajcarskie banki nie zdecydowały się na udostępnianie API podmiotom trzecim” – Banki szwajcarskie nie mają takiego obowiązku (PSD2 obowiązuje tylko w krajach członkowskich) i pewnie tego w związku z tym nie zrobią, bo jest to nakład pracy, który naturalnie wnosi pewne ryzyko, bo w każdym, nawet najlepiej zaprojektowanym systemie, mogą się pojawić luki bezpieczeństwa wraz z dodawaniem nowych funkcji. Dodatkowo, ze względu na to że PSD2 w Szwajcarii nie obowiązuje, faktycznie nie mają pewności że podmioty trzecie spełnią wymogi narzucone względem TPP więc jest to jak najbardziej decyzja rozsądna. Z tego przechodzę natomiast do kolejnego punktu. „Serwis… Czytaj więcej »

gosc
Gość
gosc

RE: „Sam ten protokół przy prawidłowej realizacji jest jednym z bezpieczniejszych sposobów uwierzytelniania.” (zakładam, że protokół = API) Czy można wierzyć bankom, że dołożą wszelkiej staranności aby zapewnić użytkownikom bezpieczeństwo? Po obejrzeniu i przeczytaniu poniższego mam poważne wątpliwości. Mają je również specjaliści z Trend Micro. Osobiście wolę wziąć kwestię bezpieczeństwa we własne ręce i trzymać się z daleka od aplikacji mobilnych oraz API. Researchers uncover 180 vulnerabilities in 30 financial services apps https://www.teiss.co.uk/financial-services-apps-vulnerabilities/ How I hacked 30 mobile banking apps & the future of API Security, Alissa Knight, Aite Group https://www.youtube.com/watch?v=dRaTXF4LQr8 Trend Micro przedstawiła swoje prognozy na 2020 rok. https://blog.trendmicro.pl/2019/12/18/poznaj-prognoze-cyberzagrozen-na-2020-rok/… Czytaj więcej »

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu