Továbbra is gáncsolják a bankok a fintech-forradalmat
A PSD2 irányelv hatálybalépése óta új lehetőségek nyíltak meg a fintech cégek előtt, de a gyakorlat azt mutatja, hogy a fejlesztési hiányosságok miatt továbbra sem egyszerű minden esetben megbízható szolgáltatást építeni a nyílt banki API-kra. A decemberben megszűnt Koin alkalmazás ügyvezetője szerint ellenérdekelt felek találkoznak a piacon, a Számlázz.hu vezetője hasonlóan úgy gondolja, egyes bankok csak a jogszabályi minimumokat teljesítik.
A szabványos, nyílt hozzáférést biztosító banki API-kra, valamint az erős ügyfél-hitelesítésre (SCA) vonatkozó EU-s direktíva, a pénzforgalmi szolgáltatásokról szóló irányelv (PSD2) értelmében 2019. szeptember óta a pénzintézeteknek hozzáférést kell biztosítaniuk rendszereikhez a külső fejlesztők számára, ezzel a lépéssel kívánta az unió többek közt egységesíteni az európai bankpiacot. A direktíva másik célja a fintech és egyéb pénzügyi szolgáltatások fellendítése, tehát a verseny élénkítése, de a gyakorlatban ez már körülményesebben valósul meg, és azóta is hiányosságokról számolnak be a külső felek.
November végén érkezett a hír, hogy a 2012-ben indult Koin számlainformációs szolgáltatás lehúzza a rolót, miután egy évtizeden át segítette a felhasználókat pénzügyeik kezelésében. A Koin csapata a weboldalán közzétett közleményében úgy fogalmazott: "a pénzügyi intézetekre vonatkozó előírásoknak való megfelelés (PSD2) nehézsége, a banki kapcsolódások minősége, illetve a piaci szereplők nyitottságának korlátai miatt nagyobb nehézségekkel néztünk szembe, mint ahogyan azt előzetesen vártuk."
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A Koin a HWSW megkeresésére hangsúlyozta, hogy nem kizárólagosan ezek az okok vezettek el a leállásig, de jelentős tényezőnek számítottak a végkimenetelt illetően. A szolgáltató két éve állt neki a hozzáférési interfészek, azaz a banki API-k bekötésének, ami akkor még kimondottan nyögvenyelősen ment, és a tanúsítványkiállítás folyamata sem volt egyszerű. A Koin végül 11 bankot csatlakoztatott sikeresen, de négy magyar bank készletét végül nem is kötötte be, változó okokból: volt, hogy az API igazából nem működött, de olyan pénzintézet is akadt, ami 2021-re, vagy egy évvel későbbre ígérte az elérhetőséget. A már rendelkezésre álló készletek közül egyesek már kész állapotúnak tűntek, de végül nem lehetett működésre bírni, vagy rendkívül körülményes lett volna a felhasználóknak a saját adataikhoz való hozzáférés.
Szabó Márton ügyvezető szerint az API-k minősége hullámzó, megesik, hogy működik egy készlet, de időközben nem várt problémák ütköznek ki, például értesítés nélkül változtattak az adatok formátumán, ami nem előnyös, hiszen stabil szolgáltatást csak stabil alapokra lehet építeni. A jogszabály szerint egyébként a bankoknak azokat az adatokat kell megosztaniuk, amik a saját felhasználóik előtt is megjelennek a banki felületeken, de ez oda vezet, hogy az egyes pénzintézeteket tekintve nincs konzisztencia, és vannak olyan (jellemzően meta) adatok, amik ugyan a banki backendben megvannak, fontos információk lennének, de mégsem adják ki, mert nem jelenítik meg a saját felületükön.
Szabó szerint a bankok a törvényi kötelezettségeknek való megfelelésen túl nem igazán érdekeltek abban, hogy a számlainformációs szolgáltatókat „elkényeztessék”, hiszen saját előnyt vagy hasznot a fintech cégek szolgáltatásából nem igazán remélhetnek. Nem elhanyagolható, hogy az ő oldalukon a szükséges rendszerek fenntartása, kialakítása és módosítása költséges feladat. Az intézet szemszögéből nézve így érthető, hogy erőforrásait olyan szolgáltatások fejlesztésére csoportosítja, ahol nagyobb üzleti megtérülést lát, és az API-kat „elhanyagolja”. Tehát mindenképp nyomós tényező a technológiai erőforrások szűkössége. Mindehhez hozzá kell venni, hogy a banki kapcsolódási lehetőség tulajdonképpen a konkurens szolgáltatások fejlődésének kedvezhet.
A fő probléma, hogy ellenérdekelt felek találkozásáról van szó a piacon, ahol a bankokat kizárólag a jogszabály tolja abba az irányba, hogy a kötelességeiknek eleget tegyenek. Az uniós jogalkotók eredeti szándéka és a PSD2 által kijelölt irány jó, de sok mindent kellene finomítani és újragondolni
– véli az ügyvezető.
Máshol sem jobb a helyzet
A Koin ügyvezetője szerint Európa más országaiban sem működnek tökéletesen a dolgok, tehát nem magyar jellegzetességről van szó, amit alátámasztanak a Deloitte témában megjelent jelentései is. 2020 nyarán az Európai Bankhatóság (EBA) nagyszámú panaszt és visszajelzést kapott harmadik feles szolgáltatóktól arról, hogy a pénzintézetek nem teremtették meg a szükséges technikai feltételeket, pontosabban azok nem valósultak meg maradéktalanul, számos megkeresés érkezett az interfészek működésének hiányosságai kapcsán. Az EBA ezért a beérkezett panaszok alapján ezután ajánlásokat fogalmazott meg a piaci szereplőknek az értékesítés pontján történő kötelező átirányítás, a többszörös erős ügyfélhitelesítés, a 90 naponta történő újra-hitelesítés, számlaválasztás, a jóváhagyás további vizsgálatai és a további regisztrációk kérdéskörökben.
A Deloitte ügyvédei összeszedték a hét fő okot is, amiért döcögősen halad a PSD2, melyek közt elsőként említik a kötelező azonosítási folyamatokat: a harmadik feles szolgáltatók jelenleg ki vannak szolgáltatva az ügyfelek számára előírt azonosítási folyamatnak, hiszen ezt a megoldást a banknak a szolgáltatók számára is biztosítania kell. Ha a számlavezető bank interfésze nem alkalmas arra, hogy teljeskörűen támogassa azokat az azonosítási folyamatokat, amelyeket az ügyfeleinek nyújt, akkor az nem felel meg a jogszabályi előírásoknak. Az is elvárás, hogy az azonosítás nem lehet bonyolultabb, ha az ügyfél harmadik feles szolgáltatót vesz igénybe, mintha közvetlenül a számlavezetőnél kérné az azonosítást.
Konkrét akadályt jelenthet a harmadik feles szolgáltatók számára, ha külön-külön kell elvégezni az azonosítást az ügyfél számlaadatainak megtekintéséhez és a fizetési művelethez is. Ez még inkább igaz, ha ezen előírás szükségességét a bank nem tudja megfelelően alátámasztani. Érdemi akadály az is, ha a számlainformációk lekéréséhez szükséges azonosítás nehézkesebb egy harmadik feles szolgáltatón keresztül, mint direktben a bankon keresztül. Az EBA álláspontja szerint, ha a harmadik feles szolgáltató minden a fizetéshez szükséges adatot elküld a banknak, akkor annak be kell érnie az egyszeres ügyfélazonosítással.
Hazai fronton a Magyar Nemzeti Bank 2021. júliusában publikálta saját akadálymentesítő ajánlását a nyílt bankolás elősegítéséhez, amit azzal indokolt, hogy a 2019-es teljeskörű kötelező alkalmazás óta érdemi előrelépések még mindig nem történtek. Az ajánlásban foglaltak alkalmazását 2021. augusztus elsejétől várja el, melynek részletei itt találhatók. Az MNB Fizetési Rendszer Jelentésében azt írja: „az akadályozás leggyakrabban úgy valósul meg, hogy a hozzáférési interfészeket úgy alakítják ki a bankok, hogy azzal kellemetlenséget okoznak az azokat igénybe vevő ügyfeleknek, illetve a harmadik fél szolgáltatóknak”.
Így állnak most a bankok
De a szolgáltatók visszajelzése szerint még 2022 végén sem tökéletes minden, és az MNB 2022-es jelentésében továbbra is úgy fogalmaz: „A PSD2 nagy újítása, a nyílt bankolás egyelőre csak korlátozottan tudta elérni verseny élénkítő és innovációt támogató céljait, emiatt felmerültek a nyílt bankolás szabályait módosító javaslatok. 2021-ben a PSD2 utolsó részletszabályai is bevezetésre kerültek, amivel véget ért az új pénzforgalmi szabályok hatályba lépésének ötéves folyamata, azonban a PSD2 céljainak elérése érdekében további lépések is szükségesek. A folyamatos ellenőrzés, tájékoztatás és ügyféledukáció mellett a részletszabályok finomhangolása is szükségessé válhat.” Az MNB egy szektorvizsgálat keretében technikai oldalról is megkezdte a számlavezető pénzforgalmi szolgáltatók által megvalósított, célra rendelt interfészek (API) ellenőrzését.
Magyarország első Magyar Nemzeti Bank által felügyelt Számlainformációs Szolgáltatója,a FintechX csoporthoz tartozó Aggreg8 csapata 2021-ben a FintechZone számára elkészítette a hazai bankok PSD2-es API tesztjét, ami azt nézte meg, hogy a 12 hazai bankból kik teljesítették az MNB ajánlásait, hogyan néz ki a folyamat, ha egy harmadik feles szolgáltató kíván rácsatlakozni a PSD2-es API-hozzáférésre.
A 2022-ben történt változások és friss adatok után érdeklődve a HWSW azt a tájékoztatást kapta az aggregátortól, hogy
drasztikus előrelépés sajnos nem történt a tavalyi év során, ugyanakkor voltak bankok, ahol barátságosabb lett az azonosítási folyamat a felhasználók számára.
Így az alábbi táblázatban immár három pipával bővülve látható, hogyan teljesítik a kérdéses elvárásokat a hazai bankok PSD2 API csatornái, egészen pontosan az MNB ajánlás két fejezetpontját, melyek közül az első (I) a többszörös ügyfél-hitelesítés, míg a harmadik (III) a bankszámlaszám végfelhasználó által történő manuális megadása.
A tavalyi év során összegezve az alábbi előrelépések történtek: az Unicredit Banknál már nem kell előzetesen megadni a lekérdezni kívánt bankszámlaszámokat, illetve többszörös SCA-ra sincs szükség. A Magnet Banknál többszörös SCA korábban sem volt, és most már előzetesen a bankszámlaszámot sem kell megadni. Az OTP-nél többszörös SCA korábban sem volt, és most már előzetesen a bankszámlaszámot sem kell megadni.
Az OTP Direkt azonosításnál, a banki oldalra történő átirányítást követően ugyan meg kell adni a bankszámlaszámot, ugyanakkor ez a netbanki felületre történő bejelentkezésnél is szükséges, így ahhoz képest nem igényel plusz erőfeszítést a felhasználó részéről - az ugyanakkor árnyalja a képet, hogy az OTP Direkt netbanki bejelentkezésre a bank sima azonosító-jelszó párossal, illetve QR kóddal is lehetőséget ad, ami API autentikációnál nem biztosított, illetve az új OTP netbanki/mobilbanki felület email címmel és jelszóval történő azonosítása sem támogatott
– mondta el a HWSW-nek Hlács Ferenc product manager, aki Szabó véleményét annyival egészíti ki, hogy több esetben azokat az adatokat sem adják át egyes intézmények API-jai, amik a netbanki felületen elérhetők - holott ez minimum elvárás lenne.
A banki ellenállás látható
A Számlázz.hu ügyvezetője, Ángyán Balázs a HWSW megkeresésére szintén kiemelte, hogy a fintechek oldaláról egyértelmű a nyitottság, ám úgy véli: a verseny élénkülése inkább a harmadik felek érdeke, a bankok viszont nehezen engedik ki ügyfeleiket a saját ökoszisztémájukból. Márpedig ha az adatokhoz hozzáférnek külső felek, óhatatlanul felmerül a kérdés, hogy a bankoknál megmaradnak-e az ügyfelek.
Ennek egy lehetséges módja, hogy technikailag nem teljesen jól működnek, ezáltal pedig a fintech cégek szolgáltatásai sem lehetnek olyan jó minőségűek, tehát a nem feltétlenül tudatos banki ellenállás látható.
Határozottan állítom, hogy a nyílt API-k fejlesztésére és működésére jóval kevesebb erőforrást fordítanak, mint a saját szolgáltatásaikra. Vannak persze kifejezetten jó tapasztalataink is, nem szeretnénk általánosságban kijelenteni, hogy minden bank hozzállása negatív lenne
– hangsúlyozza az ügyvezető.
Gier Mária, a Számlázz.hu pénzügyi vezetője pozitív példaként emeli ki az együttműködések közül, amikor még a PSD2 előtt a MagnetBankkal közös, szerződéses alapon fejlesztett automata szolgáltatást készítették el, ami hibamentesen működött, bár nem tudott magának jelentős piaci részesedést szerezni. Szerinte a banki kapcsolattartókkal az esetek többségében nincs probléma: gyorsan válaszolnak, és a problémákat ugyan nem mindig sikerül 1-2 nap alatt elhárítani, de mivel a szándék látszik részükről, inkább az erőforráshiány feltételezhető a másik félnél.
Mégis van bank, akivel azóta sem sikerült kiépíteni az API-kapcsolatot, problémaként sorolja a kommunikációs nehézségeket, vagy a nem működő fejlesztői készletet. Felmerültek továbbá jogi problémák is, és olyan korlátozások, amik az ügyfélélményt lehetetlenítik el, ami a fintech szolgáltató számára is rizikós. A pénzügyi vezető szerint a folyamatot nehezíti, amikor a másik fél valamit megváltoztat és erről elfelejt értesítést küldeni, így utólag derül ki, hogy a másik oldalon is fejleszteni kéne valamit, hogy az API-ra épülő szolgáltatás jól működjön. Minden bankra külön kell fejleszteni, nincs egységes megoldás.
Van egy egy meglehetősen nagy igazságtalanságérzet bennünk, leginkább azért, mert a PSD2 szempontból legegyszerűbbnek tartott számlainformációs szolgáltatás nyújtásához is elképesztő mennyiségű munkát, energiát, pénzt kellett beletennünk abba, hogy megszerezzük a jogosultságot, nagyon komoly, már-már banki szigorúsági előírásoknak kell megfelelnünk
– mondja Ángyán.
Ángyán szerint egy kisebb startupnak is új pozíciókat, jogosultságokat, szabályzatot kell létrehoznia, át kell alakítania működését, a komoly IT-fejlesztésekről nem is beszélve, hogy megkapja a banktól a szolgáltatás nyújtásához szükséges jogosultságot. Ennek ellentételezéseként a fintechek joggal várják el azt, hogy a nyílt bankolásos API-kat zavartalanul használhassák, és hogy a banki oldal is megfeleljen azoknak a feltételeknek, hogy jó minőségű szolgáltatásokat lehessen felépíteni.
„A Számlázz.hu-nál van egy olyan érzésünk, hogy mi nagyon komoly energiákat fektetünk ebbe, de a banki oldalról nem kapjuk meg azt a minőséget, amit elvárnánk. Talán az MNB is viszonylag megengedőbb módon viszonyul a dologhoz, komolyabban is felléphetne. A bankok a jogszabályi minimumokat teljesítik, de a minimumok nincsenek összhangban a jó minűségű szolgáltatás feltételeivel.”