V červnu 2020 vydal Evropský orgán pro bankovnictví (EBA) nové stanovisko k výkladu vybraných ustanovení nařízení opravujícího regulační technické normy (RTS) pro silné ověření klienta (SCA). V předmětném stanovisku se EBA konkrétně věnovala problematice nastavení vyhrazených rozhraní pro třetí strany, konkrétně pro poskytovatele služeb informování o účtu (AISP) a poskytovatele služeb nepřímého dání platebního příkazu (PISP), ze strany poskytovatele platební služby vedoucího účet klienta (ASPSP). Jím poskytované rozhraní nesmí být nastaveno tak, aby třetím stranám vytvářelo překážky v jeho využití.
RTS k SCA uvádí pouze příklady takových překážek (např. povinné přesměrování na ověření). Výkladu toho, co se za překážku považuje či nikoliv, se EBA věnovala v minulosti již několikrát (např. v separátních otázkách a odpovědních či zvláštních výkladových stanoviscích), nicméně byla zde potřeba dalšího výkladu a upřesnění, zejména v návaznosti na aktuální praxi na trhu.
Z předmětného stanoviska je evidentní, že nastavení rozhraní pro třetí strany tak, aby nevytvářelo pro třetí strany žádné překážky, je pro EBA prioritou. V této souvislosti proto EBA apeluje na národní regulátory v tom smyslu, aby dodržování uvedené povinnosti vyplývající z výše uvedeného předpisu striktně vynucovaly. V případě, kdy by regulátor zjistil, že rozhraní vytváří třetím stranám překážky, měl by dotčeného ASPSP vyzvat k urychlené nápravě.
RTS k SCA stanoví, že uživatel služby třetí strany musí mít možnost autentizace za využití stejných postupů, které ASPSP umožňuje pro své vlastní uživatele. Pro účely stanovení postupu autentizace pro uživatele třetích stran je tak určující postup stanovený pro vlastní klienty ASPSP. Postup pro ověření uživatele třetí strany nesmí být nastaven tak, že by pro něj byl ve srovnání s ověřením uživatele ASPSP obtížnější (např. bylo vyžadováno více informací či provedení vícero kroků apod.)
Pokud tedy ASPSP umožňuje ověření svých klientů za použití vlastní mobilní aplikace, to samé by měl umožnit i klientům třetích stran. Pokud tak neučiní, bude se jednat o nedovolenou překážku. V praxi by takové ověření mělo fungovat tak, že pro účely ověření bude uživatel přesměrován z aplikace třetí strany do aplikace ASPSP (tu musí mít na svém zařízení samozřejmě nainstalovanou) a po provedení ověření bude zpět přesměrován do aplikace třetí strany, aniž by ji musel manuálně otevírat.
Za překážku pro třetí stranu bude rovněž považován požadavek na provedení dvojitého SCA při nepřímém zadávání plateb, a to jak při přístupu k účtu, tak při zadávání platby. Pokud PISP poskytne ASPSP dostatek informací k provedení platby, postačí pouze jedno SCA. Jedinou výjimkou z tohoto pravidla (tj. kdy bude provedení dvou SCA možné) budou bezpečnostní opatření na straně ASPSP. Příkladem takové situace by mohlo být podezření z podvodu, přičemž existenci takových důvodů bude ASPSP muset regulátorovi prokázat. Požadavek na provedení dvojitého SCA bude rovněž přípustný tehdy, pokud uživatel bude – mimo nepřímého zadání platby – rovněž přistupovat k informacím o účtu nebo pokud TPP nepředá na ASPSP všechny nutné informace.
ASPSP má obecně povinnost provést SCA v případě, že plátce přistupuje ke svému účtu online. Z této povinnosti však lze využít výjimku, kdy bude SCA vyžadováno nejpozději po uplynutí 90 dní od posledního online přístupu (s provedením SCA) uživatele k informacím o zůstatku na účtu a přehledu provedených transakcí v posledních 90 dnech na tomto účtu. Povinnost provádění SCA ovlivňuje rovněž třetí strany – tedy aby uživatel mohl skrze AISP nahlížet na výše uvedené informace, musí minimálně jednou za 90 dní provést SCA u ASPSP.
Poskytovatelé služeb informování o účtu proto v tomto duchu vyjádřili obavu, že tato povinnost bude uživatele odrazovat od využívání jejich služeb. Cestou pro uživatelsky příznivější plnění výše uvedeného požadavku má podle nich být to, že by SCA uživatelé prováděli již přímo prostřednictvím AISP, tedy že by ASPSP na tuto třetí stranu provedení SCA outsourcoval. K této myšlence EBA uvedla, že takové nastavení možné je, nicméně ASPSP k tomuto nelze nutit. Pokud k tomu nicméně přikročí a provádění SCA delegují na třetí stranu, musí splnit všechny povinnosti s outsourcingem související.
Dle názoru EBA je takové nastavení rozhraní, které vyžaduje manuální zadání IBAN uživatelem, překážkou pro poskytování služeb třetí stranou (ať už se jedná o AISP či PISP). Jednou z možností, jak se ASPSP může vytváření této překážky vyhnout, je umožnit provedení výběru účtu uživatelem přímo skrze rozhraní nebo webové stránky ASPSP v případě přesměrování. Výběr účtu přitom nesmí být komplikovanější než případný proces pro výběr účtu v případě přímého přístupu k účtu či zadání platby přímo u ASPSP. Tento postup však mohou uplatnit pouze třetí strany s AISP licencí. Neumožnění výběru účtů uživatelem PISP naopak překážkou není.
EBA opětovně potvrdila, že nastavení ASPSP vyžadující souhlas uživatele k poskytování služeb třetí stranou ve formě opt-in je překážkou. Stejně tak bude překážkou vyžadování dalších povolení a registrací třetí strany, což ostatně RTS zakazuje explicitně. EBA současně uvádí, že výjimkou mohou být situace, kdy je registrace potřebná pro účely technického zajištění bezpečné komunikace mezi ASPSP a třetí stranou. Registrace (např. v podobě vyplnění kontaktních údajů třetí strany) však nesmí být nikdy vyžadována ve vztahu k vlastnímu přístupu třetí strany k účtu uživatele u ASPSP, ledaže by šlo o dobrovolný proces či dohodu mezi stranami.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
