Tyle wiemy o sobie, ile nas sprawdzono.
Wisława Szymborska
Rynek usług płatniczych cały czas ewoluuje, nabiera nowych kształtów, a sama dynamika zdarzeń osiąga niewyobrażalną skalę. Nie od dziś też wiemy, że jednym z akceleratorów zmian oraz wszelakich nowych trendów była między innymi pandemia Covid-19. Pojawiło się wielu dostawców z ofertą „otwartej bankowości”, pojawiły się bardziej wyrachowane rodzaje oszustw, które mocno narażały konsumentów, ale również, a nawet przede wszystkim, były wyzwalaczem nowych dyrektyw oraz regulacji, o których mowa będzie w poniższym artykule.
Odnośnie regulacji to powieje truizmem, że fundament sektora finansowego stoi na rozmaitych pakietach legislacyjnych i wszystko to jeszcze jest zanurzone w „głębokim sosie” owych regulacji prawnych. Godnym odnotowania jest fakt, że wspomniane regulacje zaczęły pojawiać się również w „mateczniku” sektora finansowego. Mam tu na myśli ubezpieczycieli oraz wszystkie instytucje TPP (Third Party Providers) – notabene sam sektor ubezpieczeniowy jest dla mnie w pełni komplementarny i w dużej części uzupełniający się wzajemnie z sektorem finansowym pod kątem chociażby samej oferty dla klienta.
Siadamy wygodnie w fotelach, zapinamy pasy i startujemy.
Financial Data Access – FiDA
Rozporządzenie Financial Data Access (FiDA), bo o nim mowa, zostało zaproponowane przez Komisję Europejską i ma wejść w życie publiczne w mniej więcej 2027 roku. FiDA to przede wszystkim idea i strategia zabezpieczenia dostępu do danych finansowych. Zapewnia również konsumentom kontrolę nad swoimi danymi oraz narzuca informowanie klienta o ewentualnym udostępnieniu jego danych.
Trochę absolutyzując realizm finansowy, to nowa regulacja FIDA ma być kolejnym etapem i zarazem przełomem odnośnie otwartych finansów, która będzie miała wpływ na sektor bankowy, ale nie tylko na same banki. Obejmie cały ten mocno regulowany rynek, jakim jest rynek finansowy i da możliwości dostępu do danych dla innych podmiotów – między innymi wspomnianych TPP.
Reasumując, FiDA ma zapewnić przejrzystą i transparentną komunikację dotyczącą:
- wykorzystania i udostępniania danych klientów pomiędzy instytucjami finansowymi,
- standaryzacji danych oraz interfejsów,
- zastosowania bardziej rygorystycznych środków bezpieczeństwa w celu ochrony przetwarzanych danych.
Obejmuje również to, co najbardziej istotne, czyli:
- kontrolę zgód klienta odnośnie udzielania czy wycofywania udostępnianych danych.
Kogo dotyczy FiDA?
Rozporządzenie ma obejmować dostawców będących właścicielami danych. Są oni upoważnieni przez swoich klientów do dostępu do nich oraz świadczenia usług informacji finansowej. Jakie to będą dane? Chociażby te najbardziej pożądane przez konkurencję, których dzisiaj z BIK-u nie da się wydobyć – np. informacja o kredycie, a dokładnie jakiej wysokości jest rata, ile wynosi oprocentowanie. Ponadto: inwestycje klienta, nieruchomości, aktywa, produkty ubezpieczeniowe.
Konsekwencje
Nietrudno sobie wyobrazić sytuację, że jeżeli instytucja finansowa X będzie w posiadaniu informacji o produktach, jakie ma jego potencjalny klient, np. w innym banku, o tym, jakie ma zdolności finansowe, jak spłaca zobowiązania, jakim jest klientem, to od razu będzie personalizowała ofertę w celu przekonania do zmiany dostawcy usług finansowych, bazując na udostępnionych danych.
A co będzie, gdy inne instytucje zaczną mieć dostęp do tych danych, a nie będą to banki? Wrócę do tego za chwilę, ponieważ teraz przychodzi mi na myśl jedna refleksja. Pisząc już prawie rok temu artykuł o PSD3 (Dyrektywa PSD3 zweryfikowanym wizjonerstwem – no i co Ty na to, Huxley?), nie przypuszczałbym, że kiedykolwiek wrócę do tego tematu w innym felietonie i w dodatku zrobię krok w tył do poprzedniej regulacji PSD2, bo mówiąc o FiDA, mamy tu częściowo wspólny mianownik.
PSD2 a FiDA
Co nam dało PSD2? Łatwość przenoszenia czy zakładania konta, prezentację różnych podmiotów finansowych z poziomu jednego interfejsu itd. Tak więc wspólnym mianownikiem jest dostęp do danych i możliwość ich udostępnienia po wyrażeniu zgody innym podmiotom finansowym.
W przeciwieństwie do PSD2, FIDA obejmie większość danych klientów, które obecnie są w posiadaniu przez instytucje finansowe – mowa o informacji dotyczącej kredytów. W przypadku wspomnianych ubezpieczycieli może to być (czysto teoretyzując), np. ubezpieczenie samochodu i wyrażenie zgody, aby inny ubezpieczyciel wszedł w posiadanie tych danych i na bazie informacji przygotował dla mnie konkurencyjną ofertę.
Wykorzystywanie danych
Wróćmy jeszcze do meritum. FiDA będzie kontrolować granice wykorzystywania danych, które mają wpływ na zakres usług finansowych, oraz zapewniać portal mający na celu dostarczenie klientowi kontroli nad danymi.
Klient z poziomu portalu będzie:
- zarządzał swoimi danymi,
- dodawał uprawnienia,
- wycofywał uprawnienia,
- przeglądał historię,
- ustawiał kategorię oraz ważność każdego udzielonego uprawnienia.
Ponadto, dla branży bankowej i ubezpieczeniowej FiDA wyjątkowo uwypukli się w tematach zgodności z przepisami, gdzie pojawią się wymogi odnośnie ujednolicenia standardów dostępu do danych, zmian w infrastrukturze informatycznej. Wszystko po to, aby zapewnić dostęp online do danych i do zarządzania zgodami. Co ciekawe, pojawi się nawet rozporządzenie dotyczące budowania relacji z klientami i zwiększenia satysfakcji klienta. To akurat nie przemawia do mnie, ale nie zamierzam z tym polemizować i robić z siebie „egzaltowanego kontestatora”.
FiDA, MŚP, TTP
A co z tymi innymi podmiotami, o których wcześniej wspomniałem i chwilowo zaparkowałem? FiDA ma przyznać małym i średnim przedsiębiorstwom prawa do upoważniania osób trzecich (użytkowników danych) do dostępu i korzystania z ich danych finansowych. Tak więc rozporządzenie nie ograniczy się tylko do banków.
Oprócz średnich przedsiębiorstw duża część firm typu TPP, mowa chociażby o flagowych portalach zakupowych (nie będę wymiał ich z nazw, których notabene wszyscy używamy), będzie miała dostęp do takich danych. Jako przykład podam portal z usługą „PAY” – tam scoring kredytowy jest zrobiony dzięki PSD2, bo ta dyrektywa obejmuje również podmioty typu TPP. Innym przykładem może być np. Google i trochę enigmatyczne „Data Users”. Takie instytucje również będą mogły wejść w posiadanie powyżej opisanych danych i przedstawiać lepsze/inne oferty.
Używając jeszcze innego przykładu – instytucjom finansowym do dziś wystarczać musiało pars pro toto „spersonalizowana” lokata, czyli scoring na bazie tego, co klient posiada na koncie. Wyobraźmy sobie jednak, że dana instytucja finansowa ma dostęp i widzi dane swojego klienta w innym banku np. wspomnianą lokatę. Nie trzeba być Wernyhorą, aby domyśleć się, że w niedługim czasie otrzyma propozycję, żeby przenieść swoje środki w zamian za dużo lepsze warunki ich oprocentowania.
Dzisiaj te propozycje są robione trochę na ślepo – bez urazy – bo nie ma jeszcze tej informacji, która za chwilę będzie dostępna. Tak samo dla hipotek i kredytów – o ile będzie widoczne, że kredyt jest regularnie spłacany, to pojawi się propozycja niższego oprocentowania od konkurencji w celu przejęcia klienta (notabene – to samo stanie się z hipoteką).
Narzędzia i integracje
Powoli, zamykając klamrą powyższe założenia i aby być gotowym na nowe przepisy, bez względu na rodzaj instytucji finansowej, o których pisałem powyżej, warto pamiętać o integracjach, czyli o przygotowanych narzędziach do zarządzania prywatnością z systemami finansowymi.
Do połowy 2025 należy poinformować klientów, jak będą przetwarzane ich dane zgodnie z FiDA i jak mogą zarządzać swoimi zgodami. Przed ostatecznym wdrożeniem nowych ram regulacyjnych rekomendowany jest audyt systemów oraz procesów pod kątem zgodności z FiDA oraz testy i usunięcie błędów. Po przejściu na nowe regulacyjne środowisko instytucje finansowe będą musiały uruchomić permanentne mechanizmy monitorowania i raportowania w celu zapewnienia ciągłej zgodności.
Słowem zakończenia
Let’s get ready to rumble…”
Michael Buffer
Pewien mądry człowiek z branży finansowej, a prywatnie mój bardzo dobry znajomy, opowiedział mi o powyższej dyrektywie. Jak twierdzi – będzie to ogromna rewolucja, niemalże „kantowski przewrót kopernikański”.
Oczekuję zawsze logiki, zdrowego rozsądku, jakichś konsekwencji, tak więc nie trywializowałem tego i słuchałem mojego znajomego z pełną rewerencją. Chociaż przyznam szczerze, że po całym wykładzie odnośnie FiDA, czekam już tylko na Winstona Smitha i Ministerstwo Prawdy…
Abstrahując od powyższego, chcę podziękować mojemu nauczycielowi na kanwie tego skromnego artykułu za przekazaną wiedzę i, zgodnie z obietnicą, zachowam jego anonimowość.
Zostaw komentarz