Što se od 14. rujna mijenja u kartičnom i internetskom plaćanju

Cilj nove regulative je bolja zaštita potrošača prilikom plaćanja putem interneta, promovirati razvoj i korištenje inovativnih online i mobilnih plaćanja poput otvorenog bankarstva i učiniti prekogranične europske platne usluge sigurnijim

2150
Od 14. rujna svaka kartična transakcija na prodajnom mjestu mora biti “chip and PIN"

S 14. rujna u potpunosti stupa na snagu Direktiva o platnim uslugama 2 (Payment Services Directive 2 ili PSD2). Cilj nove regulative je bolja zaštita potrošača prilikom plaćanja putem interneta, promovirati razvoj i korištenje inovativnih online i mobilnih plaćanja poput otvorenog bankarstva i učiniti prekogranične europske platne usluge sigurnijim.

“Erste banka jako je zainteresirana ne samo da ispunimo regulatorne norme, nego da našim klijentima i poslovnim partnerima, takozvanim third-party service providerima (TPP), ponudimo novu uslugu i sjajno korisničko iskustvo. S jedne strane to će biti viša sigurnosna razina, a s druge strane otvorenije bankarstvo”, rekao je povodom stupanja na snagu novih pravila Igor Strejček, direktor Sektora direktnih kanala u Erste banci.

PSD2 regulativa nastala je iz želje Europske bankarske asocijacije da se bankarstvo u Europi proširi, s obzirom na to da se u Europi još uvijek veliki dio transakcija temelji na gotovini. Na sjeveru Europe većina je transakcija digitalna, no prema jugu situacija se drastično mijenja u korist gotovine.

“Cilj ove regulative je da bankarstvo na digitalnim kanalima bude dostupnije većem broju korisnika. Jedna od mjera je otvaranje takozvanim trećim stranama, TPP-ovima. To su partneri koji će se pomoću izloženih API (application programming interface) servisa moći spajati na banke i tako nuditi jednaku ili sličnu uslugu svojim korisnicima, a našim klijentima, kao da su banka, iako nemaju bankarsku licenciju”, objašnjava Strejček.

Otvoreno bankarstvo

Zakon traži da se banke otvore prema trećim stranama. Neke banke odlučile su se za deducirana sučelja (API), što je tehnički najpodatnije rješenje za integraciju s trećom stranom, a neke banke odabrale su da svoja internetska i mobilna bankarstva prilagode tako da ih treće strane mogu koristiti za integraciju.

“To je”, kaže Strejček, “tehnički kompleksnije, ali manjim bankama je lakše razviti takvo rješenje jer nemaju resurse za razvoj deduciranog sučelja. Dakle, API sučelje nije obavezno, ali obvezan je neki vid otvaranja prema trećim stranama.”

Do 14. ožujka sve banke koje nude povezivanje putem API-ja morale su imati spremno rješenje za vanjsko testiranje od strane TPP-a.

“Erste banka je svoje API-je razvila i otvorila. Mi smo već sada na produkciji”, rekao je Strejček. “Očekujemo da će klijenti imati veću mogućnost izbora, da će osim naših bankarskih aplikacija moći koristiti i neke druge te da će financijski servisi postati dostupniji i jednostavniji.”

“Svi veliki tehnološki divovi poput Amazona, Applea, Googlea odavno su shvatili da nije dobra taktika držati sve u jednoj košari kao svoje klijente, nego da otvorenost i platforma na kojoj će i drugi pružati svoje servise donose više korisnicima, a onda i njima kao pružateljima takve platforme. Tako je i naša strategija da se otvorimo kako bi bilo koja treća strana koja će biti odgovarajuće certificirana mogla s nama surađivati na projektima, ne samo u domeni plaćanja, nego u domeni zajedničkog pristupa klijentima, marketinga ili bilo čega što se dogovorimo”, tumači direktor Sektora direktnih kanala u Erste banci.

CorvusPay – prvi licencirani TPP u Hrvatskoj

S obzirom na to da je uvijek bolje na konkretnom rješenju nego raditi na slijepo, potražili su partnera. Saznali su da je tvrtka CorvusPay prošla certifikaciju kod Hrvatske narodne banke i stupili su s njom u kontakt.

“Bilo je to vrlo ugodno iskustvo. U samo tjedan dana uspjeli smo povezati naše i njihovo rješenje te provjeriti kako povezani sustav radi”, kaže Strejček, a direktor CorvusPaya Damir Gužvinec potvrđuje kako je sve prošlo iznenađujuće brzo s obzirom na to da je riječ o novim rješenjima.

CorvusPay se do sada uglavnom bavio uslugama plaćanja prema online trgovcima. Kupci web trgovinama plaćaju karticama i te transakcije su išle preko CorvusPaya kao internet payment gatewaya prema više banaka.

“Mi radimo to skoro osam godina i cijelo vrijeme pratimo što se događa na tržištu. Intencija je da se ekosustav malo otvori, da se podigne razina inovativnosti, konkurentnosti i korisničkog iskustva kod online plaćanja”, tumači Gužvinec. “Prepoznali smo prije dvije godine mogućnosti koje nudi PSD2 i počeli smo se pripremati za licenciju Hrvatske narodne banke. Same pripreme trajale su osam mjeseci. Otprilike toliko je trajao i postupak licenciranja. Od prve prijave HNB-u do trenutka kada smo dobili licenciju prošlo je osam mjeseci. Bila su tri kruga u kojima je bilo prilično zahtjevno proći sve procese. Najveći izazov bio je osigurati jedan dio poslovanja jer osiguravajuće kuće nemaju dovoljno znanja o tome. Prvi put su osiguravale takvu uslugu, a dodatni problem je bio što se usluga u tom trenutku još nije ni pružala jer zakon stupa na snagu tek 14. rujna.”

Licenciju su dobili u travnju ove godine i nakon toga su krenuli u razgovore s bankama koje su tada već bile na visokoj razini spremnosti za integraciju. “Paralelno s licencijom pripremali smo i tehnički dio, tako da je spajanje, kada je došao trenutak za to, prošlo jako dobro”, dodao je direktor CorvusPaya.

Erste Developer Portal

Igor Strejček dodao je pak kako je Erste banka sve pripremne aktivnosti za novu regulativu koordinirala na razini grupe. Razvili su Erste Developer Portal – središnju platformu za pristup API sučeljima Erste Groupa. Portalu može pristupiti bilo koji TPP iz Europske unije kako bi dobio sve potrebne informacije i po potrebi tehničku podršku Erste banke.

>>Erste Developer Portal – središnja platforma za pristup API sučeljima Erste Groupa

“Napravili smo Sandbox, okruženje u kojem svi zainteresirani mogu testirati rješenje u sigurnim uvjetima. To je nešto što nam pruža priliku da ubuduće stupimo u kontakt i s velikim partnerima. Očekujemo da će tvrtke poput Amazona i Googlea htjeti ponuditi nekakve servise sa svoje strane. To će im sigurno biti lakše ako na jednom mjestu dobiju sve potrebne podatke potrebne za spajanje sa svim članicama Erste grupe umjesto da se spajaju sa svakom od njih pojedinačno.”

Sandbox je dinamički, što znači da se u njemu ne vide samo primjeri, nego cijeli proces transakcije u testnom okruženju.

“Osluškivali smo što trećim stranama treba. Povratne informacije su dobre, transakcije su uspješne. Banke prema regulativi imaju pravo ograničiti pristup testnom okruženju samo licenciranim pružateljima usluga, ali mi smo vidjeli priliku da poboljšamo svoj sandbox i testno okruženje tako da omogućimo pristup svima. Na portal se može registrirati svatko, bez obzira na to je li naš klijent, fizička ili pravna osoba, te isprobati. Dobili smo mnogo povratnih informacija o tome kako ga možemo poboljšati”, dodao je Strejček. Rješenje je na portalu do sada testiralo osamdesetak korisnika.

Standard Berlinske grupe

Voditelj projekta u Erste banci Goran Ličina dodao je kako je postajao strah kod novih igrača da će svaka banka razviti svoje tehničko rješenje i da će integracija s većim brojem banaka biti tehnički izuzetno kompleksna. Ali na razini Europe pokrenuta je inicijativa koja je postavila tehničke okvire i standarde koje je ponudila bankama za integraciju. Standard je nazvan po Berlinskoj grupi koja ga je inicirala. U Hrvatskoj su gotovo sve banke koje su odlučile implementirati tehnička sučelja prema trećim stranama prihvatile standard Berlinske grupe kako bi omogućile trećim stranama lakšu integraciju.

“Kao članica Erste grupe i Hrvatske udruge banaka Erste banke je također prihvatila taj standard”, naglasio je Ličina.

Da bi HNB odobrio licenciju TPP-u potrebno je ispuniti niz uvjeta: imati određeni temeljni kapital, stručne kompetencije, poslovni model, objasniti koje usluge će se nuditi i kome, kako će se upravljati rizicima… Gužvinec je rekao kako je CorvusPay u okviru zahtjeva za licenciju predao oko 80 dokumenata.

Svaki TPP mora proći certifikaciju, a kada dobije licenciju lokalne središnje banke može pružati usluge bilo gdje u EU. Standard za licenciju mora biti visok, kandidat mora pokazati da je riječ o ozbiljnoj tvrtki s obzirom na to da će izlagati podatke korisnika iz banaka u kojima posluju i na teret tih računa zadavati transakcije.

Dvije razine pružanja usluga

Postoje dvije razine pružanja usluga treće strane. Prva je ako se dohvaćaju samo podaci o računima i prometima na računu (Account Information Service Provider / AISP), a druga je iniciranje plaćanja (Payment Initiation Service Provider / PISP). U skladu s tim postoje i dvije vrste licencije. CorvusPay za sada je jedini od HNB-a dobio licenciju za iniciranje plaćanja.

Igor Strejček rekao je kako je poslovni interes Erste banke da razviju premium API-je koji nisu regulatorno propisani, a koji će davati prilike tvrtkama poput CorvusPaya i bankama da stvaraju nove modele suradnje. “Postojećim klijentima, ali i budućim zainteresiranima želimo ponuditi dodatne usluge, od toga da se povezuju sa svojim sustavima do toga da im dajemo dodatne analitičke podatke s kojima će moći unaprijediti svoje poslovanje, dobiti više podataka o svojim kupcima i korisnicima. Tu postoji veliki prostor i to je ono pravo uzbuđenje koje nudi PSD2: otvara se puno više prilika na tržištu nego do sada.”

Goran Ličina, voditelj projekta u Erste banci, dodao je kako TPP-ovi uglavnom nude uslugu iniciranja plaćanja, pout plaćanja za male korisnike na internetu. S druge strane su pružatelji usluga informacija o računu koji teže poslovnim modelima u kojima klijentima pravnim osobama ili građanima nude agregirano upravljanje financijama. Ako imate račune u više banaka, možete ih vidjeti i upravljati njima na jednom mjestu.

Veliki interes za dohvaćanje podataka o računu iskazali su i klijenti Erste banke koji nisu licencirani. Riječ je o pravnim subjektima, koji žele dohvaćati podatke izravno, umjesto preko internetskog bankarstva.

Online plaćanja putem IBAN-a

Damir Gužvinec naveo je konkretan primjer kako će PSD2 utjecati na online plaćanja. Kupci su do sada na web shopu unosili kartične podatke, a sada će moći unijeti IBAN kako bi robu ili uslugu platili izravno s tekućeg računa.

“U tom novom načinu iniciranja plaćanja kupac će na našoj platnoj formi unijeti svoje podatke o broju tekućeg računa. Mi ćemo u ime kupca inicirati transakciju izravno s njegova računa na račun web trgovca. U slučaju da je račun trgovca u Erste banci , novac je instant na računu trgovca”, tumači direktor CorvusPaya.

Interes trgovca je da dobije novac odmah, a druga prednost je da i informaciju o plaćanju dobiva odmah, ne mora čekati izvod kako bi provjerio je li kupac platio kako bi mu isporučio robu ili uslugu.

U kartičnoj shemi trgovac je imao trošak prihvata kartica prema banci. U slučaju iniciranja plaćanja s tekućeg računa trgovac prema banci više nema trošak. Ima trošak samo prema pružatelju usluge, CorvusPayu. “Postavit ćemo poslovni model tako da bude jeftiniji od prihvata kartica”, najavio je Gužvinec. Koliko jeftinije? “Poslovni modeli ovise o prometu, a za normalne promete bit će upola jeftinije”, odgovara.

Banke kao TPP

Erste banka pak razvija svoju platformu KeksPay kako bi omogućila da aplikacija bude platno sredstvo na fizičkim i online prodajnim mjestima. Jedan od partnera u tom procesu bit će im CorvusPay, najavio je Igor Strejček, koji kao Internet Payment Provider ima vrlo dobar dohvat kada je riječ o internetskim prodajnim mjestima.

Bankarska licencija omogućuje svakoj banci da bude TPP, a Strejček kaže kako će se neke banke sigurno odlučiti to kako bi svojim klijentima omogućile da u svom internet ii mobilnom bankarstvu vide svoje račune u drugim bankama.

“I mi smo kao banka za to zainteresirani, a naš KeksPay je iskorak u tom smjeru. KeksPay je riješio problem povezivanja s drugom bankom jer je omogućio da se klijent prijavi sa svojom karticom i da unosom IBAN-a može primiti uplatu. Nakon 14. rujna KeksPay će postati TPP i svi korisnici koji to žele će moći ugovoriti da unutra aplikacije budu prikazani njihovi podaci u drugim bankama. To će ići postupno, ali to je logičan slijed. Želimo biti potentan TPP i želimo dohvatimo korisnike drugih banaka kojima, uvjereni smo, možemo pružiti dobru uslugu.”

Promjene na digitalnim kanalima

Novom regulativom uvodi se novi način potpisivanja transakcija na digitalnim kanalima, internetskom i mobilnom bankarstvu, a pojačava se sigurnost kod kartičnih plaćanja.

“Kada je riječ o digitalnim kanalima, strong customer autentifikacija postaje obavezna. Klijenti će ubuduće morati potpisivati svaku transakciju. Do sada fizičke osobe u Erste banci nisu morale potpisivati transakcije do 5000 kuna. Sada se taj limit ukida”, tumači Igor Strejček. “Dobra vijest je da klijent može složiti listu učestalih transakcija i te transakcije neće morati potpisivati. Zovemo to Listom povjerenja. Također, neće se morati potpisivati transakcije u iznosu do 200 kuna.”

“Mi promoviramo da naši klijenti koriste za potpis mToken. Novost je da će se transakcije unutar mobilnog bankarstva moći potpisivati otiskom prsta ili skenom lica.”

Ovisno o mogućnostima mobilnog telefona, i u mToken aplikaciju će se moći prijaviti biometrijskim funkcionalnostima – otiskom prsta.

Chip & PIN obvezan za kreditne kartice

Nova obvezna sigurnosna dimenzija uvodi se i u kartični svijet. Od 14. rujna svaka kartična transakcija na prodajnom mjestu mora biti “chip and PIN”.

Najveća promjena odnosi se na kreditne kartice, jer debitne kartice su tu proceduru imale i do sada. Sve kreditne kartice nisu se potpisivale PIN-om, a mnogi korisnici vjerojatno ni ne znaju PIN s obzirom na to da su ga rijetko ili gotovo nikada koristili. Tako će korisnici kreditnih kartica od svoje banke morati dobiti PIN ako ga ne znaju jer na prodajnom mjestu više neće plaćati potpisom nego unosom PIN-a.

Plaćanje karticama po novom modelu na fizičkim mjestima kreće 14. rujna, ali što se tiče plaćanja na internetu u Erste banci očekuju odgodu jer nisu sve banke uspjele razviti sigurnosni potpis. Kako se ne bi desilo da neka banka ne može prihvatiti transakciju, europska bankarska asocijacija pregovara s lokalnim središnjim bankama o dogodi.

“Pretpostavljam da će do odgode doći”, kaže Strejček. “Erste banka je spremna, ali kao banka izdavatelj I prihvatitelj ne možemo sami egzistirati u tom ekosustavu.”

Izazov, prijetnja i prilika

Na kraju je rekao kako je regulator propisao dobru mjeru te da Erste baka u novoj regulativi vidi mnogo veći potencijal nego što je zakon predvidio. “Razvoj premium API-ja, preuzimanje uloge TPP-a putem KeksPaya i drugih aplikacija – to su područja u kojima očekujemo da ćemo napraviti iskorak i ostvariti svoje poslovne ciljeve”, zaključio je Strejček.

Damir Gužvinec rekao je kako će CorvusPay dodatnim kanalom plaćanja omogućiti rast online paymenta. “Bit ćemo provider koji će svima omogućiti nešto više, bolje, usudio bih se reći povoljnije, da će PSD2 otvoriti prostor za konkurentnost i inovacije. Naš glavni motiv je online payment koji je na našim prostorima relativno nisko u odnosu na gotovinu i plaćanje na POS terminalima Sve snage usmjeravamo na online payment i ovo je velika prilika da u okviru zakona napravimo posao sa svim bankama. Mnoge web trgovine nude mogućnost virmanskog plaćanja i tu vidimo najveću priliku jer je inicirano plaćanje putem transakcijskog računa u stvari automatizacija virmanskog plaćanja”, zaključio je direktor CorvusPaya.