Czym jest usługa dostępu do informacji o rachunku?
Jest to usługa, która w prostych słowach polega na tym, że na żądnie klienta (np. nasze) dostarczane są online skonsolidowane informacje dotyczące naszego jednego bądź wielu rachunków płatniczych użytkownika (w szczególności prowadzonych w innych bankach lub podmiotach płatniczych).
Usługa ta świadczona jest, co ważne, za naszą wyraźną zgodą. Można zatem zapytać, gdzie w praktyce stosuje się to rozwiązanie? Najprostszym do podania przykładem jest np. wykonywanie oceny kredytowej, gdzie podmiot jej dokonujący (na zlecenie kredytodawcy lub pożyczkodawcy) pobierze sobie nasze informacje o rachunkach (oczywiście za naszą uprzednią zgodą na takie działanie) i następnie dokona oceny kredytowej.
Sam mechanizm może być wykorzystany w bardziej przyziemnych usługach świadczonych dla nas jako użytkowników. Możemy chcieć otrzymać zestawienie naszych wydatków czy wpływów za dany okres na podstawie różnych naszych rachunków płatniczych (np. w celu planu oszczędności). Innym przykładem wykorzystania tego mechanizmu może być usługa ustalenia tożsamości użytkownika dla celów dyrektywy AML (pranie brudnych pieniędzy).
Obowiązki i wymogi dostawcy usługi (AISP)
Jednym z podstawowych obowiązków ciążących na AISP jest konieczność zapewnienia, by indywidualne dane służące uwierzytelnieniu dostępu (hasła/loginy) nie były dostępne dla nikogo poza prowadzącym rachunek i użytkownikiem. Muszą także być przekazywane za pomocą bezpiecznych kanałów komunikacji. Dalej nałożono na niego ograniczenie w postaci umożliwienia mu jedynie dostępu do informacji dotyczących wskazanych rachunków i związanych z nimi transakcji płatniczych (te, na które wyraziliśmy zgodę). Samych danych dostawca nie może w żaden sposób używać ani przechowywać w celu innym niż związany z wykonaniem usługi dostępu do informacji o rachunku (AIP), a do tego musi on zawsze udzielić użytkownikowi pewnych informacji (np. o opłatach).
Aby zostać dostarczycielem usługi dostępu do informacji o rachunku nie trzeba posiadać funduszy własnych ani dodatkowych środków pieniężnych. Wystarczy bowiem minimalny kapitał zakładowy dla sp. z o.o., czyli 5.000 zł. Zarząd takiego podmiotu nie ma obowiązku posiadania specjalistycznego wykształcenia ani doświadczenia w zarządzaniu instytucją finansową. Jedyne co musi zostać przedstawione to dokumenty umożliwiające potwierdzenie tożsamości oraz dokumenty pozwalające ustalić tożsamość większościowych akcjonariuszy/udziałowców.
Dostawca usługi AIP podlega wpisowi do rejestru w KNF. I tutaj musi on przedłożyć do następujące dokumenty:
- Polisę OC/gwarancję bankową – to jest najważniejszy wymóg, a KNF surowo przypatruje się warunkom ubezpieczenia tak, aby środki użytkowników były chronione,
- Program działalności,
- Plan finansowy,
- Opis prezentujący sformalizowaną strukturę organizacyjną wraz z procedurami podejmowania decyzji,
- Zasady, w oparciu o które szacowane będzie ryzyko,
- Procedury służące identyfikacji ryzyka,
- Zasady, na podstawie których prowadzony będzie audyt wewnętrzny,
- Procedury monitorowania incydentów związanych z bezpieczeństwem oraz zarządzania incydentami,
- System komunikacji wewnętrznej,
- Procedury pozwalające chronić dane szczególnie chronione,
- Rozwiązania zapewniające ciągłość działania oraz
- Strategię w zakresie bezpieczeństwa.
Czy to w ogóle bezpieczne?
Jak najbardziej! Ustawodawca ustanowił szereg wymagań i regulacji, które trzeba spełnić, by taki dostęp do rachunku uzyskać. Samo AISP podlega przy tym nadzorowi KNF. Kluczowym filarem bezpieczeństwa w tym przypadku jest konieczność zawarcia przez usługodawcę umowy ubezpieczenia odpowiedzialności cywilnej za szkody powstałe w związku z wykonywaną działalnością z klientem lub posiadania gwarancji bankowej, gwarancji ubezpieczeniowej lub innego zabezpieczenia roszczeń użytkownika.
Cały proces udostępniania danych z rachunku odbywa się w praktyce w pełni automatycznie, pracownicy AISP więc nie wchodzą w posiadanie danych. Same hasła są zanonimizowane i nie mogą być wykorzystywane wielokrotnie, poza jednorazową usługą dostępu, którą zleci użytkownik (i w razie potrzeby swoje zgody na pobieranie danych będzie ponawiał).
A jakie mechanizmy zabezpieczają nas przed nieuprawnionym działaniem ze strony dostawcy dostępu? Może on na przykład spotkać się po prostu z odmową dostępu do strony dostawcy rachunku ze względu na podejrzenie działania nieuprawnionego. Każdy taki incydent musi zostać zakomunikowany płatnikowi jeszcze przed dokonaniem odmowy lub bezzwłocznie po jej dokonaniu, a już najpóźniej następnego dnia roboczego. Informowana o tym jest także KNF lub inne stosowne organy nadzorcze.
Ponadto ochrania nas także sama Ustawa o usługach płatniczych stwierdzając, że prowadzenie działalności w zakresie świadczenia usług płatniczych (a mamy tu z taką do czynienia) bez wpisu do rejestru KNF jest przestępstwem, za które można zostać ukaranym grzywną do 5 mln złotych i karą pozbawienia wolności do lat 2, przy czym odpowiedzialność karną ponosi także osoba, która działa „w imieniu lub w interesie osoby” prowadzącej taką działalność.
Usługa dostępu do informacji o twoim rachunku jest dla nas ciągle nowością na rynku usług finansowo-technicznych. Czy na pewno jest bezpieczna? Czas pokaże. Na ten moment jednak dobrze jest wiedzieć jak wygląda i czym się charakteryzuje, bowiem „nie taki wilk straszny, jak go malują”. Zastosowań samego AIP natomiast jest sporo i będą wymyślane coraz to nowe w tej internetowej erze.
–
Autor: Marcin Staniszewski, radca prawny w Kancelarii Prawnej RPMS Staniszewski & Wspólnicy