Open Banking, czyli zasady otwartej bankowości
ofin.plBankiOpen Banking, czyli zasady otwartej bankowości

Open Banking, czyli zasady otwartej bankowości

Otwarta bankowość (Open Banking), wprowadzona dyrektywą PSD2, rewolucjonizuje europejski sektor finansowy, zobowiązując banki do udostępniania danych klientów (za ich zgodą) licencjonowanym firmom trzecim (TPP) poprzez bezpieczne interfejsy API. Umożliwia to rozwój innowacyjnych usług, takich jak agregatory kont, narzędzia do zarządzania budżetem czy szybsze procesy weryfikacji przy wnioskowaniu o produkty finansowe. Zrozumienie zasad działania Open Banking, rodzajów udostępnianych danych (AIS, PIS, CAF), mechanizmów bezpieczeństwa oraz potencjalnych korzyści i ryzyk jest kluczowe dla świadomego korzystania z nowoczesnych usług finansowych.

Emil Marecki
Emil Marecki, 23.04.2025 r

Open banking — co to jest?

Open banking to polityka tzw. otwartej bankowości. Dzięki niej banki są zobowiązane udostępniać interfejs programowania aplikacji API licencjonowanym podmiotom trzecim.

Dostępność API pozwala na stworzenie systemów, które pobierają informacje na temat konta bankowego klienta prosto z bazy danych banku. W ten sposób, za upoważnieniem klienta, możliwe jest stworzenie usług, które pozwalają w łatwy i szybki sposób przetwarzać transakcje oraz identyfikować tożsamość użytkowników za pośrednictwem bankowości.

Open banking został ustanowiony w ramach dyrektywy Payment Services Directive 2 Parlamentu Europejskiego. PSD2 ma na celu ujednolicenie regulacji bankowych na terenie unii. Wprowadza on wymogi w kwestii bezpieczeństwa w bankowości, standaryzuje obsługę klienta, oraz prowadzi działania mające na celu zwiększenie konkurencyjności w branży finansowej.

Jak działa otwarta bankowość?

Otwarta bankowość działa na zasadzie otwarcia dostępu do danych i usług finansowych klientów dla firm trzecich, przy zachowaniu ich zgody i zapewnieniu bezpieczeństwa. Dostęp do API umożliwia powstanie serwisów, które realizują przeróżne usługi, wyręczając klienta z przeprowadzania operacji bankowych lub posiłkując się danymi z konta. Firmy te oferują swoje usługi w partnerstwie z np. sklepami internetowymi, pożyczkodawcami, oraz innymi serwisami. Chcąc wykorzystać ich rozwiązania, klient loguje się do konta bankowego za pośrednictwem aplikacji, upoważniając ją do pobrania danych niezbędnych dla usługi.

Przykładowo, aplikacje uwierzytelniające jak Kontomatik czy Instantor pozwalają klientowi zalogować się na konto, aby potwierdzić swoją tożsamość za pomocą danych z bankowych oraz umożliwić szybką ocenę zdolności kredytowej.

Czym jest interfejs API?

Interfejs API, czyli Application Programming Interface, to zbiór wytycznych, rutyn i protokołów, który pozwala firmom trzecim na połączenie się z bazą danych banku i pobraniu z niej informacji na temat klienta w wymiarze, w którym ten wyraził na to zgodę.

Interfejs programowania aplikacji nie jest ideą czysto związaną z otwartą bankowością. Wiele programów wykorzystuje różne systemy API aby umożliwić aplikacjom i komputerom na wymianę informacji między sobą. Banki wykorzystywały swoje API prywatnie do spraw wewnętrznych, jednak za sprawą dyrektywy PSD2 musiały udostępnić API zainteresowanym i licencjonowanych firmom. Jest to most między bankiem a dowolnym programem, który musi wejść w interakcje z nim aby spełnić swoje zadanie.

Jakie informacje są udostępniane w ramach otwartej bankowości?

Wyróżniamy trzy rodzaje informacji udostępnianych w ramach otwartej bankowości:

  • AIS - Account information service, czyli udostępnianie informacji o rachunkach bankowych.
  • PIS - Payment initiation service, czyli inicjowanie płatności, np. w sklepach internetowych. Korzysta z niego np. popularny system PayU.
  • CAF - Confirmation on the availability of funds, czyli potwierdzenie dostępności pożądanej kwoty na rachunku płatniczym. Sklep sprawdza, czy stać nas na zakup, którego chcemy dokonać.

Czego wymaga udostępnianie danych w bankowości internetowej?

Udostępnienie danych w ramach otwartej bankowości wymaga, aby klient uwierzytelnił serwis do przeprowadzenia operacji na jego koncie bankowym. Innymi słowy, należy zalogować się do banku przez interfejs usługi. Kiedy to zrobimy, upoważniamy aplikację do przeprowadzenia operacji w zakresie określonym w regulaminie jej użytkowania. w ten sposób mamy pełną kontrolę nad bezpieczeństwem naszych danych. Bez naszej zgody, nikt nie ma dostępu do naszych informacji!

Otwarte usługi bankowe w Polsce

Model otwartych usług bankowych jest wprowadzany w Polsce od 2019 roku. Pozwolił on na ujednolicenie usług bankowych, dzięki czemu możliwe jest zarządzania kontami w różnych bankach za pomocą pojedynczych aplikacji, oraz łatwiejsza i szybsza weryfikacja tożsamości na portalach pożyczkowych.

Bezpieczeństwo otwartej bankowości

Otwarta bankowość jest bezpieczna. Firmy TPP nie mogą wykorzystać naszych danych bez naszej zgody. Wobec tego bezpieczeństwo otwartej bankowości zależy w dużym stopniu od nas, naszej ostrożności w sieci i odpowiedzialnego korzystania z dostępnych usług.

Zewnętrzni usługodawcy, którzy chcą tworzyć i udostępniać technologie otwartej bankowości, muszą również spełniać regulacje i zarejestrować swoją działalność przed państwowym organem nadzoru. Rejestr firm możemy znaleźć na stronie Europejskiego Urzędu Nadzoru Bankowego (EBA).

Korzyści i ryzyka otwartej bankowości

Wprowadzenie zasad otwartej bankowości przynosi szereg znaczących korzyści dla konsumentów i rynku finansowego, ale wiąże się również z pewnymi ryzykami, o których warto pamiętać.

Korzyści Open Banking

  • Większa kontrola i wygoda – Możliwość agregacji informacji o kontach z różnych banków w jednej aplikacji zewnętrznej (dzięki usłudze AIS), co ułatwia całościowe zarządzanie finansami osobistymi i budżetowanie.
  • Nowe, innowacyjne usługi – Powstanie wielu narzędzi i aplikacji oferowanych przez firmy trzecie (TPP), które wykorzystują dane bankowe do świadczenia usług niedostępnych wcześniej w bankach (np. zaawansowane analizy wydatków, automatyczne porównywanie ofert, platformy PFM - Personal Finance Management).
  • Łatwiejsze porównywanie i zmiana dostawców – Dostęp do zagregowanych danych ułatwia porównywanie ofert różnych banków i instytucji finansowych, potencjalnie obniżając koszty i ułatwiając zmianę dostawcy usług.
  • Szybsze i prostsze procesy – Usługi takie jak AIS (informacja o rachunku) mogą przyspieszyć ocenę zdolności kredytowej przy wnioskowaniu o pożyczkę, a PIS (inicjowanie płatności) oferuje alternatywne, często szybsze metody płatności online.
  • Zwiększona konkurencja – Otwarcie rynku dla TPP wymusza na tradycyjnych bankach większą innowacyjność, poprawę jakości usług i potencjalnie obniżenie opłat, aby pozostać konkurencyjnymi.

Ryzyka Open Banking

  • Ryzyko bezpieczeństwa danych u TPP – Chociaż samo API bankowe jest bezpieczne, dane udostępnione firmie trzeciej mogą być narażone na wyciek lub atak hakerski, jeśli TPP nie stosuje odpowiednio wysokich standardów bezpieczeństwa.
  • Ryzyko phishingu i oszustw – Mogą pojawić się nowe formy phishingu, gdzie oszuści podszywają się pod legalne TPP, próbując wyłudzić dane logowania do banku za pośrednictwem fałszywych interfejsów.
  • Ryzyko nadmiernego udostępniania danych – Klient, udzielając zgody, może nie być w pełni świadomy zakresu danych, do których TPP uzyskuje dostęp, lub czasu, na jaki zgoda jest udzielana.
  • Złożoność i wykluczenie cyfrowe – Dla osób mniej biegłych technologicznie, zarządzanie zgodami i korzystanie z wielu aplikacji może być skomplikowane i budzić obawy.
  • Kwestie odpowiedzialności – W przypadku nieautoryzowanej transakcji lub wycieku danych, ustalenie odpowiedzialności (bank vs TPP) może być czasem bardziej skomplikowane dla klienta.

Kluczem do bezpiecznego korzystania z otwartej bankowości jest świadome zarządzanie zgodami, korzystanie wyłącznie z usług licencjonowanych i zarejestrowanych TPP oraz stosowanie podstawowych zasad cyberhigieny.

Podsumowanie najważniejszych informacji na temat otwartej bankowości

Otwarta bankowość przyznaje konsumentom większą kontrolę nad swoimi finansami. Nasze konto bankowe jest faktycznie pod naszą kontrolą. Możemy przekazywać zawarte na nim dane i powierzać limitowaną kontrolę usługodawcom wedle własnej woli. W ten sposób banki nie mogą utrudniać zarządzania pieniędzmi tak, aby uzależniać nas od swoich systemów i środowiska cyfrowego. Jednocześnie banki nie mogą faworyzować jednych usługodawców TPP nad drugich i ograniczać swojej współpracy w nieuczciwy sposób. Zasady współpracy z bankami i dostępu do ich API zostały możliwie wystandaryzowane, umożliwiając uczciwą rywalizację na rynku finansowym.

Często zadawane pytania

Czy muszę korzystać z usług opartych na Open Banking, aby używać swojego konta bankowego?
Nie, korzystanie z usług firm trzecich (TPP) w ramach Open Banking jest całkowicie dobrowolne. To Ty jako klient decydujesz, czy i której firmie chcesz udzielić zgody na dostęp do danych swojego rachunku lub na inicjowanie płatności. Możesz w pełni korzystać ze swojego konta bankowego wyłącznie poprzez kanały udostępniane przez Twój bank (bankowość internetowa, aplikacja mobilna banku).
Jakie firmy (TPP - Third Party Providers) mogą uzyskać dostęp do moich danych bankowych?
Dostęp mogą uzyskać wyłącznie podmioty, które posiadają odpowiednią licencję wydaną przez organ nadzoru finansowego (w Polsce jest to KNF) lub są notyfikowane w ramach paszportu europejskiego. Muszą one być zarejestrowane jako dostawcy świadczący usługę dostępu do informacji o rachunku (AISP) lub usługę inicjowania płatności (PISP). Lista licencjonowanych podmiotów jest publicznie dostępna (np. w rejestrach KNF i EBA). Ponadto, dostęp jest możliwy tylko po Twojej wyraźnej zgodzie udzielonej dla konkretnej firmy i konkretnego zakresu usług.
W jaki sposób mogę zarządzać zgodami udzielonymi firmom trzecim (TPP) i jak je cofnąć?
Zgodnie z wymogami PSD2, Twój bank musi udostępnić Ci w systemie bankowości internetowej lub mobilnej narzędzie do zarządzania zgodami udzielonymi TPP. Powinieneś tam widzieć listę firm, którym udzieliłeś dostępu, zakres tego dostępu oraz datę jego wygaśnięcia. Z tego poziomu powinieneś mieć również możliwość w każdej chwili odwołać (cofnąć) udzieloną zgodę dla dowolnego TPP.
Czy Open Banking oznacza, że moje dane bankowe są mniej bezpieczne niż wcześniej?
Sama technologia Open Banking opiera się na bezpiecznych, standardyzowanych interfejsach API i silnym uwierzytelnianiu klienta (SCA), co co do zasady nie obniża bezpieczeństwa systemów bankowych. Ryzyko przenosi się jednak częściowo na firmy trzecie (TPP) – jeśli TPP nieodpowiednio zabezpieczy pozyskane dane, mogą one wyciec. Dlatego kluczowe jest korzystanie wyłącznie z licencjonowanych TPP i świadome udzielanie zgód tylko na niezbędny zakres danych i czas.
Jaka jest główna różnica między usługą AIS (dostęp do informacji) a PIS (inicjowanie płatności)?
AIS (Account Information Service) pozwala firmie trzeciej (TPP) jedynie na odczytywanie informacji o Twoich rachunkach bankowych (np. salda, historii transakcji) – służy np. do agregacji kont czy analizy wydatków. PIS (Payment Initiation Service) pozwala TPP na inicjowanie płatności (przelewu) bezpośrednio z Twojego rachunku bankowego w Twoim imieniu (po Twojej autoryzacji) – służy np. do realizacji płatności w sklepach internetowych jako alternatywa dla karty czy szybkiego przelewu typu pay-by-link.
Co dokładnie dyrektywa PSD2 zmieniła w kontekście dostępu do danych bankowych (Open Banking)?
Dyrektywa PSD2 (Payment Services Directive 2) nałożyła na banki obowiązek zapewnienia licencjonowanym podmiotom trzecim (TPP) bezpiecznego dostępu do rachunków płatniczych klientów poprzez otwarte interfejsy API (tzw. dostęp XS2A - Access to Account). Kluczowe zmiany to umożliwienie świadczenia dwóch nowych rodzajów usług przez TPP (za zgodą klienta): Usługi Dostępu do Informacji o Rachunku (AIS), pozwalającej np. na agregację kont, oraz Usługi Inicjowania Płatności (PIS), umożliwiającej zlecanie przelewów z konta klienta. PSD2 wprowadziła również wymóg stosowania Silnego Uwierzytelnienia Klienta (SCA) przy dostępie do danych i inicjowaniu płatności online, zwiększając bezpieczeństwo.
Kto w praktyce nadzoruje firmy (TPP) korzystające z Open Banking w Polsce – EBA czy KNF?
Nadzór nad TPP jest sprawowany na dwóch poziomach. Europejski Urząd Nadzoru Bankowego (EBA) odgrywa kluczową rolę w tworzeniu jednolitych standardów technicznych i regulacyjnych (RTS) dla PSD2 oraz prowadzi centralny rejestr TPP uprawnionych do działania w całej UE. Natomiast bezpośredni nadzór nad firmami zarejestrowanymi lub posiadającymi licencję w Polsce (w tym wydawanie zezwoleń polskim TPP, monitorowanie ich działalności, przyjmowanie skarg i egzekwowanie przepisów) sprawuje krajowy organ nadzoru, czyli Komisja Nadzoru Finansowego (KNF). KNF współpracuje z EBA i innymi nadzorcami krajowymi.
Czy dyrektywa PSD2 wprowadziła tylko zasady Open Banking, czy obejmuje coś jeszcze?
Open Banking (czyli regulacje dotyczące dostępu TPP do rachunków przez API) to tylko jeden z ważnych elementów wprowadzonych przez dyrektywę PSD2. PSD2 jest znacznie szerszą regulacją dotyczącą usług płatniczych w UE. Oprócz zasad otwartej bankowości, wprowadziła ona m.in. powszechny wymóg stosowania Silnego Uwierzytelnienia Klienta (SCA) dla większości płatności elektronicznych i dostępu do konta online, ujednolicone zasady odpowiedzialności za nieautoryzowane transakcje, zwiększone wymogi informacyjne wobec klientów oraz ogólne ramy prawne dla działania różnych dostawców usług płatniczych, nie tylko TPP.

Komentarze

Empty comments
Zostaw swój komentarz!
Nie znaleźliśmy żadnej opinii o tym produkcie. Pomóż innym klientom. Podziel się swoją opinią jako pierwszy.
Dodaj komentarz
Twoja ocena
5
Dodaj komentarz
Twoja ocena
5