Cztery ryzyka związane z panelami zarządzania zgodami, których banki nie powinny ignorować

Angielski / Niemiecki

Wymagania dotyczące panelu zarządzania zgodami klienta należą do najistotniejszych zmian wprowadzanych przez nowe rozporządzenie w sprawie usług płatniczych (PSR), które powinno zostać sfinalizowane przez UE jeszcze w tym roku. ¹

Panel zarządzania zgodami pozwala klientom kontrolować dostęp do ich danych bankowych ze strony firm trzecich. Firma doradcza Capco zidentyfikowała cztery ryzyka, które banki powinny wziąć pod uwagę podczas planowania prac:

1. Harmonogram wdrożenia PSR jest znacznie krótszy (21 miesięcy) niż w przypadku PSD2 (trzy do pięciu lat), a zmiany dotkną niemal całej bazy klientów.

Nawet biorąc pod uwagę tylko wymagania dotyczące panelu zgód, większe banki będą musiały wdrożyć funkcjonalności dla milionów klientów, co wymaga starannego planowania i pilotażu. Duże banki posiadające oddziały w wielu krajach będą miały obowiązek zapewnić dostęp do panelu zarządzania zgodami w każdym z tych krajów. ²

2. Banki będą musiały zarządzać dużymi ilościami danych – dwuletnią historią zgód każdego klienta.

Wymagania dotyczące zarządzania zgodami klienta nałożone przez PSR są wymagające. Istnieje obowiązek przechowywania dwuletniej historii wszystkich zgód, a potencjalnie także umożliwienia klientom odnowienia cofniętych zgód. Konieczna będzie przemyślana strategia zarządzania danymi, ponieważ ilość danych zgód obejmujących okres dwóch lat może osiągnąć znaczne rozmiary.

3. Rozporządzenie PSR wymaga proaktywnego komunikowania cofnięcia zgody stronom trzecim (TPP) oraz usunięcia przez nie danych pozyskanych na podstawie cofniętej zgody.

Ściśle związane z panelem zgód są interfejsy (API) otwartej bankowości, które umożliwiają stronom trzecim dostęp do danych konta lub inicjowanie płatności. Klient udziela zgodę na pojedynczą dyspozycję lub na określoną liczbę dni. Gdy zgoda zostaje cofnięta lub wygasa, banki obecnie biernie odmawiają realizacji usługi stronom trzecim.

PSR wprowadza zmianę: wymaga proaktywnego informowania dostawców usług otwartej bankowości o cofnięciu zgody. Te firmy z kolei – zgodnie z aktualną wersją regulacji Parlamentu UE – mają obowiązek usunięcia pozyskanych danych. To dodatkowo wzmacnia prawa użytkowników usług płatniczych do kontroli nad ich danymi. Trzeba zaznaczyć, że wiele banków również świadczy usługi otwartej bankowości, przez co wchodzi w role zarówno prowadzącego rachunek (ASPSP) oraz strony trzeciej (TPP).

Proces legislacyjny wciąż trwa, a ostateczna wersja regulacji może ulec zmianie.

4. PSR nie zawiera wszystkich wymagań związanych z panelem zgód i dostępem stron trzecich.

Część najważniejszych dodatkowych wymagań zostanie określona przez rozporządzenie o ramach dostępu do danych finansowych (FiDA) dla innych produktów finansowych.³ FiDA wymaga, aby banki, zarządzający majątkiem oraz ubezpieczyciele umożliwili dostęp stronom trzecim do informacji klientów, po uzyskaniu ich zgody, w zakresie szerszej gamy produktów finansowych, w tym kredytów hipotecznych i emerytur. W praktyce oznacza to, że banki i inni dostawcy usług finansowych będą musieli rozszerzyć swoje otwarte API bankowe, aby objąć te produkty oraz znaleźć sposób na pozyskanie wymaganych informacji ze swoich systemów wewnętrznych. FiDA jest nadal w trakcie procesu legislacyjnego, a treść rozporządzenia może ulec zmianie.

Podsumowując: Kluczowe znaczenie ma wczesne działanie

Kluczem do sukcesu we wdrażaniu PSR jest rozpoczęcie analizy regulacji i luk już teraz. Chociaż regulacja jest nadal opracowywana, harmonogram wdrożenia jest bardzo krótki. Wczesne wykonanie analizy luk pozwoli na zachowanie cennych miesięcy potrzebnych na implementację zmian.

Firma Capco wspiera klientów przy wdrażaniu PSD3 i PSR, oferując doradztwo i wsparcie we wdrożeniach, pomagając pewnie poruszać się po zmiennym środowisku płatności i zachowywać zgodność regulacyjną.

Skontaktuj się z nami, aby omówić, jak możemy pomóc Ci przygotować się na nadchodzące zmiany, maksymalizując dostępne możliwości.

Odnośniki
¹ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0298_PL.html 
² https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32015L2366 
³ https://www.europarl.europa.eu/doceo/document/TA-9-2024-0298_PL.html