Вече се работи по разработването на QR стандарт на ЕС за разплащанията

Какво е „Screen scraping“ и дали скоро европейските потребители ще могат да извършват плащания само чрез QR код? На тези въпроси отговор потърсихме от Ерик Дюкуломбие, ръководител на отдела за търговия на дребно и плащания в Европейската комисия (DG FISMA).

Той обясни още, че доставчиците на платежни услуги ще трябва да спазват изискванията на незабавни кредитни преводи в евро от 9 януари 2025 г. независимо от валутата на държавата членка, в която се намират.

Голяма иновация занапред ще бъдат QR кодовете за разплащане или други приложения, използващи NFC технология. Такива решения съществуват на вътрешния пазар в някои държави-членки, но те все още не са трансгранични. Вече се работи по разработването на QR стандарт, поясни Дюкуломбие.

Г-н Дюкуломбие, защо EK се отказа от въвеждането на единен стандарт в директивата за плащанията, което e основна причина за забавянето й?

Комисията счете, че е за предпочитане да не налага нов стандартен интерфейс за програмиране на приложения (API) за достъп до данни, тъй като това би било твърде скъпо зa доставчиците или т.н. Account Servicing Payment Service Provider (ASPSP) и несправедливо спрямо онези, които добросъвестно са внедрили различен интерфейс API.

От друга страна, предложението за Payment Service Regulation (PSR) е много по-ясно и подробно от предишните правила по отношение на минимално необходимите функционалности и стандарти за изпълнение на специализираните интерфейси.

Толкова много доставчици на услуги ще трябва да настроят своите интерфейси независимо какво приложение използват. Регулацията се фокусира върху резултатите, а не върху средствата за постигането им.

Защо комбинирахте регулациите за платежните институции и институциите за електронни пари?

Правната рамка към институциите за електронни пари и платежните институции в Директивата за електронни пари и PSD2 вече е достатъчно последователна. Изискванията например за издаване на електронни пари, разпространение на електронни пари и обратно изкупуване, обаче са доста различни в сравнение с услугите, предоставяни от платежните институции.

Надзорните органи имаха практически трудности при ясното разграничаване на двата режима и при разграничаването на продуктите/услугите за електронни пари от платежните услуги. Поради това се предлага сливане на двата режима, като се обединят в един законодателен акт и се хармонизират доколкото е възможно. Това ще гарантира по-висока степен на хармонизация и опростяване.

До какви промени ще доведе възможността за директен достъп до платежните схеми? Очаквате ли засилена конкуренция?

Трябва да се отбележи, че тази реформа вече беше въведена чрез Регламента за незабавните плащания, в очакване на Payment Service Regulation и Payment Service Directive (PSD3).  Kрайният срок за въвеждането й е през април 2025 г. Проблемът беше, че Директивата за окончателност на сетълмента възпрепятстваше достъпа на платежните институции (PI)  и дружествата за електронни пари (EMI) до платежни инфраструктури. Това ги принуди  да разчитат още повече на търговските банки, създавайки структурна зависимост от банките и неравнопоставени условия, тъй като банките са техни конкуренти. Премахването на тази бариера, с подходящи предпазни мерки ще гарантира, че те могат да спазват правилата и да предлагат платежни услуги на по-ниска цена с по-голяма надеждност. Основната идея е да насърчим конкуренцията.

Промените в PSD3 не връщат ли скрийн скрапинга (screen scraping ) на банковия пазар?

Screen scraping oзначава извличане на данни от софтуерно приложение или потребителски интерфейс (UI) на уеб страница. Това е изрично забранено в предложението за регулация. Това са финансови технологии, които имат достъп до клиентски данни в платежни сметки без да се идентифицират.

Всички доставчици на услуги за плащания (ASPSP), които не се възползват от изключение от техния компетентен орган, ще трябва да поддържат специален интерфейс за отворено банкиране API. Ако отвореният банков интерфейс на банката не работи и не може бързо да предложи ефективно алтернативно решение на доставчиците, те могат да поискат от своя национален орган да им бъде разрешено да използват друг интерфейс докато специализираният интерфейс на доставчика бъде възстановен.

Банковият регулатор може да постави срок на банките за възстановяването на интерфейса със санкции, ако банката не успее да се справи в срок. Доставчиците на отворено банкиране си запазват правото да поискат обезщетение от банката за загуба на бизнес.

Защо незабавните плащания и изискванията към тях са различни за българския лев и еврото например?

Регламентът за незабавните плащания (IPR) не урежда незабавните кредитни преводи, изпълнявани от доставчиците на платежни услуги във валути, различни от еврото. (Забележка: той урежда незабавни кредитни преводи в евро, които са изпратени от или получени по сметки, деноминирани във валути, различни от еврото).

Това е така, защото регулирането на ниво ЕС трябва да зачита принципа на субсидиарност. Това оправдава намесата на ЕС в ситуации, в които държавите-членки извън еврозоната не са в състояние да постигнат ефективни резултати.

Схемата SEPA Instant Credit Transfer е схема за кредитни преводи в евро от 2017 г. Но за да може тази паневропейска мрежа да постигне пълния си икономически потенциал, действията, които бяха необходими за ефективно справяне с определени идентифицирани пречки, можеха да бъдат предприети най-добре на ниво ЕС. Същото не важи за незабавни кредитни преводи в национални валути, различни от еврото, тъй като такива плащания се изпълняват само на вътрешния пазар в съответните държави-членки.

Също така е важно да се отбележи, че изискванията, които са включени в Директивата за платежните услуги (в момента в процес на преразглеждане), се прилагат за национални незабавни кредитни преводи във валута, различна от еврото.

Какво трябва да се случи при сценария, когато България приеме еврото в средата на 2025 г.? Изисква ли се всички вътрешни плащания да станат незабавни?

Правата на интелектуална собственост не управляват незабавни плащания, извършвани от доставчици на услуги във валути, различни от еврото. Правото на интелектуална собственост обаче изисква доставчиците на услуги в държави-членки, чиято национална валута не е еврото, да предоставят на своите доставчици на услуги услугата за изпращане и получаване на незабавни кредитни преводи в евро.

Регламентът изисква доставчиците на платежни услуги, които се намират в държава-членка, която въвежда еврото като своя валута, да отговарят на изискванията на Правото на интелектуална собственост относно предоставянето на незабавни кредитни преводи в евро, тяхното ценообразуване, както и проверка на услугата на получателя в рамките на една година от датата, на която еврото е въведено като валута.  Доставчиците на платежни услуги ще трябва да спазват изискванията на незабавни кредитни преводи в евро от 9 януари 2025 г. независимо от валутата на държавата членка, в която се намират.

В кои области на платежните услуги очаквате най-много иновации след влизането в сила на PSD3?

Една област, в която се очакват непрекъснати иновации, е използването на плащания от сметка към сметка (A2A). По този начин се избягва необходимостта от платежен инструмент като карта. Средството за иницииране на такива плащания може да бъде например QR код или приложение или NFC технология. Такива решения съществуват на вътрешния пазар в някои държави-членки, но те все още не са трансгранични. Вече се работи по разработването на QR стандарт на ЕС за плащания, а прилагането на регламента за незабавните плащания е още един стимул за разработването на такива общоевропейски решения за плащане.

Какво ново в областта на сигурността на платежните услуги ще внедри PSD3? 

Предложението за Rayments Service Regulation (PSR) включва наред с други мерки за борба с измамите с плащания и редица разяснения, свързани с прилагането на разпоредбиte, свързани с идентификацията на клиента или т.н. Strong Customer Authentication (SCA). Ще има ново право на възстановяване на средства за потребители, манипулирани да разрешат платежна транзакция от измамник, представящ се за служител на доставчика на платежни услуги (PSP). Това ще става при определени условия, при  „груба небрежност“ ограничена до еднократни случаи и изискване за сътрудничество за доставчиците на електронни комуникационни услуги;

Законодателството ще разшири услугата за проверка на IBAN/име за всички редовни кредитни преводи и незабавни плащания към валути на ЕС извън евро;

Ще има възможност доставчиците на услуги да споделят доброволно IBAN на предполагаема измамна платежна транзакция въз основа на договорености за споделяне и предпазни мерки;

Доставчиците на услуги ще са задължени да „образоват“ своите клиенти и служители относно рисковете от измами;

По въпроса за идентификацията на клиента трябва да се знае, че:

За транзакции, инициирани от търговци, първоначалната настройка изисква Strong Customer Authentication (SCA), но не и последващи плащания.

Записването на платежни инструменти в дигитални портфейли изисква SCA по време на записване на нов токен или замяна на токен.

За поръчки по пощата и по телефона само инициирането на плащане трябва да е нецифрово, за да бъде освободено от необходимостта от идентификация на клиента.

За поръчки по имейл и по телефон плащането все още трябва да бъде предмет на проверки за измами, анализ на транзакционния риск и други контроли за сигурност, за да се избегнат злоупотреби.

Освобождаването от засилена автентикация на клиента за директни дебити е стеснено.

Има нови задължение за доставчиците на платежни услуги по отношение на директните дебити.

Кога FIDA ще влезе в действие и защо възприема напълно различен подход към достъпа до финансови данни в сравнение с банковите данни?

Financial Data Access регулацията (FIDA) не е напълно различен подход спрямо директивата за плащанията (PSD2) – това са допълващи се рамки. И двете въвеждат правно задължение за финансовите оператори да споделят данни. И двете ограничават достъпа до данни при определени условия. И двете се стремят да подобрят контрола на клиентите чрез въвеждане удобни табла за управление.

Но разликите между двете са неизбежни. Видовете разглеждани данни са съществено различни. Политическите мерки, необходими за подобряване на вече съществуваща система за споделяне на данни съгласно PSD2, са различни от тези за изграждане на нова регулаторна система за други части на финансовия сектор. PSD е съществуваща правна рамка. Отвореното финансиране е нова рамка, в която може да вземем научените уроци и да я изградим по различен начин. 

FIDA е основана на PSD2, но се отклонява по ключови начини:

Първо, относно стандартизацията. PSD2 не наложи общи стандарти за API. FIDA вече дава мандат на пазара да работи заедно в схеми за споделяне на финансови данни, за да работи върху стандартизирани технически интерфейси от самото начало.

Второ, относно компенсацията и качеството на данните. Искаме действащите оператори да гледат на споделянето на данни във финансите като нещо повече от обикновен въпрос за съответствие. FIDA се основава на Закона за данните, който предвижда разумна компенсация за предоставяне на данни въз основа на договорен достъп. Разумната компенсация ще бъде силен стимул за притежателите на данни да гарантират разработването на висококачествени интерфейси.

Регулацията трябва да влезе в сила в страните 24 месеца след влизането в сила и от страните зависи дали тази амбиция ще бъде спазена.

Като се имат предвид трудните първи стъпки за прилагане на „безплатно“ отворено банкиране, платеният достъп и организацията чрез схеми не предполагат ли още по-трудни първи стъпки за Open Finance?

Напротив. Вярваме, че преминаването към система на разумно обезщетение ще стимулира пазара да приеме FIDA. Тук става дума за създаване на достатъчно стимули за бизнеса. Оценката на PSD2 показа, че много притежатели на данни смятат, че инвестициите за изграждане на инфраструктура без компенсация са непропорционални. Консултацията за FIDA показа, че както притежателите на данни, така и потребителите на данни са готови да платят разумна компенсация, ако това означава достъп до по-висококачествени данни.

75% от респондентите се съгласиха, че притежателите на данни трябва да имат право на компенсация. Скоростта не е най-важното – целта е да се изгради стабилна отворена финансова рамка, която се основава на качеството на данните. Новата директива за плащания PSD3 ще остане базирана на сегашния модел. Причината е, че разходите за промяна на съществуващата система, включително преминаване към базиран на договор модел, биха били значителни. Обосновката за компенсация е по-малко силна, тъй като инвестициите вече са направени и интерфейсите вече са налице.