ČNB začala rozdávat pokuty za nepřívětivou implementaci rozhraní PSD2

V únoru letošního roku došlo k historicky prvnímu udělení finanční pokuty od České národní banky jedné z českých bank z důvodu implementace PSD2 API způsobem, který brání uživatelům a poskytovatelům služeb třetích stran v jeho používání.

První pokutu ve výši 100 000 Kč udělila ČNB bance UniCredit. Pokutovány byly průtahy v nápravě dvou nálezů v implementaci PSD2 API, které dle závěrů ČNB „vytvářejí překážku pro poskytování služeb iniciování plateb“.

První problém spočíval v nutnosti provedení opakovaného silného ověření uživatele v rámci provádění PIS příkazů (Payment initiation service). Připomínáme, že za „silné ověření“ se považuje použití aspoň dvou z následně uvedených prvků, které musí být zároveň vzájemně nezávislé, aby prolomení jednoho nemohlo ovlivnit spolehlivost ostatních prvků:
1. údaje, které jsou známé pouze uživateli,
2. věci, které má uživatel ve své moci,
3. biometrické údaje uživatele.

V nabízeném workflow pro službu iniciování platby musel uživatel nejdříve provést přihlášení pomocí silného ověření, pak se mu zobrazila obrazovka s detailem platby a tlačítkem k podepsání, které uživatele znovu vyzvalo k silnému ověření své identity. Nutnost vícenásobného silného ověření je dle závěrů ČNB „nadbytečná a pouze prodlužuje proces platby. Jedná se tedy o překážku ve smyslu článku 32 odst. 3 nařízení RTS SCA“.

Další problém způsobilo napojení UniCredit na PSD2 API, které je založené na panevropském standardu PSD2 API Berlin Group a jehož nedostatkem byla nutnost zaslat třetím stranám číslo účtu ve formátu IBAN, aby se určilo, ke kterému účtu se bude udělovat přístup nebo provádět platba. Největší problém spočíval v tom, že svůj IBAN účet musel uživatel zadat manuálně. To nutilo uživatele podniknout dodatečné kroky, které jsou obzvlášť nepříjemné v prostředí českého bankovního styku, kde se formát IBAN skoro nepoužívá, a dá se předpokládat, že svůj účet v tomto formátu nikdo z hlavy nezná. Nemluvě o tom, že zadat bezchybně manuálně 24 alfanumerických znaků je celkem výzva.

Dle vyjádření ČNB byla pokuta udělena za zpoždění v implementaci povinných inovací, které měla mít banka hotové už v červnu minulého roku, ale jež ještě v únoru 2022 stále nedokončila. UniCredit jako jeden z důvodů prodlevy uvádí zjištění, že obdobné požadavky na opravy se objevily i z jiných regionů, v nichž působí, proto musela podniknout centrální opravu pro všechny dotčené trhy. Dle vyjádření UniCredit se opravy již nachází ve fázi testování a dle plánu by se měly dostat do produkce v květnu.

Od roku 2019, kdy vstoupilo v platnost nařízení RTS SCA a místní banky se vrhly na implementaci PSD2, jsme zaznamenali řadu stížností jak ze strany klientů, tak i poskytovatelů PSD2 služeb třetích stran na (ne)kvalitu implementace PSD2 API v praxi. Bylo dokonce možné nabýt dojmu, že banky záměrně znesnadňují třetím stranám využívání API. Nařízení ukládá povinnost poskytovat platební služby uživatelům a osobám oprávněným poskytovat platební služby bez vytváření překážek – a vypadá to, že se ČNB konečně rozhodla laxní přístup k plnění těchto nařízení finančně penalizovat. Zda to přinese zlepšení kvality a spolehlivosti komunikací přes PSD2 s českými bankami, se teprve uvidí.

Pokutování se nevyhnulo ani ČSOB

Vzápětí v březnu dostala pokutu další česká banka, tentokrát ČSOB, a to již ve výši 1 000 000 Kč. Důvodem bylo opoždění v implementaci již výše zmiňovaného silného ověřování uživatelů v rámci potvrzování plateb na webu. ČSOB jako jedna z posledních spustila silné ověřování plateb až na podzim minulého roku. Jako důvod zpoždění uvádí pandemickou situaci včetně omezení některých dodavatelských služeb, ale také hledání jiného způsobu ověřování, než je ePIN, který ČSOB považuje za uživatelsky nepřívětivý.

Zdroj: Usnesení ČNB o pokutě pro UniCredit bank a Usnesení ČNB o pokutě pro ČSOB