Informácia Národnej banky Slovenska k prístupu tretích strán k platobnému účtu

zo dňa 18. decembra 2017 k prechodnému obdobiu podľa zákona č. 281/2017 Z. z., ktorým sa mení a dopĺňa zákon č. 492/2009 Z. z. o platobných službách a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov1) (ďalej len „zákon č. 281/2017 Z. z.").

1 Všeobecné informácie

1.1 Od účinnosti nového zákona č. 281/2017 Z. z., 13. januára 2018,  sú poskytovatelia platobných služieb, ktorí vedú platobný účet2) používateľa platobných služieb povinní:
a) umožniť používateľovi platobných služieb zadať platobný príkaz (prostredníctvom poskytovateľa platobných iniciačných služieb) a
b) poskytnúť (so súhlasom používateľa platobných služieb) poskytovateľom služby informovania o účte informácie o platobnom účte používateľa
(ďalej len „zaistiť tretím stranám prístup k platobnému účtu").

1.2 Základné vzájomné práva a povinnosti poskytovateľov platobných služieb, ktorí vedú používateľovi platobných služieb platobný účet,  poskytovateľov platobnej iniciačnej služby a platobnej služby informovanie o účte sú uvedené v § 3a a 3b zákona č. 281/2017 Z. z.

1.3 Podrobnejšiu úpravu vzájomných práv a povinností zákon č. 281/2017 Z. z., resp. transponovaná smernica PSD2 o platobných službách3), prenecháva priamo aplikovateľným predpisom Európskej únie tzv. regulačným technickým štandardom, ktoré sa týkajú silnej autentifikácie (overovaniu) klientov a spoločnej bezpečnej komunikácie4). Tieto regulačné štandardy nadobudnú účinnosť až po uplynutí legisvakančnej lehoty, ktorá začína plynúť od ich vydania. Mnohé súvisiace regulačné technické štandardy neboli doteraz vydané; s ich účinnosťou je možné počítať až v druhej polovici roka 2019.

1.4 Od 13. januára 2018 do doby účinnosti regulačných technických štandardov vzniká prechodné obdobie, počas ktorého sú vzájomné práva  povinnosti poskytovateľov platobných iniciačných služieb a služieb informovania o účte upravené len rámcovo v zákone č. 281/2017 Z. z. Za účelom ujasnenia si právneho stavu  počas tohto prechodného obdobia Národná banka Slovenska vydáva túto informáciu .

2 API a screen scraping

2.1 Poskytovatelia platobných služieb, ktorí vedú platobný účet prístupný prostredníctvom internetu, sú povinní zabezpečiť tretím stranám prístup k takému účtu. Technické spôsoby ako zabezpečiť prístup k takémuto účtu existujú v súčasnosti dva:
- prostredníctvom zvláštneho rozhrania umožňujúceho strojovú komunikáciu (API) a
- prostredníctvom strojového čítania užívateľského rozhrania (screen scraping).

2.2 Zákon č. 281/2017 Z. z. neupravuje spôsob prístupu k účtu, iba dáva poskytovateľovi platobných služieb, ktorý vedie používateľovi platobných služieb platobný účet, povinnosť tak urobiť. Poskytovateľ platobných služieb, ktorý vedie platobný účet, sa teda môže sám rozhodnúť využívať (dať tretím stranám k dispozícii) obidva spôsoby alebo len jeden z nich. Pokiaľ budú chcieť tretie strany pristupovať k príslušnému platobnému účtu používateľa platobných služieb, musia sa tejto voľbe poskytovateľa platobných služieb prispôsobiť.

2.3 Ak poskytovateľ platobných služieb, ktorý vedie platobný účet používateľa platobných služieb, využije iba jeden z týchto spôsobov prístupu (napríklad API), splní si tým svoju zákonnú povinnosť. V takomto prípade sa už druhý spôsob prístupu (napríklad screen scraping) nemusí umožniť.

2.4 Rovnako dôležité je aj to, že tretie strany v prípade, že pristupujú k platobnému účtu, sú povinné v súlade s § 3a ods. 2 písm. d) a § 3b ods. 2 písm. d) zákona č. 281/2017 Z. z. sa identifikovať (osvedčiť svoju totožnosť) poskytovateľovi platobných služieb, ktorý vedie platobný účet. Identifikovanie sa (osvedčenie totožnosti) tretej strany je možné technicky najlepšie zrealizovať prostredníctvom prístupu API, je však nevyhnutné ho zrealizovať aj pri prístupe screen scrapingu, čo sa podľa dostupných informácií javí ako technicky náročnejšie riešenie.

2.5 Národná banka Slovenska považuje vzhľadom k vyššie uvedenému za optimálnejší spôsob sprístupnenia platobného účtu tretím stranám API. API je možné považovať za prostriedok eliminujúci rizikové faktory spojené so zdieľaním osobných bezpečnostných prvkov klienta pri využití screen scrapingu.

3 Charakteristika API a štandardizačné iniciatívy

3.1 Ak sa rozhodne poskytovateľ platobných služieb, ktorý vedie platobný účet používateľa platobných služieb, využiť spôsob API ako prostriedok na zabezpečenie prístupu tretích strán k platobnému účtu, musí zabezpečiť, aby toto API spĺňalo základné zákonné podmienky.

3.2 API umožňujúce zadať platobný príkaz prostredníctvom poskytovateľa platobných iniciačných služieb musí umožniť zadať rovnaké typy platobných príkazov, ktoré môže používateľ platobných služieb zadať cez internet prostredníctvom užívateľského rozhrania. -

3.3 API pre zdieľanie informácií o platobnom účte používateľa platobných služieb musí v súlade s § 3b zákona č. 281/2017 Z. z. sprístupniť informácie o platobnom účte v takom rozsahu, v akom sú k dispozícii používateľovi platobných služieb prostredníctvom internetu.

3.4 Prístup k API musí byť založený na zásade rovnosti a nediskriminácie. Všetky tretie strany (vrátane zahraničných tretích strán patriacich do skupiny poskytovateľa platobných služieb, ktorý vedie platobný účet) musia mať možnosť získať prístup k platobnému účtu na základe rovnakých podmienok. Využívanie API nie je možné podmieniť uzatvorením zmluvy, ale je možné podmieniť napríklad registráciou nevyhnutnou na získanie prístupových bezpečnostných prvkov k API, či prístupu k dokumentácii API. Postup registrácie však musí byť založený na zásade rovnakého prístupu a nediskriminácie.

3.5 Informácie nevyhnutné pre používanie API musia byť spracované v podobe dokumentácie k API. Využívanie API nie je možné nepriamo obmedziť na slovenské tretie strany či na tretie strany pôsobiace na území Slovenskej republiky (napríklad požiadavkou na certifikáty vydávané iba slovenskými certifikačnými autoritami alebo požiadavkou na zápis tretej strany do regulovaných zoznamov a registrovaných subjektov finančného trhu NBS - https://subjekty.nbs.sk/). Je možné stanoviť napríklad podmienky, ktoré musia certifikáty splňovať, tieto však musia byť súčasťou dokumentácie k API a musia byť opäť založené na zásade rovného prístupu a nediskriminácie.

3.6 V Slovenskej republike i v iných krajinách vznikli štandardizačné iniciatívy, ktoré si kladú za cieľ vyvinúť špecifikáciu pre API spĺňajúce vyššie uvedené podmienky (Slovak Banking API Standard vytvorený SBA, Czech Open Banking Standard vytvorený ČBA, štandard Berlin Group, britský Open Banking Standard, STET). Využívanie niektorého z týchto štandardov znižuje náklady poskytovateľom platobných účtov, ktorí vedú používateľom platobných služieb platobné účty, rovnako znižujú náklady aj tretím stranám a preto je ich použitie vhodné.



1)  https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2017/281/vyhlasene_znenie.html
2) Ide o platobný účet podľa  § 2 ods. 9 zákona č. 492/2009 Z. z.
3) PSD2: http://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32015L2366&qid=1513863427163&from=SK
4) Návrh regulačného technického štandardu k silnej autentifikácii a bezpečnej komunikácii:
http://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2
Návrh regulačného technického štandardu k EBA registru:
http://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/technical-standards-on-the-eba-register-under-psd2