استفاده از PSD2 برای سرعت بخشی به توسعۀ بانکداری باز
مروری بر دستورالعمل خدمات پرداخت (بخش سوم)
هرگاه به بانکداری باز اشاره میشود به معنای ساختاری است که در آن اطلاعات و دادههای مشتریان برای همۀ ارائهدهندگان خدمات پرداخت به اشتراک گذاشته میشود و ارائهکنندگان متناسب با نیاز از آن استفاده میکنند. این دادهها میتواند شامل اطلاعات مشتری، تراکنشها و سایر اطلاعات دارای ارزش افزوده مشتری باشد. امنیت، اطلاعرسانی درست، کسب اجازه از مشتری برای اشتراکگذاری و عدم انحصار از مهمترین موارد مرتبط به بانکداری باز است.
به گزارش پایگاه خبری بانکداری الکترونیک ، بانکداری باز به عنوان یکی از زیربخشهای مهم دستورالعمل PSD2 از مهمترین دستاوردهای این قانون است. برای پیادهسازی زیرساخت بانکداری باز علاوه بر این قوانین به سختافزار و نرمافزارهای متناسب نیاز خواهیم داشت. ایجاد یک زیرساخت واحد ارائهدهندۀ خدمات یا هاب بانکداری باز ، استانداردهای یکسان توسعۀ نرمافزارها، تأسیس کنسرسیومهای فعال در این حوزه برخی از فعالیتهایی است که در کشورهای مختلف به صورتهای متفاوت پیادهسازی شده و مورد بهرهبرداری قرار گرفته است.
بررسی فعالیتهای صورتگرفته در اروپا به ویژه در کشورهای انگلیس و فرانسه میتواند تجربیات مناسبی را در اختیار متولیان و توسعهدهندگان این حوزه قرار دهد. شکل زیر تعداد خدمات مالی ارائهشدۀ مبتنی بر APIها را نمایش میدهد. رشد نمایی بانکهایی که وارد بانکداری باز شدهاند در شکل مشخص است. در برخی از گزارشها پیشبینی شده است که دو سال بعد از PSD2 تعداد بانکهای دارای API بیش از 10 برابر رشد خواهد داشت.
در پیشبینیهای روند فناوری در بانکداری دیجیتال نیز خدماتی معرفی شده است که توسعۀ آنها وابستگی به پذیرش PSD2 و متعاقباً توسعۀ بانکداری باز و ارائۀ APIها به توسعهدهندگان فینتکی خواهد داشت. فناوریهایی مانند Digital Payment Advisor، Geolocation Products and Services، بهرهبرداری مالی از اطلاعات پرداخت و مبتنی بر موبایل، Digital Personal Financial Advisor و برخی مثالهای دیگر از جمله فناوریها و خدماتی هستند که توسعۀ خود را مدیون PSD2 خواهند بود.
اگر دسترسی به حسابهای متعلق به یک بانک، باز باشد به این معنی که بانک، کانالهای دسترسی به اطلاعات بانکی را در اختیار دیگری نیز قرار دهد، این اتفاق باید در یک فضای کنترلشده، امن، مورد اطمینان و عادلانه صورت پذیرد. اسناد تدوینشده در پیادهسازی و اجراییشدن بانکداری باز از ابعاد تکنیکی سکوت کردهاند؛ بنابراین شرکتهای معتبر جهان برای نیل به اهداف سند PSD2 و دستورالعمل فنی، راهکارهای مختلفی را ارائه میدهند.
یکی از راهحلها استفاده از بستر یکپارچۀ دسترسی است. به این صورت که همۀ نهادهای ثالث به این بستر یکپارچه متصل میشوند و همۀ بانکهای عضو نیز در سمت دیگر قرار میگیرند. این زیرساخت متمرکز، ارائهکنندۀ خدمات مبتنی بر PSD2 شمرده میشود. زیرساختی که وظیفۀ عملیاتیسازی PSD2، ایجاد فضای بانکداری باز ِ امن و فضای همکاری میان ذینفعان است. در این زیرساخت اصولی مانند وجود یک چارچوب منعطف، باز و ناظر و همچنین ایجاد خدمات تجمیعکننده برای دسترسی تعداد زیادی نهاد ثالث به حسابهای بانکی، در قالب مدلهای تجاری مختلف، مبتنی بر PSD2 و در سطوح مختلف در نظر گرفته شده است.
تأثیر PSD2 بر پرداختهای کارتی و پرداختهای آنی
ظهور فناوریهای مبتنی بر PSD2 تأثیراتی بر اکوسیستم موجود پرداختهای کارتی ایجاد خواهد کرد. شرکتهای بزرگِ این صنعت، خود را برای این شرایط مهیا کردهاند. برخی از این تأثیرات به شرح زیر است؛
کارمزد: علاوه بر تدوین قوانین و دستورالعملهایی که در سال 2015 توسط اتحادیۀ اروپا، در راستای کاهش کارمزدها به نفع مشتریان تدوین شده است، در طی چند سال اخیر شرکتها نیز کارمزدهایشان را کمتر کردهاند. با این وجود مهاجرت به خدمات مبتنی بر حساب آثاری بر درآمد اینگونه شرکتها خواهد داشت.
پذیرندهها: انواع پذیرندهها و فروشگاهها در جستوجوی روشهای متعددی برای ابزار پذیرش وجه هستند تا مشتریان بیشتری را جلب کنند. ورود خدمات حسابمحور که به همراه خود بهبود در تسویهحساب و کاهش ریسکهای انسداد وجه را به همراه دارد، دارای جذابیتهایی برای پذیرندگان شمرده میشود.
وفاداری مشتریان: روشهای نگهداری وفاداری مشتریان نیز میتواند تحت تأثیر ظهور خدمات جدید قرار گیرد؛ مانند محدودیت در صدور کارتهای هدیه یا فصلی
اثرات تجاری: با افزایش هزینهها شرکتهای کوچکِ صادرکنندۀ کارت از این خدمات جدید متأثر خواهند شد.
از مفاهیم جدیدی که به همراه PSD2 مطرح میشود مفهوم «پرداخت آنی» است که از طرح SCT Inst به وجود آمده است. طرح SCT Inst یک طرح پرداخت آنیِ منطقهای است که برای تراکنشهای داخلی و بینالمللی (34 کشور اروپایی) طرحریزی شده است. تراکنشها طبق این طرح کمتر از 10 ثانیه و با محدودیت اولیۀ 15 هزار یورو بین بانکهای عضو انجام میشود.
هر دوی این برنامهها (طرح پرداخت آنی و اعمال سند PSD2) قابلیت تغییر عمده در شکل پرداختها خواهند داشت. برنامۀ اول یا پرداخت آنی که یکی از جدیدترین طرحهای اتحادیۀ اروپاست، انتقال وجه سریع و در کسری از ثانیه را بین حسابها ممکن میکند. کشورهای مختلفی مانند سوئیس، انگلستان و دانمارک در حال حاضر چنین خدماتی را ارائه میدهند که هدف نهایی، پیادهسازی آن در سطح اتحادیۀ اروپاست. اعمال سند PSD2 و متعاقباً الزامات جدید دسترسی به حساب و همچنین اجازۀ دسترسی نهادهای ثالث به حسابهای بانکی را ایجاد میکند. اجرای سند PSD2 استفاده از پرداختهای آنی در اروپا را سرعت میبخشد و ترکیب این دو رفتار، مشتریان را به طور جدی تغییر میدهد.
بر اساس گزارش یکی از نهادهای معتبر تحقیقاتی در 10 سال آتی «پرداخت آنی» به همراه اجرای سند PSD2 یکسوم پرداختهای آنلاین را در بر خواهد گرفت و از تعداد تراکنشهای مبتنی بر پرداختهای کارتی (نقدی، اعتباری و پیشپرداخت) عبور خواهد کرد. شکل زیر این پیشبینی را نشان میدهد. بانکها باید خود را برای این تغییرات آماده کنند در غیر این صورت یک بازنده خواهند بود و بازارهای خود را از دست خواهند داد.
چالشهای PSD2 برای بانکها
برخی از متخصصان بر این اعتقاد هستند که PSD2 به همراه مزایای مطرحشده، تهدیدهایی را نیز به همراه خواهد داشت. باز کردن دسترسی به اطلاعات بانکی به خودی خود تهدید به شمار میآید که باید به دقت در اجرایی و عملیاتیسازی آن تمرکز و از راهکارهای مطمئنی استفاده کرد که علاوه بر مطابقت با قوانین، تهدیدها و انواع ریسکها در کمترین حالت رخ دهد. بانکها باید از تغییر قوانین، مسئولیتهای مرتبط، تغییر کارمزدها و در نتیجه تغییر در درآمد و هزینههایشان و هزینههای سرمایهگذاریهای جدید در فناوری، آگاهی کامل کسب کنند. نکتهای که نباید از آن غافل شد تغییر پارادایم پرداخت بعد از اجرای سند PSD2 است.
نکتۀ قابل توجه دیگر مسیری است که منتهی به تدوین اینگونه دستورالعملها و قوانین میشود. این سیر حرکتی، طبیعی و حاصل فشار بازار و رقابت شدید میان بازیگران جدید و قدیم است و همۀ ذینفعان ملزم هستند برای بقا یا حفظ اقتدار خود همراهی و همگامی خود را تقویت کنند.
مسیرهای پیشرو در ایران
سیر تحول در نحوۀ ارائۀ خدمات بانکی و بهرهبرداری از کانالهای نوین پرداخت همچون برنامههای پرداخت موبایلی و به وجود آمدن بازاری بزرگ از بازیگران متعدد فناوران مالی و ایجاد ریسکهای امنیت اطلاعات در این حوزه، نیاز به استانداردسازی فرآیندهای پرداخت، حفظ حقوق مشتریان و نظارت بانک مرکزی را بیش از پیش نمایان میکند؛ بنابراین کشور نیز، برای نیل به اغلب اهدافی که تدوینکنندگان دستورالعمل PSD2 مدنظر داشتهاند، لازم است اقداماتی متناسب با شرایط کشور صورت دهند. نهادهای بالادستی در کشور لازم است با توجه به وظایف ذاتی خویش در سطوح اول و دوم که در شکل زیر نمایش داده شده است با تشکیل کارگروه و کمیتههای تخصصی سلسله قوانین جامعی مبتنی بر PSD2 بومی که ما آن را به اختصار IPSR مینامیم، تدوین و ابلاغ کنند.
بانک مرکزی ج.ا.ا با تدوین IPSR، میتواند توسعۀ اکوسیستم پرداخت نویی را که دارای محیطی باز و شفاف است، سرعت بخشد و با تسهیل ارائۀ خدمات و مدیریت نوآوری و ایجاد رقابت به ورود بازیگران جدید کمک کند؛ همچنین امنیت بیشتر و هزینۀ کارمزدی کمتری برای کاربران به ارمغان آورد. تدوینکنندگان قانون بومی میتوانند با الگوبرداری از متن سند PSD2 اهم اهداف آن را پوشش دهند که در ادامۀ مطلب به برخی از آنها اشاره خواهد شد. یکی از اهدافی که در اسناد بومی لازم است مورد توجه کافی قرار گیرد معرفی نهادهای ذیصلاح با وظایف مشخص و شفاف است. این نهاد که بانک مرکزی نیز میتواند خود نقش آن را ایفا کند برای نظامبخشی، صدور دستورالعملها و راهنما، مجوزدهی، نظارت و یک مرجع حل اختلاف خواهد بود؛ همچنین نهادهای ثالث یا فناوران مالی ایرانی بعد از اخذ مجوز، اجازۀ درخواست ایجاد تراکنش از طرف کاربر را خواهند داشت. بانکها نیز حق تبعیض یا ایجاد هر نوع محدودیت مانند کارمزدهای متفاوت را در قبال نهادهای ثالث گوناگون نخواهند داشت.
در قوانین تدوینشده لازم است شرایط احراز هویت قوی، الزامات، نوع تراکنشها و خدماتدهندگانی که ملزم به رعایت آن هستند به صراحت مشخص و متناسب با نظام پرداخت داخلی استثنائات آن تعیین شود. طبق این قوانین مؤسسات پرداخت و فناوریهای مالی باید الزامات فنی و حقوقی را برای اخذ مجوز رعایت کنند. در سند IPSR لازم است؛ همۀ مؤسسات پرداخت را به ایجاد ساختار و انجام اقدامات لازم برای کاهش و کنترل انواع ریسک موظف کنند. آنها وظیفه خواهند داشت که مدیریت ریسک را با شناسایی و تقسیمبندی ریسکهای امنیتی / عملیاتی پیادهسازی کنند. در عین حال لازم است گزارش منظم به نهادهای ذیصلاح از ممیزیهای جامع از ریسکهایشان ارائه کنند.
یکی از مفاهیم کلیدی در این قوانین، اعلام و ارسال رضایت کاربر به فناوران مالی برای دسترسی به اطلاعات حساب کاربران است؛ بنابراین قبل از اینکه یک نهاد ثالث به اطلاعات یک کاربر دست یابد و تراکنش را ایجاد کند باید طبق یک فرآیندِ توافق و مدیریتشده مانند استفاده از بانکداری بر خط اجازۀ صریح کاربر را اخذ کند.
مؤسسات پرداخت، موظف به پاسخ به هرگونه شکایت کاربر به صورت کتبی یا سایر روشهای مورد توافق خواهند شد. این پاسخ لازم است با رعایت همۀ نکات و در مدت زمان تعیینشده اعلام شود. در شرایط خاصی که از کنترل ارائهکنندۀ خدمات پرداخت خارج باشد، بعد از اعلام دلایل تأخیر، زمان جدید پاسخدهی را به کاربر اعلام کنند. همۀ این مقولهها باید در قوانین ذکر شوند.
همچنین لازم است در سند بالادستی کشور الزامات ایجاد ارتباط میان بانکها، مؤسسات مالی و مؤسسات پرداخت ارائه شود. به این معنی که بانکها و مؤسسات مالی، متعهد هستند یک اینترفیس آنلاین برای دسترسی نهادهای ثالث و فناوران مالی به اطلاعات حسابهای کاربران ایجاد کنند. قانون، میتواند بانکها و مؤسسات مالی را ملزم کند تا به واسطۀ اینترفیس به شرکتهای نوپای مالی و سایر مؤسسات پرداخت که ابزارهای پرداخت کارتمحور صادر می¬کنند، در صورت نیاز به اطلاعات حساب دسترسیهای لازم را ارائه دهند.
لازم است به منظور صیانت از محرمانگی و درستی اطلاعات از پیادهسازی یک سیستم رمزنگاری امن، از امنیت ارتباطات بین بانکها، ارائهدهندگان اطلاعات حساب، ارائهدهندگان ایجاد تراکنش و بانکها و مؤسساتی که ابزارهای مبتنی بر کارت صادر میکنند، هنگام تبادل داده اطمینان حاصل شود که برای نیل به این هدف، باید در متن قانون تدوینشده این نکته را مد نظر قرار دهد.
منبع: ماهنامه بانکداری آینده