Evropské finanční prostředí prošlo za poslední desetiletí zásadní transformací, kterou poháněla jediná regulační povinnost: druhá směrnice o platebních službách (PSD2). Tato komplexní regulace EU spolu se širším tržním pohybem směrem k otevřenému bankovnictví (Open Banking) od základu změnila způsob, jakým finanční instituce, fintech společnosti a poskytovatelé třetích stran nakládají s platebními údaji spotřebitelů a firem. Pro IT manažery s rozhodovací pravomocí a lídry v oblasti digitální transformace již není porozumění PSD2 a Open Banking volitelné – je nezbytné pro orientaci v moderní architektuře finančních služeb, řízení rizik compliance (souladu s předpisy) a využívání inovačních příležitostí.

Tento průvodce přináší podrobný pohled na PSD2 a Open Banking: jejich původ, regulační požadavky, technickou implementaci, byznysové důsledky a budoucí vývoj. Ať už jste technický ředitel (CTO) hodnotící strategie integrace API, pracovník compliance posuzující regulační povinnosti, nebo zakladatel fintechu budující nové platební služby, tento článek vám poskytne znalosti potřebné k přijímání informovaných rozhodnutí.

Co je PSD2 a jak funguje?

Původ a evoluce – od PSD k PSD2

Směrnice o platebních službách (PSD), přijatá v roce 2007, byla prvním pokusem Evropské unie o harmonizaci regulace platebních služeb napříč členskými státy. Původní PSD stanovila základní pravidla pro poskytovatele platebních služeb, standardy ochrany spotřebitele a zpracování přeshraničních plateb. Na začátku druhé dekády 21. století se však situace v oblasti plateb dramaticky změnila. Mobilní bankovnictví, online obchodování a fintech inovace napředovaly mnohem rychleji, než směrnice z roku 2007 předpokládala. Očekávání spotřebitelů ohledně plynulých plateb v reálném čase vzrostla, hrozby podvodů se vyvinuly a konkurenční prostředí se roztříštilo.

V reakci na to Evropská komise navrhla revidovanou směrnici PSD2, formálně přijatou jako směrnice (EU) 2015/2366. PSD2 vstoupila v platnost 12. ledna 2016, přičemž členské státy EU měly dva roky na její transpozici do národního práva – termín, který většina zemí splnila do ledna 2018. Nejdůležitější požadavek na dodržování předpisů – silné ověření zákazníka (SCA) – se však stal povinným až 14. září 2019, což poskytlo poskytovatelům platebních služeb dodatečné přechodné období na implementaci potřebné bezpečnostní infrastruktury.

Vývoj od PSD k PSD2 odráží zásadní posun v regulační filozofii: od statického stanovování pravidel k adaptivnímu řízení navrženému tak, aby podporovalo inovace a zároveň chránilo spotřebitele a udržovalo finanční stabilitu. V současné době již Evropská komise připravuje směrnici PSD3, od které se očekává další rozšíření rozsahu otevřeného finančnictví (Open Finance) a posílení práv spotřebitelů.

Regulační fázeRok přijetíVstup v platnostHlavní oblasti zaměřeníStav
Směrnice o platebních službách (PSD)20072009Harmonizace, ochrana spotřebitele, přeshraniční platbyNahrazena směrnicí PSD2
Směrnice o platebních službách 2 (PSD2)2015Leden 2016 (transpozice do led. 2018)Open Banking, SCA, přístup poskytovatelů třetích stran, bezpečnost platebAktivní (plný soulad od září 2019)
Směrnice o platebních službách 3 (PSD3) – Návrh2023Očekává se 2025–2026Rozšířený rozsah (spoření, investice), open finance, posílená práva spotřebitelůV legislativním procesu

Hlavní cíle a rozsah působnosti

Směrnice PSD2 byla navržena k dosažení čtyř primárních cílů, z nichž každý řeší konkrétní selhání trhu nebo regulační mezeru:

  1. Vytvořit integrovanější a efektivnější evropský platební trh. Harmonizací pravidel platebních služeb v celém Evropském hospodářském prostoru (EHP) PSD2 odstranila roztříštěné národní regulace, které dříve bránily přeshraničním platebním tokům. Tato integrace snižuje tření pro nadnárodní podniky a umožňuje panevropským fintech platformám efektivně růst.

  2. Vyrovnat podmínky hospodářské soutěže pre poskytovatele platebních služeb. Původní PSD vytvářela bariéry vstupu pro nebankovní poskytovatele plateb. PSD2 explicitně uznává nové kategórie poskytovatelů platebních služeb – poskytovatele služeb informování o účtu (AISP) a poskytovatele služeb iniciování platby (PISP) – a uděluje jim regulovaný přístup k bankovním účtům zákazníků (za předpokladu souhlasu zákazníka). Tato demokratizace platebních služeb umožnila tisícům fintech startupů spustit inovativní služby, které byly dříve nerealizovatelné.

  3. Zvýšit bezpečnost plateb a snížit počet podvodů. Požadavek PSD2 na silné ověření zákazníka nariaďuje, že všechny online platební transakce musí být ověřeny pomocí dvou nezávislých faktorů autentizace. Tato požadavek dramaticky snížil platební podvody v celém EHP, ačkoli obchodníkům a spotřebitelům přinesl i provozní výzvy.

  4. Chránit údaje spotřebitelů a firem. PSD2 stanovuje přísné požadavky na správu dat a vyžaduje výslovný souhlas spotřebitele předtím, než k informacím o účtu získá přístup jakýkoli poskytovatel třetí strany. Od poskytovatelů platebních služeb se vyžaduje také implementace robustních opatření kybernetické bezpečnosti, nahlašování bezpečnostních incidentů a udržování standardů provozní odolnosti.

Geografická a odvětvová použitelnost

PSD2 se vztahuje na všechny poskytovatele platebních služeb působící v Evropském hospodářském prostoru (EHP), který zahrnuje všechny členské státy EU plus Island, Lichtenštejnsko a Norsko. Směrnice se vztahuje také na poskytovatele platebních služeb ve Spojeném království na základě specifických pobrexitových dohod, ačkoli Spojené království začalo rozvíjet svůj vlastní regulační rámec pro Open Banking.

Mezi poskytovatele platebních služeb, na které se vztahuje PSD2, patří tradiční banky, platební instituce (licencovaní nebankovní zpracovatelé plateb), instituce elektronických peněz a určité fintech společnosti. Poskytovatelé třetích stran – AISP a PISP – musí být registrováni u svého národního finančního regulátora a musí splňovat technické a bezpečnostní štandardy PSD2, a to i v případě, že nedisponují finančními prostředky zákazníků.

Pro firmy působící ve střední a východní Evropě (SVE) – včetně České republiky, Slovenska a dalších členských států EU – je dodržování PSD2 povinné. To přineslo výzvy i příležitosti: finanční instituce musely výrazně investovat do infrastruktury API a bezpečnostních protokolů, zatímco fintech společnosti našly nové kanály pro inovace a konkurenceschopnost.

Jaké jsou klíčové komponenty souladu s PSD2?

Silné ověření zákazníka (SCA)

Silné ověření zákazníka (SCA) je pravděpodobně nejviditelnějším požadavkem PSD2 s největším provozním dopadem. SCA vyžaduje, aby byly všechny online platební transakce ověřeny pomocí dvou nebo více nezávislých prvků ze tří kategorií:

  • něco, co víte (znalost, například heslo nebo PIN kód),

  • něco, co vlastníte (vlastnictví, například mobilní telefon nebo hardwarový token),

  • něco, čím jste (biometrie, například otisk prstu nebo rozpoznávání obličeje).

Regulační technické standardy pro SCA, které zveřejnil Evropský orgán pro bankovnictví (EBA) v březnu 2018, se staly povinnými 14. září 2019. Od tohoto dne čelil každý poskytovatel platebních služeb, který neimplementoval SCA, regulačním sankcím a odpovědnosti za podvodné transakce.

Směrnice PSD2 a usnesení EBA však obsahují několik důležitých výjimek z požadavku na SCA za předpokladu, že poskytovatelé platebních služeb dokážou prokázat, že transakce patří do nízkorizikové kategorie:

  • Transakce nízké hodnoty: Platby do 30 € (tento limit si však mohou jednotlivé členské státy upravit).

  • Opakující se platby: Transakce, při kterých plátce již ověřil první platbu v sérii.

  • Bílá listina obchodníků (whitelisting): Platby obchodníkům, které zákazník výslovně schválil.

  • Platba sobě samému: Převody mezi účty vedenými týmž zákazníkem.

  • Důvěryhodní příjemci: Převody předem schváleným příjemcům.

Tyto výjimky byly nezbytné k tomu, aby SCA neochromila e-commerce a modely předplatného. Vytvořily však také bezpečnostní zranitelnosti: podvodníci začali zneužívat mezery ve výjimkách, a poskytovatelé platebních služeb proto musí nasazovat sofistikované systémy autentizace založené na hodnocení rizik, aby dokázali odlišit nízkorizikové transakce od potenciálních podvodů.

Nad rámec základního dvoufaktorového požadavku zavádí PSD2 koncept dynamického propojení (dynamic linking) pro kartové transakce. Dynamické propojení vyžaduje, aby proces autentizace explicitně potvrdil částku platby a údaje o příjemci. Tím se předchází útokům typu man-in-the-middle, kdy by podvodník zachytil platbu a změnil údaje o transakci po provedení autentizace.

Standardy Open Banking a API

Zatímco SCA řeší bezpečnost plateb, ustanovení PSD2 o otevřeném bankovnictví řeší přístup k datům a interoperabilitu. Článek 4 směrnice PSD2 vyžaduje, aby poskytovatelé platebních služeb zpřístupnili informace o účtech zákazníků a služby iniciování plateb autorizovaným poskytovatelům třetích stran prostřednictvím bezpečných, standardizovaných API. Tyto API musí splňovat „společné a bezpečné otevřené standardy komunikace“.

Regulační technické standardy EBA specifikují, že tato API musí být:

  • Standardizovaná: Konzistentní napříč všemi poskytovateli platebních služeb, což umožňuje vývojářům třetích stran napsat kód jednou a integrovat jej s vícero bankami.

  • Bezpečná: Chráněná šifrováním, vzájemnou autentizací a kontrolou přístupu.

  • Spolehlivá: Dostupná po 99,5 % času (s zdokumentovanými smlouvami o úrovni poskytovaných služeb – SLA).

  • Výkonná: Schopná zpracovávat požadavky v rámci definovaných časových oken odezvy.

V praxi to vedlo k vzniku standardů Open Banking API, jako jsou Open Banking Standard (UK), specifikace Berlin Group NextGenPSD2 (Evropa) a různé národní implementace. Tyto standardy definují technickou strukturu požadavků a odpovědí API, autentizační protokoly a datové formáty.

Klíčovým aspektem Open Banking API je, že fungují na modelu založeném na souhlasu. Poskytovatel třetí strany nemůže získat přístup k údajům o účtu zákazníka bez jeho výslovného a informovaného souhlasu. Zákazník musí být přesně informován o tom, ke kterým datům bude mít TPP (poskytovatel třetí strany) přístup, na jak dlouho a za jakým účelem. Tento souhlas se zaznamenává na bankovním účtu zákazníka a lze jej kdykoli odvolat.

Služby informování o účtu (AIS) a služby iniciování platby (PIS)

PSD2 rozlišuje dvě hlavní kategorie služeb třetích stran, které fungují prostřednictvím Open Banking API:

  • Služby informování o účtu (AIS): AISP je licencovaný poskytovatel třetí strany, který může přistupovat k informacím o účtu zákazníka – historii transakcí, zůstatku na účtu, historii plateb – za účelem poskytování služeb finančního řízení, analýz nebo poradenství. Příkladem jsou aplikace pro správu osobních financí (jako rozpočtové funkce v Revolut nebo N26), aplikace pro sledování výdajů a platformy finanční analytiky. AISP nemůže iniciovat platby, může pouze číst data z účtu.

  • Služby iniciování platby (PIS): PISP je licencovaný poskytovatel třti strany, který může iniciovat platby jménem zákazníka přímo z jeho bankovního účtu. Příkladem jsou fintech platební platformy (jako Wise nebo platební odkazy Stripe), služby pro úhradu faktur a alternativní řešení pokladen v e-shopech. PISP může iniciovat platby, ale obvykle nemůže číst historická data o účtu (ačkoli některé implementace umožňují omezený přístup k datům z důvodu prevence podvodů).

Typ službyPřístup k datůmIniciování platbyPříklady použitíRegulační požadavky
Služba informování o účtu (AIS)Ano – přístup pouze pro čtení historie transakcí, zůstatku a detailů účtuNeSpráva osobních financí, rozpočtové aplikace, finanční analytika, skóring úvěruschopnostiMusí mít licenci; musí získat výslovný souhlas zákazníka; musí dodržovat limity uchovávání údajů (obvykle 90 dní)
Služba iniciování platby (PIS)Omezený – obvykle pouze pro prevenci podvodů a potvrzení platbyAno – může iniciovat jednorázové nebo opakující se platbyAlternativní pokladny v e-shopech, úhrady faktur, platby složenek, přeshraniční převody, peer-to-peer platbyMusí mít licenci; musí získat výslovný souhlas zákazníka; musí implementovat SCA pro potvrzení platby; musí poskytovat potvrzení o transakcích

Poskytovatelé AIS i PISP musí být formálně registrováni u svého národního finančního regulátora. V ČR je to Česká národní banka (ČNB). Registrace vyžaduje prokázání technické způsobilosti, bezpečnostních opatření, struktur řízení a finanční stability. Po registraci získávají poskytovatelé AIS a PISP zákonné právo na přístup k bankovním účtům zákazníků (se souhlasem zákazníka) a podléhají průběžnému regulačnímu dohledu.

Jak Open Banking API umožňují sdílení finančních dat?

Architektura API a technická implementace

Open Banking API jsou postavena na standardních webových technologiích: protokolech RESTful HTTP, datových formátech JSON a autentizaci OAuth 2.0. Tento technický základ byl zvolen záměrně, aby se snížily bariéry vstupu pro fintech vývojáře a zajistila se kompatibilita mezi různými bankovními systémy.

Typický tok Open Banking API probíhá následovně:

  1. Zákazník iniciuje požadavek: Zákazník v prostředí fintech aplikace klikne na tlačítko „Připojit bankovní účet“. Aplikace ho přesměruje na přihlašovací stránku jeho banky (nebo na rozhraní agregátora).

  2. Zákazník se autentizuje a udělí souhlas: Zákazník se přihlásí do své banky pomocí svých běžných přihlašovacích údajů. Banka mu následně zobrazí obrazovku se souhlasem, kde přesně vidí, ke kterým datům bude mít aplikace třetí strany přístup, na jak dlouho a za jakým účelem. Zákazník požadavek výslovně schválí nebo zamítne.

  3. Banka vygeneruje autorizační kód: V případě schválení banka vygeneruje časově omezený autorizačný kód a přesmeruje zákazníka zpět do fintech aplikace.

  4. Aplikace třetí strany vymění kód za přístupový token: Fintech aplikace použije autorizační kód k vyžádání přístupového tokenu (access token) z API serveru banky. Tato výměna probíhá na úrovni server-to-server, nikoli přes prohlížeč zákazníka, což zaručuje, že aplikace nikdy neuvidí přihlašovací údaje zákazníka do banky.

  5. Aplikace třetí strany dotazuje data o účtu: Fintech aplikácia použije prístupový token k odesílání požadavků do Open Banking API banky, čímž získává informace o účtu, historii transakcí nebo iniciuje platby v rozsahu uděleného oprávnění.

  6. Banka vrátí data a zaznamená přístup: Banka vrátí požadovaná data v štandardizovaném formátu JSON a zaznamená každý přístup k API do logů pro účely auditu a compliance.

Tento tok OAuth 2.0 zajišťuje, že fintech aplikace nikdy nezíská přímý přístup k bankovním přihlašovacím údajům zákazníka. Banka namísto toho vystupuje jako důvěryhodný zprostředkovatel, který vydává časově omezené přístupové tokeny, které lze kdykoli odvolat.

Z technického hlediska banky implementovaly Open Banking API obvykle jedním ze dvou přístupů:

Přístup 1: Přímá integrace API

Banka vybuduje vlastní Open Banking API přímo nad svým hlavním bankovním systémem (core banking) a zpřístupní data o účtech a funkce iniciování plateb přes štandardizované endpointy. Tento přístup nabízí maximální kontrolu a přizpůsobitelnost, ale vyžaduje si výrazné investice do vývoje.

Přístup 2: Platforma pro agregaci API

Banka spolupracuje s externí platformou pro agregaci API (jako Plaid, TrueLayer či Kevin), která stojí mezi staršími systémy (legacy systems) banky a vývojáři třetích stran. Agregační platforma zajišťuje autentizaci, normalizaci dat a standardizaci API, což snižuje vývojovou zátěž banky, ale přináší závislost na agregátorovi.

Mnohé velké evropské banky zvolily hybridní přístup: interní budování klíčových Open Banking API a současnou participaci na platformách průmyslových standardů pro zajištění širší kompatibility v ekosystému.

Souhlas spotřebitele a správa dat

Základním principem PSD2 Open Banking je výslovný a informovaný souhlas spotřebitele. Předtím, než může jakýkoli poskytovatel třetí strany přistupovat k údajům o účtu nebo iniciovat platby, musí být zákazníkovi jasně zobrazeny informace o:

  • identitě poskytovatele třetí strany,

  • konkrétních požadovaných datech nebo funkcích (např. „číst historii transakcí za posledních 90 dní“ nebo „iniciovat platby do výše 50 000 Kč“),

  • trvání souhlasu (např. „na 90 dní“ nebo „do odvolání“),

  • účelu přístupu k datům (např. „pro poskytování rozpočtového poradenství“ nebo „pro spracování úhrad faktur“).

Tento model souhlasu se výrazně liší od tradičního modelu „přihlašovacího jména a hesla“, kdy zákazník odevzdal své bankovní přihlašovací údaje aplikaci třetí strany, čímž jí udělil neomezený přístup na neurčito. Model souhlasu PSD2 je mnohem podrobnější (granulárnější) a transparentnější.

Správa dat podle PSD2 zahrnuje také přísné limity uchovávání údajů. Poskytovatelé služeb informování o účtu mají obvykle povoleno uchovávat transakční data pouze 90 dní po vypršení souhlasu zákazníka. To brání fintech společnostem budovat trvalé databáze finanční historie zákazníků bez jejich průběžného souhlasu.

Kromě toho je PSD2 zosouladěna se všeobecným nařízením EU o ochraně osobních údajů (GDPR), které zákazníkům poskytuje další práva: právo na přístup ke svým datům, právo na opravu nepřesných dat a právo na zapomnění (vymazání dat). Tato práva přidávají další vrstvu komplexnosti do správy dat a vyžadují od fintech společností a bank implementaci robustních postupů řízení a mazání dat.

Bezpečnostní opatření a prevence podvodů

Open Banking API jsou pro kyberzločince lukrativním cílem. Kompromitované API by mohlo odhalit miliony zákaznických transakcí, zůstatků a osobních finančních údajů. V důsledku toho PSD2 nariaďuje přísná bezpečnostní opatření:

  • Šifrování: Všechna komunikace přes API musí být šifrována pomocí protokolů TLS 1.2 (nebo vyšších). Citlivá data musí být šifrována při přenosu (mezi API klientem a serverem) i v klidu (uložená v systémech banky).

  • Vzájemná autentizace: Poskytovatel třetí strany i banka se musí před výměnou dat navzájem autentizovat. Toho se obvykle dosahuje pomocí digitálních certifikátů a vzájemného TLS (mTLS), což zabraňuje útokům typu man-in-the-middle.

  • Kontrola přístupu: Prístupové tokeny vydané bankou musí být omezené v rozsahu (specifikující přesně, která data nebo funkce jsou přístupné) a v trvání (vyprší po stanovené době, obvykle po 90 dnech). Banky musí implementovat také omezování frekvence požadavků (rate limiting) a detekci anomálií k identifikaci a blokování podezřelých vzorců používání API.

  • Monitorování transakcí: U služeb iniciování plateb musí banky monitorovat všechny požadavky na iniciování plateb kvůli znakům podvodu nebo neoprávněného přístupu. To zahrnuje kontrolu částek transakcí vůči historickým vzorcům, ověřování konzistentnosti příjemce s předchozím chováním zákazníka a označování neobvyklých přeshraničních převodů nebo převodů vysokých hodnot.

  • Hlášení incidentů: Pokud banka nebo poskytovatel třetí strany zaznamená bezpečnostní incident ovlivňující Open Banking API, musí jej nahlásit svému národnímu finančnímu regulátorovi v definovaném časovém rámci (obvykle do 24 hodin u závažných incidentů). EBA zveřejňuje usnesení k klasifikaci incidentů a postupům nahlašování.

  • Penetrační testování a bezpečnostní audity: Banky a velcí poskytovatelé třetích stran jsou povinni provádět pravidelné penetrační testování a bezpečnostní audity své infrastruktury Open Banking, zpravidla alespoň jednou ročně. Tyto testy musí provádět nezávislé bezpečnostní firmy a musí být zdokumentovány pro potřeby regulační kontroly.

Jaké jsou byznysové důsledky PSD2 a Open Banking?

Vliv na finanční instituce

Pro tradiční banky je PSD2 dvojsečnou zbraní. Na jedné straně si vyžádala obrovské kapitálové investice do infrastruktury API, bezpečnostních systémů a plnění regulačních požadavků. Evropské banky společně vynaložily miliardy eur na vybudování platforem otevřeného bankovnictví, nábor specializovaných talentů a přebudování starších systémů s cílem zpřístupnit data o účtech přes API.

Na druhé straně však Open Banking vytvořil nové příležitosti pro generování příjmů. Banky mohou zpeněžit své vztahy se zákazníky a data prostřednictvím:

  • Poplatků za licencování API: Zpoplatnění přístupu poskytovatelů třetích stran k nadstandardním API.

  • Prémiových datových služeb: Nabídka pokročilé analytiky, přehledů a prediktivních služeb pro fintech partnery.

  • White-label řešení: Poskytování infrastruktury Open Banking menším regionálním bankám nebo fintech platformám.

  • Partnerství v ekosystému: Budování strategických aliancí s fintech společnostmi s cílem rozšířit nabídku služeb a oslovit nové segmenty zákazníků.

Nejzásadnějším dopadem PSD2 na banky však bylo narušení konkurenčního prostředí (disrupce). Fintech společnosti, vyzbrojené Open Banking API, dokázaly spustit inovativní platební služby a nástroje pro správu financí bez toho, aby musely budovat vlastní bankovní infrastrukturu. To urychlilo posun směrem k vestavěným financím (embedded finance), kdy jsou finanční služby integrované přímo do nefinančních aplikací (napr. možnosti platby na e-commerce platformách, rozpočtové nástroje v účetním softwaru).

Pro banky působící ve střední a východní Evropě vytvořila PSD2 příležitost soutěžit na stejné úrovni se západoevropskými finančními institucemi. Česká nebo slovenská fintech společnost dnes dokáže vyvinout služby, které se bez problémů integrují s jakoukoli bankou v EU, bez ohledu na její velikost nebo geografickou polohu.

Příležitosti pro fintech a poskytovatele třetích stran

Pro fintech společnosti a poskytovatele třetích stran byla PSD2 transformačním milníkem. Regulační povinnost bank zpřístupnit Open Banking API vytvořila masivní nový trh pro inovativní finančné služby:

  • Služby iniciování plateb: Společnosti jako Wise, Stripe či Revolut vybudovaly miliardové byznysy i díky nabídce alternativních platbních metod, které využívají služby iniciování plateb podle PSD2. Namísto toho, aby zákazníci museli zadávat údaje o své kartě na stránce obchodníka, mohou se autentizovat přímo ve své bance a schválit platbu během několika sekund.

  • Správa osobních financí: Aplikace jako Emma či různí finanční agregátoři propojili data o účtech z tisíců bank přes Open Banking API, což zákazníkům umožňuje vidět všechny své účty na jednom místě a dostávat personalizované finanční poradenství.

  • Skóring úvěruschopnosti a půjčování: Fintech věřitelé využívají Open Banking API k přístupu k transakčním datům v reálném čase, což umožňuje rychlejší a přesnější rozhodování o úvěrech než v případě tradičních úvěrových registrů. To demokratizovalo úvěrování a usnadnilo přístup ke kapitálu malým podnikům a jednotlivcům s omezenou finanční historií.

  • Fakturace a úhrada plateb: B2B fintech platformy využívají služby iniciování plateb k zjednodušení procesů úhrady faktur, čímž firmám umožňují platit dodavatelům přímo z jejich bankovních účtů bez manuálního zadávání dat nebo papírových procesů.

Regulační požadavek na podporu Open Banking zároveň snížil bariéry vstupu pro startupy. Zakladatel fintechu už nemusí získat plnou bankovní licenci, aby mohl spustit platební službu; stačí se zaregistrovat jako poskytovatel služeb iniciování platby a integrovat se s existujícími API bank.

Riadenie rizík a regulačné povinnosti

Navzdory příležitostem přinesly PSD2 a Open Banking nová rizika a regulační povinnosti, které organizace musí důsledně řídit:

  • Regulační zátěž: Organizace nabízející služby AIS nebo PISP musí získat registraci od regulátora, implementovat technické standardy, udržovat bezpečnostní certifikace a reportovat úřadům. Pro startupy a malé společnosti mohou být tyto náklady na compliance značné.

  • Provozní riziko: Open Banking API jsou kritickou infrastrukturou. Pokud API selže nebo vykazuje nízký výkon, může to narušit celou fintech službu. Banky a poskytovatelé třetích stran musí implementovat robustní monitoring, procesy obnovy po havárii (disaster recovery) a kontinuity podnikání.

  • Riziko kybernetické bezpečnosti: Open Banking API jsou atraktivním cílem útoků. Jediné porušení bezpečnosti by mohlo odhaliť miliony záznamů o zákaznících a vést k regulačním pokutám, žalobám a poškození reputace. Organizace musí masivně investovat do bezpečnostních nástrojů, monitorování hrozeb a schopností reagovat na incidenty.

  • Ochrana osobních údajů a soulad s GDPR: Poskytovatelé třetích stran musí dodržovat požadavky GDPR na zpracování, uchovávání a mazání dat. To je výzvou zejména pro společnosti, které agregují data z více bank a uchovávají je pro analytické účely.

  • Evoluce regulace: Samotná PSD2 se vyvíjí a na obzoru je PSD3. Organizace musí sledovat regulační změny a být připraveny přiměřeně přizpůsobit svou technickou a provozní infrastrukturu.

Jak se PSD2 liší od Open Banking?

Regulační vs. tržní přístup

Častým omylem je, že PSD2 a Open Banking jsou synonyma. V skutečnosti se jedná o odlišné, avšak překrývající se koncepty:

PSD2 je povinná regulace EU. Všichni poskytovatelé platebních služeb působící v EHP musí splňovat požadavky PSD2, ať se jim to líbí nebo ne. Nedodržení předpisů má za následek regulační sankce, pokuty a potenciální ztrátu licencí k činnosti.

Open Banking je tržní hnutí. Přestože PSD2 nařizuje bankám zpřístupnit Open Banking API, širší hnutí otevřeného bankovnictví přesahuje rámec požadavků PSD2. Open Banking zahrnuje dobrovolné iniciativy bank a fintech společností zaměřené na sdílení finančních dat a podporu inovací třetích stran, a to i v jurisdikcích, kde neexistuje žádná regulační povinnost.

Například iniciativa Open Banking ve Spojeném království, která vznikla ještě před PSD2, vyžadovala od devíti největších britských bank zpřístupnění Open Banking API dříve, než se PSD2 stala povinnou. Podobně Austrálie a Singapur spustily iniciativy otevřeného bankovnictví založené na regulačních mandátech, avšak s jinými technickými standardy a rozsahem než PSD2.

V podstatě je PSD2 evropskou regulační implementací širšího konceptu Open Banking. Představuje „jak“ a „co“ v rámci Open Banking v EHP, přičemž přesně specifikuje, která API musí být zpřístupněna, které bezpečnostní standardy musí být splněny a kteří poskytovatelé třetích stran jsou oprávněni přistupovat k datům zákazníků.

Geografický rozsah a regionální rozdíly

PSD2 se vztahuje pouze na poskytovatele platebních služeb působících v EHP. Mimo EHP funguje Open Banking pod jinými regulačními rámci nebo tržními iniciativami:

  • Spojené království: Po brexitu si Spojené království vyvinulo vlastní rámec Open Banking, který je ve velké míře zosouladěn s PSD2, avšak vykazuje rozdíly v technických standardech a časových harmonogramech implementace.

  • Austrálie: Rámec Consumer Data Right (CDR) nařizuje Open Banking pro čtyři největší banky s plánovaným rozšířením na další finanční instituce.

  • Singapur: Monetary Authority of Singapore (MAS) podporuje dobrovolné iniciativy Open Banking se specifickými standardy API a bezpečnostními požadavky.

  • Spojené státy: USA nemají komplexní mandát pro Open Banking, ačkoli Úřad pro finanční ochranu spotřebitelů (CFPB) navrhl pravidla otevřeného bankovnictví, která by od bank vyžadovala sdílení údajů o zákaznících s fintech konkurenty.

Pro organizace působící ve více geografických oblastech vytváří tato roztříštěnost komplexní prostředí. Fintech společnost může potřebovat implementovat API kompatibilní s PSD2 pro zákazníky v EHP, API pro britský Open Banking pro zákazníky ve Spojeném království a API kompatibilní s CDR pro australské zákazníky – přičemž každé z nich má odlišné technické specifikace, bezpečnostní požadavky a regulační dohled.

Jaké jsou mýty a fakta o PSD2 a Open Banking?

Mýtus č. 1: PSD2 a Open Banking je to samé

Fakt: Jak bylo vysvětleno výše, PSD2 je regulační mandát EU pro Open Banking. Open Banking je širší tržní koncept. Jsou propojené, ale odlišné. Pochopení tohoto rozdílu je důležité pro strategické plánování a compliance.

Mýtus č. 2: Open Banking je jen pro spotřebitele

Fakt: Přestože jsou Open Banking API často prezentována spotřebitelům (např. přes osobní finanční aplikace), stejně důležitá jsou i pro firmy. Služby iniciování plateb jsou široce využívány B2B fintech platformami k zjednodušení úhrad faktur a řízení cash flow. Služby informování o účtu využívají platformy business intelligence k poskytování finančních přehledů v reálném čase. Regulátoři a odvětvové organizace stále více diskutují o Open Bankingu pro malé a střední podniky (SME) a firemní klienty, nikoli jen pro běžné spotřebitele.

Mýtus č. 3: Výjimky ze SCA dělají autentizaci volitelnou

Fakt: Výjimky ze SCA (pro transakce nízké hodnoty, opakující se platby atd.) jsou podmíněné a založené na hodnocení rizika. Poskytovatel platebních služeb se nemůže jednoduše rozhodnout vynechat SCA u všech plateb nízké hodnoty; musí implementovat systémy posuzování rizik, aby zajistil, že transakce skutečně splňuje podmínky pro výjimku. Pokud poskytovatel udělí výjimku neoprávněně a dojde k podvodu, nese za podvodnou transakci plnou odpovědnost. Výjimky jsou definovány striktně a vyžadují precizní implementaci.

Mýtus č. 4: Sdílení dat v Open Banking je nebezpečné

Fakt: Přestože Open Banking zahrnuje sdílení finančních dat zákazníků s třetími stranami, model PSD2 založený na souhlasu, požadavcích na šifrování a kontrole přístupu v reálu poskytuje silnější ochranu než tradiční model „sdílení hesel“ (screen scraping), který mu předcházel. Když zákazník udělí souhlas poskytovateli třetí strany, poskytuje mu přístup ke konkrétnímu balíku dat na omezenou dobu s možností souhlas kdykoli odvolat. Je to mnohem podrobnější a transparentnější, než odevzdat přihlašovací údaje do bankovnictví aplikaci a doufat, že je nezneužije.

Jaká je budoucnost Open Banking a směrnice PSD3?

Harmonogram PSD3 a očekávané změny

Evropská komise již zahájila legislativní proces pro PSD3, přičemž implementace se odhaduje v období let 2025–2026. Přestože se o PSD3 stále jedná, očekávají se viaceré klíčové změny:

  • Rozšíření rozsahu mimo platby: Očekává se, že PSD3 rozšíří principy otevřeného bankovnictví na další finanční produkty včetně spořicích účtů, investičních účtů, pojistných produktů a hypoték. Tento širší rozsah se označuje jako otevřené finančnictví (Open Finance).

  • Posílení práv spotřebitelů: PSD3 pravděpodobně posílí práva spotřebitelů na přístup k vlastním datům a přenos jejich finančních vztahů ke konkurenčním poskytovatelům. To by mohlo zahrnovat právo stahovat data o účtu v standardizovaných formátech a právo změnit poskytovatele s minimálním třením.

  • Vyšší bezpečnost a provozní odolnost: PSD3 zřejmě přinese přísnější požadavky na kybernetickou bezpečnost včetně povinných šifrovacích standardů, častějších bezpečnostních auditů a rychlejších lhůt pro reakci na incidenty.

  • Platby v reálném čase jako standard: PSD3 může nařídit, aby všechny banky podporovaly iniciování plateb v reálném čase, čímž se čas vypořádání zkrátí ze dnů na sekundy.

  • Zjednodušená autorizace a autentizace: PSD3 může zavést flexibilnější metody autentizace, čímž potenciálně sníží závislost od výjimek ze SCA a umožní autentizaci založenou na hodnocení rizik, která je bezpečná a zároveň uživatelsky přívětivá.

Nastupující trendy v Open Finance

Kromě PSD3 formují budoucnost Open Banking a Open Finance i další širší trendy:

  • Vestavěné finance (Embedded Finance): Finanční služby se stále častěji stávají přímou součástí nefinančních aplikací. Zákazník může požádat o úvěr přímo během nákupu na e-commerce platformě nebo investovat své úspory přes rozpočtovou aplikaci. Open Banking API umožňují tento model tím, že aplikacím třetích stran poskytují přístup k finančním datům a možnost iniciovat transakce jménem zákazníků.

  • Okamžité platby: Schémata okamžitých plateb (jako například SEPA Instant Credit Transfer v EU) se stávají standardem a umožňují vypořádání plateb v režimu 24/7/365. Tento posun od dávkového zpracování k zúčtování v reálném čase zásadně mění řízení cash flow a platební toky.

  • Otevřená data a finanční transparentnost: Regulátoři a spotřebitelské organizace tlačí na větší transparentnost cen a podmínek finančních služieb. Open Banking API by se mohla rozšířit o zpřístupňování údajů o cenách, což by zákazníkům umožnilo jednoduše porovnávat finanční produkty a měnit poskytovatele.

  • Přeshraniční Open Banking: Přestože PSD2 funguje primárně v rámci EHP, roste zájem o propojení systémů Open Banking napříč různými globálními regiony, což by umožnilo globálně integrované finanční služby.