Hai mươi tháng sau khi Cơ quan Ngân hàng Châu Âu (EBA) ban hành bản dự thảo đầu tiên, vào ngày 13 tháng 3, tiêu chuẩn kỹ thuật quy định (RTS) về xác thực khách hàng mạnh mẽ (SCA) và Giao tiếp an toàn chung (CSC) theo Chỉ thị dịch vụ thanh toán sửa đổi (PSD2) cuối cùng đã được công bố trên Tạp chí Chính thức của Liên minh Châu Âu.
Độ dài của quy trình và số lần lặp lại cần thiết để hoàn thiện tiêu chuẩn chứng minh sự phức tạp của việc phát triển các quy tắc nhằm thiết lập một sân chơi bình đẳng giữa các bên tham gia thị trường khác nhau, đồng thời đảm bảo tính trung lập về công nghệ, bảo vệ người tiêu dùng và tăng cường bảo mật trong các dịch vụ thanh toán .
Việc hoàn thiện RTS là một cột mốc quan trọng sẽ giúp các công ty rõ ràng và chắc chắn hơn nhiều về cách thúc đẩy các chương trình chiến lược và tuân thủ PSD2 của họ. Tuy nhiên, RTS cuối cùng vẫn để ngỏ một số câu hỏi quan trọng, đặc biệt là liên quan đến việc phát triển và thử nghiệm các giao diện truy cập cho các Nhà cung cấp Bên thứ Ba (TPP).
Văn bản cuối cùng của RTS, vẫn giống với phiên bản do Ủy ban Liên minh Châu Âu xuất bản vào tháng 11 năm ngoái, sẽ áp dụng toàn bộ từ ngày 14 tháng 9 năm 2019. Tuy nhiên, từ ngày 14 tháng 3 năm 2019, Nhà cung cấp dịch vụ thanh toán phục vụ tài khoản (ASPSP) sẽ cần cung cấp các thông số kỹ thuật của giao diện truy cập của họ (dù dành riêng cho người dùng hay giao diện người dùng) cho TPP, đồng thời cung cấp cho họ cơ sở thử nghiệm để thực hiện thử nghiệm phần mềm và ứng dụng mà TPP sẽ sử dụng để cung cấp dịch vụ cho người dùng của họ.
RTS chỉ quy định rằng ASPSP sẽ phải đảm bảo rằng các giao diện của chúng tuân theo các tiêu chuẩn giao tiếp do các tổ chức tiêu chuẩn hóa quốc tế hoặc châu Âu ban hành. Ủy ban thừa nhận rằng việc thiếu các yêu cầu chi tiết hơn là một thách thức, nhưng tin rằng trách nhiệm của các bên tham gia thị trường là làm việc cùng nhau để phát triển một giải pháp phù hợp với tất cả các bên.
Để tạo điều kiện thuận lợi cho việc này, Ủy ban đã đề xuất việc thành lập Nhóm đánh giá giao diện lập trình ứng dụng (API EG) để đánh giá các thông số kỹ thuật API được tiêu chuẩn hóa nhằm giúp đảm bảo rằng chúng tuân thủ PSD2 và các luật liên quan khác, bao gồm Quy định chung mới về bảo vệ dữ liệu (GDPR), và đáp ứng nhu cầu của ASPSP, TPP và Người sử dụng dịch vụ thanh toán (PSU). Ủy ban EU, EBA và Ngân hàng Trung ương Châu Âu (ECB) sẽ là quan sát viên trong API EG, nhưng sẽ cung cấp hỗ trợ cho các bên tham gia thị trường nếu và khi được yêu cầu.
Các khuyến nghị và hướng dẫn do API EG ban hành sẽ tìm cách tạo ra các thông lệ thị trường hài hòa giữa các Quốc gia Thành viên EU. Đạt được điều này sẽ không chỉ giảm thời gian và chi phí thực hiện cho cả ASPSP và TPP, mà còn rất quan trọng để thúc đẩy cạnh tranh xuyên biên giới hiệu quả dựa trên các sản phẩm và dịch vụ hỗ trợ PSD2.
Các tiêu chuẩn giao tiếp chung cũng có thể hỗ trợ Cơ quan có thẩm quyền quốc gia (NCA) trong việc xác định xem có miễn trừ các ASPSP riêng lẻ hay không, nếu họ đã chọn phát triển một giao diện chuyên dụng, từ việc đưa ra cơ chế dự phòng (tức là mở giao diện hướng tới người dùng của họ như một giao tiếp an toàn ), mà TPP có thể dựa vào nếu các giao diện chuyên dụng đó không đáp ứng các tiêu chí chấp nhận chung của thị trường hoặc không khả dụng trong hơn 30 giây.
Điều này có thể giúp giảm bớt, mặc dù chỉ một phần, một số lo ngại được EBA nêu lên rằng các điều khoản trong RTS cuối cùng - bao gồm kiểm tra căng thẳng, quản lý miễn trừ và giám sát hiệu suất của các giao diện chuyên dụng - sẽ áp đặt thêm đáng kể và quá mức, quản lý và vận hành gánh nặng cho cả EBA và NCA.
API EG đã bắt đầu công việc của mình vào tháng 1, với mục tiêu ban hành hướng dẫn và khuyến nghị cuối cùng về các tiêu chuẩn API vào tháng 6 năm 2018, sau đó sẽ tập trung vào việc xác định các nguyên tắc và cách tiếp cận cấp cao cho một khuôn khổ thử nghiệm chung của các giao diện truy cập.
RTS chỉ quy định rằng ASPSP sẽ phải đảm bảo rằng các giao diện của chúng tuân theo các tiêu chuẩn giao tiếp do các tổ chức tiêu chuẩn hóa quốc tế hoặc châu Âu ban hành. Ủy ban thừa nhận rằng việc thiếu các yêu cầu chi tiết hơn là một thách thức, nhưng tin rằng trách nhiệm của các bên tham gia thị trường là làm việc cùng nhau để phát triển một giải pháp phù hợp với tất cả các bên.
Để tạo điều kiện thuận lợi cho việc này, Ủy ban đã đề xuất việc thành lập Nhóm đánh giá giao diện lập trình ứng dụng (API EG) để đánh giá các thông số kỹ thuật API được tiêu chuẩn hóa nhằm giúp đảm bảo rằng chúng tuân thủ PSD2 và các luật liên quan khác, bao gồm Quy định chung mới về bảo vệ dữ liệu (GDPR), và đáp ứng nhu cầu của ASPSP, TPP và Người sử dụng dịch vụ thanh toán (PSU). Ủy ban EU, EBA và Ngân hàng Trung ương Châu Âu (ECB) sẽ là quan sát viên trong API EG, nhưng sẽ cung cấp hỗ trợ cho các bên tham gia thị trường nếu và khi được yêu cầu.
Các khuyến nghị và hướng dẫn do API EG ban hành sẽ tìm cách tạo ra các thông lệ thị trường hài hòa giữa các Quốc gia Thành viên EU. Đạt được điều này sẽ không chỉ giảm thời gian và chi phí thực hiện cho cả ASPSP và TPP, mà còn rất quan trọng để thúc đẩy cạnh tranh xuyên biên giới hiệu quả dựa trên các sản phẩm và dịch vụ hỗ trợ PSD2.
Các tiêu chuẩn giao tiếp chung cũng có thể hỗ trợ Cơ quan có thẩm quyền quốc gia (NCA) trong việc xác định xem có miễn trừ các ASPSP riêng lẻ hay không, nếu họ đã chọn phát triển một giao diện chuyên dụng, từ việc đưa ra cơ chế dự phòng (tức là mở giao diện hướng tới người dùng của họ như một giao tiếp an toàn ), mà TPP có thể dựa vào nếu các giao diện chuyên dụng đó không đáp ứng các tiêu chí chấp nhận chung của thị trường hoặc không khả dụng trong hơn 30 giây.
Điều này có thể giúp giảm bớt, mặc dù chỉ một phần, một số lo ngại được EBA nêu lên rằng các điều khoản trong RTS cuối cùng - bao gồm kiểm tra căng thẳng, quản lý miễn trừ và giám sát hiệu suất của các giao diện chuyên dụng - sẽ áp đặt thêm đáng kể và quá mức, quản lý và vận hành gánh nặng cho cả EBA và NCA.
API EG đã bắt đầu công việc của mình vào tháng 1, với mục tiêu ban hành hướng dẫn và khuyến nghị cuối cùng về các tiêu chuẩn API vào tháng 6 năm 2018, sau đó sẽ tập trung vào việc xác định các nguyên tắc và cách tiếp cận cấp cao cho một khuôn khổ thử nghiệm chung của các giao diện truy cập.
Trong cuộc khảo sát PSD2 trên toàn EMEA của chúng tôi vào năm ngoái, nhiều công ty đã lưu ý rằng việc không có RTS cuối cùng đang tạo ra những thách thức trong việc xác định các chương trình tuân thủ rộng lớn hơn của họ. Với các quy tắc hiện đã được hoàn thiện, bao gồm cả các mốc thời gian thực hiện ngắn, các công ty châu Âu nên thúc đẩy tốc độ tối đa, không chỉ liên quan đến các giao diện truyền thông của họ mà còn liên quan đến các giải pháp SCA của họ.
Tuy nhiên, từ quan điểm của Thụy Sĩ, hiện có áp lực hạn chế đối với các công ty trong việc thúc đẩy việc thực hiện vì hiện tại các công ty Thụy Sĩ không bắt buộc phải tuân thủ PSD2 ngoại trừ các công ty con của họ ở EU, cung cấp dịch vụ thanh toán. Do đó, các ngân hàng Thụy Sĩ có quyền tự do quyết định xem và làm thế nào để các bên thứ ba có thể truy cập API của họ.
Chúng tôi tin rằng cần thận trọng khi đánh giá chặt chẽ các thông báo nói trên của EBA và đặc biệt là giám sát kết quả công việc của API EG vì người ta cho rằng áp lực, đặc biệt là từ khách hàng, có thể tăng ngay khi dịch vụ có sẵn tại các quốc gia láng giềng của EU. Việc giám sát việc thực hiện sẽ không chỉ cung cấp sự rõ ràng xung quanh câu hỏi mở liên quan đến việc phát triển và thử nghiệm các giao diện truy cập cho TTP, nó còn cung cấp cho các ngân hàng Thụy Sĩ cơ hội chuẩn bị trước một Hệ sinh thái Ngân hàng Mở trong tương lai.
Vì những ngân hàng có công ty con cung cấp dịch vụ thanh toán ở EU buộc phải tuân thủ RTS trước ngày 14 tháng 9 năm 2019, họ sẽ phải giám sát chặt chẽ cách thức các tiêu chuẩn giao tiếp được xác định và thực hiện ở EU. Ngoài ra, các ngân hàng này có thể thấy hiệu quả hơn khi thực hiện các thay đổi trên toàn bộ ngân hàng của họ để tận dụng các khoản đầu tư cần thiết hướng tới một Hệ sinh thái Ngân hàng Mở trong tương lai. Tùy thuộc vào sự năng động của sự phát triển này trên thị trường Thụy Sĩ, có khả năng áp lực lên các tay vợt Thụy Sĩ khác sẽ tăng lên sớm hơn dự kiến hiện tại.
Blog này lần đầu tiên được viết bởi Trung tâm Deloitte EMA về chiến lược quy định. Để đọc thêm về chủ đề ngân hàng mở, vui lòng nhấp vào đây.