Regulatorní požadavky na minimální uživatelskou zkušenost při využívání služby nepřímého dání platebního příkazu a zakázané překážky pro třetí strany

Shrnutí stanoviska

Dle ZPS a RTS SCA osoba oprávněná poskytovat platební služby, která vede uživateli platební účet (dále jen „ASPSP“) a která zavedla vyhrazené rozhraní (dále též „API“) pro poskytovatele služeb nepřímého dání platebního příkazu (dále také jen „PIS“ nebo „iniciace platby“), musí zajistit, aby API mj.

• umožňovalo využívat postupy ověření stanovené ASPSP pro uživatele platebních služeb,
• zajišťovalo trvale stejnou úroveň dostupnosti a výkonu, včetně podpory, jako uživatelská rozhraní pro přímý přístup k platebním účtům a
• nevytvářelo překážky pro poskytování PIS.

V případě iniciace platby z mobilního webového prohlížeče nebo mobilní aplikace třetí strany by měl být uživatel bez jakýchkoliv jiných kroků přesměrován do ověřovací mobilní aplikace ASPSP, přičemž ověření by mělo být možné provést uživatelsky přívětivým způsobem. Po úspěšném ověření a autorizaci platby by měl uživatel být následně automaticky přesměrován zpět na web či do mobilní aplikace třetí strany:

Pouze v případě, že uživatel nemá nainstalovanou ověřovací aplikaci ASPSP nebo přesměrování není z jiného důvodu možné či úspěšné, může mu být zobrazeno webové rozhraní ASPSP, které ale musí být designováno jako responzivní (automaticky se přizpůsobující různým velikostem obrazovek a zařízením, tedy je použitelné i na telefonech a tabletech). Toto webové rozhraní ASPSP by mělo obsahovat zřetelný prvek (např. tlačítko) pro snadné vyvolání ověřovací aplikace, je-li na zařízení přítomna. Po úspěšném ověření přes webové rozhraní musí být uživatel automaticky přesměrován zpět na web či do aplikace třetí strany:

Jediný akceptovatelný procesní krok navíc je přípustný jen v případě, že ASPSP vede uživateli více platebních účtů a je třeba vybrat, ze kterého má být příslušná platba iniciována. Výběr by přitom neměl být složitější než při přímém přístupu k ASPSP. V tom případě může být uživatelská zkušenost následující:

V případě kombinované služby PIS a AIS (informování o platebním účtu) je možné požadovat dvojí silné ověření uživatele (dále také jen „SCA“), neuplatní-li se některá z výjimek v RTS SCA. Uživatelská zkušenost bude obdobná jako v případě ilustrace 3/3 výše.

Ze ZPS, RTS SCA a výkladových materiálů Evropského orgánu pro bankovnictví (dále jen „EBA“) a Evropské komise (dále jen „EK“) vyplývá, že jakýkoliv složitější postup představuje zakázané překážky pro třetí strany. Zejména jimi jsou

1. vícenásobné silné ověření uživatele – při využití služeb třetích stran musí být vyžadován stejný počet SCA jako u přímého přístupu k ASPSP. Iniciace platby přes samostatnou službu PIS by měla být provedena pouze s jedním SCA, pokud má ASPSP všechny informace nezbytné k iniciování platby. Tak je tomu zejména v případě, že plátci vede pouze jeden platební účet, blíže viz odůvodnění,
2. volba účtu či manuální zadávání čísla účtu v případě, že ASPSP vede plátci pouze jediný platební účet^[1],
3. zobrazování textů varujících před využitím služeb třetích stran či ověřování souhlasů udělených uživatelem třetí straně,
4. manuální návrat na web či do aplikace třetí strany.

Odůvodnění

Dle § 224 ZPS osoba oprávněná poskytovat platební služby, která vede uživateli platební účet, umožní tomu, kdo je oprávněn poskytovat službu PIS, spoléhat na postupy, které v souladu s § 223 odst. 1 až 3 zavedla. Dle § 225 odst. 1 ZPS osoba oprávněná poskytovat platební služby při poskytování platebních služeb komunikuje s uživateli a osobami oprávněnými poskytovat platební služby podle požadavků upravených přímo použitelným předpisem Evropské unie, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366 a upravují se společné a bezpečné otevřené standardy komunikace.

Dle čl. 32 odst. 1 RTS SCA s výhradou dodržení článků 30 a 31 poskytovatelé platebních služeb, kteří vedou účet a kteří zavedli vyhrazené rozhraní, zajistí, aby vyhrazené rozhraní zajišťovalo trvale stejnou úroveň dostupnosti a výkonu, včetně podpory, jako rozhraní zpřístupněná uživateli platebních služeb pro přímý on-line přístup k jeho platebnímu účtu.

Dle čl. 32 odst. 3 RTS SCA poskytovatelé platebních služeb, kteří vedou účet a kteří zavedli vyhrazené rozhraní, zajistí, aby toto rozhraní nevytvářelo překážky pro poskytování služeb iniciování platby^[2]. Problematikou uživatelské zkušenosti a překážek pro poskytování služeb třetích stran se zabývaly EBA a EK ve svých výkladových a metodických materiálech. Jde zejména o stanovisko EBA ze dne 4. června 2020 k překážkám podle čl. 32 odst. 3 RTS SCA (dále jen „stanovisko EBA“) a odpovědi v  EBA Single Rulebook Q&A Tool.

Otázkou přesměrování do aplikace ASPSP se zabývá stanovisko EBA v čl. 16, přičemž lze shrnout, že pokud ASPSP umožňuje uživatelům ověřit se pomocí své mobilní bankovní aplikace nebo oddělené autentizační aplikace, měla by při využívání aplikace třetích stran zajistit, že bude uživatel přesměrován přímo do autentizační aplikace ASPSP – bez zbytečných mezikroků (např. přesměrování na mobilní web banky), přičemž ověření by mělo být možné provést uživatelsky přívětivým způsobem (např. biometrií), bez nutnosti manuálně zadávat přihlašovací údaje, pokud je uživatel v přímém kanálu nezadává. Po ověření musí být uživatel automaticky vrácen zpět do aplikace třetí strany. Předpokladem je, že i aplikace třetí strany toto přesměrování technicky podporuje a že jej umožňuje také přímý kanál banky, bez nutnosti ji znovu manuálně otevírat – to by představovalo překážku. Tyto závěry potvrzují i odpovědi na dotazy v EBA Single Rulebook Q&A č. 2021_6321 a 2023_6767^[3].

API v této souvislosti musí reflektovat posun preferencí uživatelů k používání mobilních aplikací při interakci s bankami a nakupování na internetu a současně posun preferencí ASPSP směrem k využívání autentizačních aplikací pro provádění silného ověření.

Otázkou vícenásobného SCA se zabývá stanovisko EBA v čl. 22–28, přičemž lze shrnout, že v případě samostatné služby PIS platí, že ASPSP by měli pro iniciování platby vyžadovat jediné SCA, pokud poskytovatel služby PIS předá ASPSP všechny informace nezbytné k iniciování platby. EBA sice uvádí, že předáno musí být i číslo účtu, z něhož má být platba odepsána, ale toto není třeba v případě, že je plátci ASPSP veden jediný platební účet^[4]. V tomto případě totiž všechny potřebné informace ASPSP má z podstaty věci. Postupy předvídané stanoviskem EBA v čl. 33–41 k volbě účtu^[5], ze kterého má být iniciována platba, připadají v úvahu jen v případě, že má plátce u jednoho ASPSP více použitelných platebních účtů. Tyto závěry potvrzují čl. 25 a 26 stanoviska EBA i odpověď v EBA Single Rulebook Q&A č. 2019_4854^[6]. V případě kombinované služby PIS a AIS je dvojí SCA nutné, pokud se neuplatní některá z výjimek v RTS SCA, konkrétně první SCA pro přístup k informacím o účtu a druhé SCA pro iniciaci platby.

Otázkou dodatečných souhlasů a registrací se zabývá stanovisko EBA v čl. 42–51, přičemž lze shrnout, že obecný souhlas vyžadovaný ASPSP (nad rámec souhlasu uživatele udělovaného třetí straně) za účelem umožnění uživatelům platebních služeb využívat služby poskytovatelů PIS je překážkou podle čl. 32 odst. 3 RTS SCA. Jde zejména o okna či kroky s textem k odkliknutí typu: „souhlasíte s přístupem spol. XYZ k vašemu účtu pro nepřímé zadání platebního příkazu“. Dále pak překážku podle čl. 32 odst. 3 RTS SCA představují požadavky na dodatečné registrace poskytovatelů služeb třetích stran vyžadované ASPSP, aby mohli mít přístup k platebním účtům uživatelů platebních služeb nebo k produkčnímu API, které přesahují rámec toho, co je technicky nezbytné k zajištění bezpečného přístupu k platebním účtům za podmínek stanovených v RTS SCA. Tyto závěry potvrzují i odpovědi v EBA Single Rulebook Q&A č.2018_4123 a 2021_6029^[7].

Dle § 233 odst. 1 písm. c) ZPS se osoba oprávněná poskytovat platební služby dopustí přestupku tím, že nekomunikuje s uživateli nebo osobami oprávněnými poskytovat platební služby podle § 225 ZPS.

---------

[1] Nebo sice vede více platebních účtů, ale z nich není možné platbu iniciovat (např. účty kreditních karet).

[2] Tyto překážky mohou zahrnovat mimo jiné zabránění tomu, aby poskytovatelé platebních služeb uvedení v čl. 30 odst. 1 používali údaje vydané poskytovateli platebních služeb, kteří vedou účet, jejich klientům, uložení povinného přesměrování na ověření či jiné funkce poskytovatele platebních služeb, který vede účet, vyžadování dalších povolení a registrací kromě povolení a registrací stanovených v článcích 11, 14 a 15 směrnice (EU) 2015/2366 nebo požadování dodatečných kontrol souhlasu uděleného uživateli platebních služeb poskytovatelům služeb iniciování platby a informování o účtu.

[3] https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2021_6321, https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2023_6767

[4] V případě zvýšeného rizika použití nechtěného účtu lze akceptovat zobrazení upozornění, že se jedná např. o spoluvlastněný účet, konkrétní případy je ale třeba posuzovat individuálně.

[5] Které lze shrnout tak, že manuální zadávání čísla účtu pro využití služeb PIS je překážkou dle čl. 32 odst. 3 RTS SCA a že ASPSP by měl uživateli při využití služby PIS umožnit volbu účtu způsobem, který není složitější než při přímém přístupu k platebnímu účtu. Kromě postupu popsaného ve stanovisku EBA si lze představit postup, že ASPSP se souhlasem klienta zpřístupní třetí straně seznam účtů, který následný výběr účtu v aplikaci třetí strany umožní.

[6] https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2019_4854: „ASPSPs should not reject the requests received from PISPs in a redirection or decoupled approach, simply because the PISP has not transmitted to the ASPSP the relevant account details.“

[7] https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2018_4123, https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2021_6029.