Regulace platebních služeb podle směrnice PSD2: Open Banking

Lucie Čermáková

Význam PSD2 pro platební služby

Směrnice o platebních službách na vnitřním trhu (PSD2) zásadně transformovala evropský ekosystém plateb tím, že otevřela přístup k platebním účtům třetím stranám, stanovila přísnější požadavky na bezpečnost a posílila práva uživatelů platebních služeb. Cílem bylo podpořit inovace, konkurenci a jednotné podmínky na trhu, přičemž se kladl důraz na ochranu spotřebitele a redukci podvodů. Tento článek komplexně vysvětluje rozsah působnosti PSD2, nové typy poskytovatelů, pravidla silné autentifikace (SCA), technické a organizační požadavky, pravidla odpovědnosti, transparentnosti a praktické dopady na banky, fintechy i obchodníky.

Rozsah působnosti a definice

PSD2 se vztahuje na platební služby poskytované v rámci Evropského hospodářského prostoru a vybrané přeshraniční situace. Vymezuje platební účty, platební operace (převody, inkasa, platby kartou), poskytovatele platebních služeb a uživatele. Kromě tradičních institucí (banky, instituce elektronických peněz) zavádí nové kategorie třetích stran s přístupem k účtům.

Nové typy poskytovatelů: AIS a PIS

  • Account Information Service Provider (AISP): poskytovatel informací o účtu, který na základě souhlasu klienta agreguje data z jednoho nebo více platebních účtů a nabízí přehledy, analýzu výdajů či finanční plánování.
  • Payment Initiation Service Provider (PISP): poskytovatel iniciování platby, který s pověřením klienta zadá platební příkaz přímo z jeho účtu u jiné instituce (typicky banky). PISP nespravuje peníze klienta, ale iniciuje převod prostřednictvím rozhraní banky.

Obě kategorie podléhají povolení/registraci, dohledu a musí splňovat bezpečnostní, provozní a organizační požadavky včetně pojištění odpovědnosti nebo obdobné záruky.

Přístup k účtu (XS2A) a rozhraní bank

Jádrem PSD2 je právo licencovaných třetích stran přistupovat k platebním účtům klientů prostřednictvím standardizovaných a bezpečných rozhraní. Banky musí:

  • zpřístupnit otevřená API pro AISP a PISP při zachování rovnocenného přístupu, jaký mají jejich vlastní kanály,
  • zajistit nediskriminační podmínky a robustní dostupnost rozhraní,
  • mít připravený fallback mechanismus (kontingenční přístup), pokud API dlouhodobě nesplňuje předepsané parametry,
  • umožnit přístup na základě platného souhlasu uživatele a v rozsahu nezbytných údajů.

Silná autentifikace klienta (SCA) a „dynamic linking“

Silná autentifikace je povinné vícefaktorové ověření uživatele při přístupu k účtu a u většiny elektronických plateb. SCA vyžaduje minimálně dva prvky z kategorií:

  • znalost (heslo, PIN),
  • vlastnictví (telefon, fyzický token, karta),
  • inherentnost (biometrie – otisk prstu, rozpoznání obličeje).

Pro platby se uplatňuje princip dynamic linking – autentifikační kód je kryptograficky vázán na konkrétní částku a příjemce, což minimalizuje riziko přesměrování platby. Existují výjimky ze SCA (např. nízká částka, opakované důvěryhodné platby, transakce s nízkým rizikem na základě monitorování TPP/PSP), které musí být adekvátně odůvodněné a monitorované.

Technické standardy a bezpečnostní povinnosti

Poskytovatelé musí udržovat přiměřenou úroveň kybernetické bezpečnosti a řízení rizik. Mezi minimální opatření patří:

  • kryptografická ochrana dat v přenosu i v klidu,
  • řízení identit a přístupů, segmentace systémů a auditní stopy,
  • monitoring podvodů a anomálií, pravidelné testování odolnosti (penetrační testy),
  • plán kontinuity a obnovy po havárii, definované RTO/RPO,
  • správa zranitelností, patchování a bezpečnost dodavatelského řetězce.

Dohled, povolení a oznamování incidentů

Poskytovatelé platebních služeb podléhají povolení nebo registraci u příslušného národního orgánu dohledu. Povolení je vázáno na kapitálové požadavky, program činnosti, governance a outsourcing. Závažné provozní nebo bezpečnostní incidenty musí být bezodkladně oznámeny dozoru a v relevantních případech i uživatelům a obchodním partnerům; vedení musí zajistit analýzu příčin a nápravná opatření.

Ochrana spotřebitele a transparentnost

  • Informace před uzavřením smlouvy: jasné smluvní podmínky, poplatky, kurzy a lhůty zpracování.
  • Informace po transakci: potvrzení, datum valuace, částka a příjemce; přehled poplatků a kurzů.
  • Zákaz nadměrného příplatku (surcharging): zejména pro spotřebitelské karty schémat s regulovanými mezibankovními poplatky.
  • Reklamace a řešení sporů: stanovuje se standardní lhůta pro vyřízení podání a povinnost spolupráce se zákazníkem.

Odpovědnost při neoprávněných a chybně provedených platbách

Regulace posiluje postavení uživatele při neoprávněných transakcích. V zásadě platí:

  • uživatel nenese odpovědnost za neoprávněné platby po nahlášení ztráty nebo zneužití autentifikačních prostředků,
  • před nahlášením je odpovědnost omezena do určitého limitu, pokud nedošlo k hrubé nedbalosti,
  • poskytovatel musí bezodkladně vrátit částku neoprávněné platby (refundační povinnost), pokud neprokáže podvod nebo hrubou nedbalost klienta,
  • při iniciaci platby přes PISP zůstává odpovědnost za provedení na bance vedení účtu; PISP odpovídá za chyby při iniciaci.

Souhlas, ochrana údajů a minimalizmus

Přístup třetích stran je podmíněn výslovným souhlasem uživatele a principem minimalizace – zpracovává se pouze nezbytný rozsah dat pro danou službu. Poskytovatelé musí zajistit řízení souhlasů, jejich auditovatelnost, jasné odvolání a konzistenci s právními předpisy o ochraně osobních údajů. AISP nesmí žádat nebo uchovávat více informací, než je potřebné k agregaci.

Standardizace API a provozní kvalita

Ačkoliv PSD2 je technologicky neutrální, v praxi se uplatňují sektorové standardy pro bezpečné a interoperabilní API (např. formáty zpráv, bezpečnostní profily, procesy autorizace). Klíčové parametry kvality zahrnují:

  • dostupnost a latenci rozhraní porovnatelnou s vlastními kanály banky,
  • správu certifikátů a důvěryhodnosti (eIDAS/důvěryhodné seznamy),
  • monitoring a reporting provozních metrik,
  • kontingenční scénáře při výpadcích (fallback).

Outsourcing a řízení dodavatelů

Outsourcované činnosti (včetně cloudu) musí být řízeny prostřednictvím smluv, SLA, bezpečnostních a dostupnostních požadavků, práv na audit a exit strategií. Kritické funkce nesmí být outsourcingem oslabeny natolik, aby poskytovatel ztratil dohled a kontrolu nad riziky.

Prevence podvodů a hodnocení rizika transakcí

Poskytovatelé uplatňují modely transaction risk analysis pro posouzení pravděpodobnosti podvodu a odůvodnění výjimek ze SCA. Vyžaduje se:

  • kontinuální behaviorální monitoring a detekce anomálií,
  • důraz na integritu koncového bodu a bezpečnost autentifikačních prvků,
  • reportování podvodů a pravidelný přehled účinnosti kontrol.

Transakce kartami versus účetní převody

PSD2 umožnila zrychlený rozvoj account-to-account plateb přes PISP jako alternativu ke kartovým schématům. Obchodníci tak získali potenciálně nižší poplatky a okamžité zúčtování. Současně byly posíleny pravidla pro transparentnost kurzů a poplatků u přeshraničních plateb v rámci EHP.

Vztah k okamžitým platbám a novým inovacím

Ačkoliv PSD2 přímo nepředepisuje okamžité platby, její rámec otevřených API a SCA vytváří předpoklady pro inovace: iniciování plateb v reálném čase, inteligentní inkasa, platby z mobilních peněženek či „request-to-pay“. Poskytovatelé využívají otevřená data pro tvorbu finančních asistentů a personalizovaných služeb s vyšší přidanou hodnotou.

Praktický compliance rámec pro poskytovatele

  1. Governance a odpovědnosti: vymezit role (CISO, odpovědná osoba pro compliance), mapovat procesy a rizika.
  2. Politiky a metodiky: SCA, řízení souhlasů, ochrana dat, incident management, outsourcing.
  3. Technické kontroly: API brána, certifikáty, kryptografie, monitoring, logování a SIEM.
  4. Testování a audit: penetrační testy, hodnocení třetích stran, interní kontroly.
  5. Vzdělávání a komunikace: školení pro vývoj, provoz a podporu; jasné informování klientů.

Práva a povinnosti uživatele

  • Kontrola nad souhlasem: možnost snadno udělit, omezit a odvolat souhlas pro AISP/PISP.
  • Informace a přehlednost: po každé transakci i periodicky; jasné poplatky a kurzy.
  • Rychlá náprava: při neoprávněné platbě právo na promptní vrácení prostředků, pokud není prokázán podvod.

Dopad na banky, fintechy a obchodníky

Banky přešly od uzavřené infrastruktury k roli „platformy“, fintechy získaly regulovaný přístup k účtům a prostor pro nové služby, obchodníci získali alternativy k tradičním akceptačním kanálům. Součástí změny je přesun investic do API ekosystému, bezpečnosti a provozní odolnosti.

Měření úspěchu a ukazatele

  • dostupnost a latence API, počet výpadků a úspěšnost fallbacku,
  • míra podvodů a účinnost SCA výjimek,
  • adopce AISP/PISP (počty integrací, iniciovaných plateb, aktivních souhlasů),
  • spokojenost klientů a metriky reklamací.

PSD2 vytvořila jednotný rámec otevřeného bankovnictví v Evropě, který posílil bezpečnost, transparentnost a konkurenci na trhu platebních služeb. Povinnost zpřístupnit bezpečné API a zavedení silné autentifikace snížily riziko podvodů a umožnily prostor pro inovativní řešení. Úspěch v prostředí PSD2 vyžaduje profesionální řízení rizik, důslednou technickou implementaci, jasnou komunikaci se zákazníky a nepřetržité zlepšování provozní odolnosti.

Súvisiace články

Typy pojištění schopnosti splácet úvěr

Pojištění schopnosti splácet úvěr kryje úmrtí, invaliditu, pracovní neschopnost a nezaměstnanost, přizpůsobuje pojistné částky výši úvěru a splatnosti a nabízí různé formy plnění včetně jednorázových i měsíčních dávek.