Asi každý si aspoň jednou v životě zkusil zapisovat své výdaje, aby viděl, kudy mu mizí peníze. Nástup chytrých telefonů vytlačil poznámkové bloky, ale princip zůstal stejný - vzpomenout si na každý výdaj a ten si poznamenat.
Hodně práce by v takovém případě ušetřila aplikace, která by se dokázala připojit k internetovému bankovnictví a brala si údaje přímo z něj. Jiná aplikace by zase mohla klientovi spravovat celé rodinné finance na několika účtech zároveň.
Přesně to má umožnit evropská směrnice s označením PSD2, o které se hovoří jako o bankovní revoluci (podrobněji jsem o tom psali zde). Kromě spořivých občanů může být zajímavá pro e-shopy - ty by s pomocí takzvaného rozhraní pro programování aplikací (API) mohly díky vlastním webovým nebo mobilním aplikacím získat přístup k bankovnímu účtu klienta a nepřímo třeba zadat příkaz k úhradě za zakoupené zboží.
Zadrhnul se klíčový prováděcí předpis
„Největší reálná změna spočívá v tom, že nový zákon umožní rozvoj nových platebních služeb spojených s placením prostřednictvím mobilních a internetových aplikací. Jde o služby nepřímého dání platebního příkazu a správy informací o účtu,“ vysvětluje mluvčí ministerstva financí Kateřina Vaidišová, co je na směrnici PSD2 přelomového.
Resort financí dohlíží na to, aby se z evropské směrnice stal i český zákon. Je však otázka, kdy k tomu dojde. Původně měla norma začít platit od ledna 2018.
I když se to ministerstvo snaží stihnout, není jasné, zda uspěje. Momentálně zákon čeká ve Sněmovně na druhé čtení. Zároveň Evropská komise oficiálně nevydala prováděcí předpis (RTS) se standardy komunikace pro uvolněná API.
Banky mají navíc od vydání předpisu RTS osmnáct měsíců na to, aby se na situaci připravily. To v praxi znamená, že bankovní revoluce může nastat o rok či více později, než má vstoupit v platnost samotný zákon.
„Je to nešťastný souběh. Snažíme se, aby se platnost této části zákona posunula až na dobu, kdy budou hotové a zapracované RTS,“ říká Tomáš Hládek, který má v České bankovní asociaci evropskou směrnici na starosti.
Start-upy neotálí, volí kontroverzní data scraping
Jenže technologické firmy nečekají a již se své možnosti chápou. Vidět to je právě u aplikací na přehledné analýzy osobních financí, jako jsou Spendee, Mint nebo české BudgetBakers, které po světě používají miliony lidí. Z velké části aktuální informace o pohybech v internetovém bankovnictví klientů nezískávají od bank oficiálně a bezpečně, jak to předpokládá chystaný zákon. Využívají k tomu metodu známou jako data scraping.
Zjednodušeně jde o to, že klient sdělí aplikaci přihlašovací údaje a ta projíždí internetové bankovnictví, aniž o tom banka musí vědět. To je problematické a pro samotné uživatele nebezpečné.
„Je potřeba někde uložit přístupové údaje, navíc v případě scrapingu nejsou nijak řešena přístupová práva, a tak si při úniku údajů může útočník vesele ovládat celé bankovnictví. Přestože dnes banky hojně používají dvoufaktorové ověřování na platby, ne všechny takové ověření podporují a považuji ztrátu údajů za velké riziko,“ popisuje situaci například bezpečnostní expert Avastu Michal Salát.
Souhlasí s ním i Jan Tomíšek, právník zaměřující se ve společnosti Rowan Legal na internetové právo. „Banky ve svých smluvních podmínkách smí uložit, jak mají klienti se svými přístupovými údaji nakládat. Například, že je nesmí sdělit třetí osobě. Pokud takový zákaz klient poruší a údaje budou zneužity, banka velmi pravděpodobně nebude odpovídat za újmu, která nám vznikne, protože se prokáže, že klient jednal s hrubou nedbalostí, když údaje někomu prozradil,“ říká.
Je to na uživatelích, říká šéf aplikace
Přesto se data scraping ve velkém používá. Pro získávání údajů o klientech českých bank to dělá i zmíněná aplikace BudgetBakers. Michal Kratochvíl, šéf firmy a zároveň zakládající člen České FinTech asociace, tento postup hájí.
„Vždy se tak děje s výslovným souhlasem klientů, kteří si uvědomují, že nám údaje svěřují. Myslím, že není třeba vodit je za ručičku a lze je nechat o svých datech rozhodnout samotné. Nabízíme více metod a necháváme na našich uživatelích, kterou si vyberou,“ říká s tím, že už začínají první jednání s českými bankami, které by začaly BudgetBakers dobrovolně zpřístupňovat bezpečnější způsob přes API.
„Banky samy se chtějí na novou situaci připravit a jedna z cest je, že začnou spolupracovat s některými již existujícími aplikacemi. V příštích měsících to bude velké téma,“ dodává.
To je ale pořád řeč hlavně o pasivní možnosti získávat informace o internetovém bankovnictví. Aktivní nepřímé zadávání plateb dobrovolně asi jen tak nepřijde. Na vstup směrnice v platnost proto čeká i majitel brněnského faktoringového start-upu Investiční aukce Adam Šoukal.
„Určitě bychom chtěli, aby to bylo co nejdřív. Plánujeme totiž do naší služby přidat platby nebo agregace účtů, což zatím nemůžeme. Dokud to nejde, tak v tom nejsme schopni bankám konkurovat,“ říká.
