امیر عراقی
امیر عراقی
خواندن ۱۹ دقیقه·۳ سال پیش

پیش‌درآمدی بر تسهیل‌گری در ارائه خدمات بانکداری باز با بومی‌سازی استانداردهای PSD2 و GDPR

مقدمه

دستورالعمل اصلاح شده خدمات پرداخت مجموعه قوانین و مقررات مربوط به خدمات پرداخت در اتحادیه اروپا و منطقه اقتصادی اروپا (EEA) است. این مجموعه قوانین به دنبال ایجاد امنیت بیشتر در پرداخت­ها در اروپا، تقویت نوآوری و کمک به خدمات بانکی برای انطباق با فناوری­های جدید است. دستورالعمل اصلاح شده خدمات پرداخت گواهی بر اهمیت روزافزونی است که رابط­های برنامه­نویسی کاربردی در بخش­های مختلف صنعت مالی در حال کسب کردن هستند.

همه چیز در سال 2007، با دستورالعمل ارائه ­دهندگان خدمات پرداخت (PSD) آغاز شد، که با هدف کمک به توسعه بازار واحد پرداخت در اتحادیه اروپا به منظور ارتقا نوآوری، رقابت و کارایی در اتحادیه اروپا تدوین شد. در سال 2013، کمیسیون اروپا اصلاحیه­ای را پیشنهاد کرد (که دلیل وجود عدد دو در نام PSD2 می­باشد)، که هدف آن پیشرفت در این اهداف است. این اصلاحیه به دنبال بهبود حمایت از مصرف­کننده، تقویت رقابت و نوآوری در صنعت مالی و تقویت امنیت در بازار پرداخت­ها است که انتظار می­رود توسعه روش­های جدید پرداخت و تجارت الکترونیکی را تسهیل کند.

پارلمان اروپا آیین ­نامه عمومی حفاظت از داده­ها (GDPR) را در آوریل سال 2016 تصویب کرد که جایگزین دستورالعمل منسوخ شده محافظت از داده­ها مصوبه سال 1995 شد. آیین­نامه عمومی حفاظت از داده­ها مقرراتی را دربرمی گیرد که به واسطه آنها کسب­وکارها ملزم به محافظت از اطلاعات شخصی و حریم خصوصی شهروندان اتحادیه اروپا در انجام تراکنش­ها در داخل کشورهای عضو اتحادیه اروپا می­شوند. آیین­نامه عمومی حفاظت از داده­ها همچنین صادرات داده­های شخصی مصرف­کنندگان به خارج از اتحادیه را شامل می­شود.

دستورالعمل اصلاح شده خدمات پرداخت و آیین­نامه عمومی حفاظت از داده­ها هر دو مجموعه قوانین پیچیده هستند و رابطه بین مقررات متمایز هر کدام و نحوه کار آنها با هم هنوز به طور کامل مشخص نیست، که این امر منجر به سردرگمی در بین ارائه­دهندگان خدمات پرداخت (به عنوان مثال: بانک­ها، شرکت­های پرداخت مستقل، موسسات شروع­کننده پرداخت و ارائه­دهندگان خدمات اطلاعات حساب) شده است.

پیاده ­سازی استانداردی همانند دستورالعمل اصلاح شده خدمات پرداخت در ایران با پیچیدگی­هایی همراه است که نیازمند فهم درست از دستورالعمل اصلاح شده خدمات پرداخت و آیین­نامه عمومی حفاظت از داده­ها، شرایط موجود و همچنین استراتژی­ها و گزینه ­های مناسب برای پیاده ­سازی موفقیت آمیز استاندارد می­باشد.

دستورالعمل اصلاح شده خدمات پرداخت طیف وسیعی از فعالان بازار پرداخت از جمله تأمین ­کنندگان خدمات پرداخت (PSP)، بانک­ها، موسسات فعال در حوزه پرداخت، موسسات ارائه­دهنده خدمات در حوزه پول الکترونیکی، کسب­وکارها و مشتریان آنها را تحت تأثیر قرار خواهد داد. دستورالعمل اصلاح شده خدمات پرداخت همچنین به منظور بهبود حمایت از مصرف­کننده، ایجاد فضای پرداخت امن­تر و کاهش هزینه­های مربوط به ارائه خدمات پرداخت تدوین شده است. این مقاله با نگرش بومی­‌سازی استاندارد PSD2 با دو نگرش فنی و کسب و کاری تهیه شده است.

انقلاب بانکداری - بانکداری باز

در فضای پویای تجارت امروز، نهادهای نظارتی در حوزه بانکداری، در حال برداشتن گام‌هایی مبتکرانه­ جهت ارائه دسترسی و شفافیت بیشتر به اطلاعات مشتریان می­باشند و این امر تلاشی است در جهت تحریک رقابت و نوآوری برای ارائه یک تجربه بانکداری مشتری محور دلچسب. درحالی که بانک­ها در گذشته به اطلاعات مشتریان دسترسی انحصاری داشتند، مقررات جدید الزامات بیشتری را به بانک‌ها دیکته می‌کند تا از طریق کانال­های دیجیتال، اطلاعات مشتریان را برای شرکت­های شخص ثالث قابل دسترس نماید.

با الزام بانک‌ها برای شکستن دسترسی انحصاریشان به مکانیزم‌های پرداخت، شرکت‌های نوپا، تجمیع‌كنندگان و سایر شرکت­های فعال در این حوزه توان این را یافتند تا ضمن کاهش هزینه‌ها، خدمات مشتریان را بهبود داده و فن‌آوری‌های نوآورانه‌تری را توسعه دهند.

در اتحادیه اروپا، دستورالعمل اصلاح شده خدمات پرداخت (PSD2)، از بانک‌ها می‌خواهد تا دسترسی به سرویس­های پایه­ خود را برای ارائه خدمات در حوزه اطلاعات حساب و شروع پرداخت از طریق واسط‌های برنامه‌نویسی کاربردی برای شرکت‌های بیرونی فراهم آورند. در انگلستان، سازمان پول و رقابت(CMA)، دستورکار مشابهی را برای نه بانک بزرگ در انگلستان الزام کرده تا دسترسی به کلیه حساب‌های پرداخت را برای شرکت­های شخص ثالث فراهم آورند. همزمان با فراهم آوردن دسترسی به اطلاعات مشتریان، اتحادیه اروپا مقررات مربوط به حریم خصوصی داده‌ها (GDPR) را با هدف ارائه رهنمودهایی در خصوص حقوق مصرف‌کنندگان در رابطه با نحوه استفاده از اطلاعات و چگونگی محافظت از اطلاعات مشتریان معرفی نموده است.

بانکداری باز چیست؟

بانکداری باز، فراهم آوردن دسترسی شرکت­های شخص ثالث به اطلاعات مشتری و حساب، با استفاده از واسط­های برنامه­نویسی کاربردی باز می­باشد. مشتریان، به عنوان صاحبان اطلاعات خود که توسط موسسات مالی به نیابت از مشتری و به صورت حضانتی نگهداری می‌شوند، قادر خواهند بود تا دسترسی اطلاعات خود را به موسسات شخص ثالث مدیریت نمایند. در استرالیا، برای نمونه، دولت اخیراً از تصویب توصیه‌های ارائه شده در گزارش فارل خبر داد که رویکرد مشابهی را در رابطه با دسترسی به داده­های بانکی ارائه داده است، اما با دامنه تاثیرگذاری گسترده ­تر از آنچه در دستورالعمل اصلاح شده خدمات پرداخت پذیرفته شده است. در حمایت از پیشرفت بانکداری باز در استرالیا، دولت، سازمان حقوق داده مصرف­ کننده (CDR) را تاسیس کرد که به طور رسمی، مالکیت داده‌های مصرف­کنندگان را به خودشان می­دهد و ابزاری را برای مدیریت استفاده از داده­ها با روشی یکپارچه، ساده و ایمن ارائه می­دهد. از این طریق به صورت ریشه‌ای بسیاری از موانع موجود در مسیر انتقال حساب­ها و تسهیلات بین موسسات مالی از بین می­رود. این اقدام در عمل اصطکاک را در بانکداری، مشابه با قابلیت رومینگ و ترابرد در صنعت ارتباطات از بین می­برد. بانکداری باز به عنوان یک تحول در صنعت بانکداری، ارزش ­پیشنهادی ارائه شده به مشتریان را با شفاف­سازی خواسته­ های واقعی مصرف­ کنندگان می سنجد. در نتیجه، این امر به صورت غیرقابل اجتناب بر هزینه­ مصرف­کننده و رفتار مصرف تاثیر خواهد گذاشت. به بیان ساده ­تر بانکداری باز نیاز مشتری را با ارزش پشنهادی ارائه شده به مشتری تطابق می­دهد.

نتیجه اصلی این امر دسترسی به اطلاعاتی است که قبلاً فقط از طریق کانال­های بانکی در دسترس بوده و در صورت اجازه مشتری برای موسسات شخص ثالث اعتبارسنجی‌شده در دسترس خواهد بود. در برخی موارد، این کار در گذشته نیز توسط تجمیع­کنندگان اطلاعات (مانند ارائه ­دهندگان ابزارهای مدیریت مالی شخصی) صورت می­گرفت که از فناوری­های Screen Scraping استفاده می­کنند با تکیه بر اشتراک­گذاری مجوز دسترسی به اطلاعات اینترنت بانک مشتری. با این حال، نگرانی‌های مربوط به امنیت مصرف‌کننده، رشد استفاده از این روش را محدود می­کند. ارائه مکانیزمی امن و مطمئن برای مصرف­کنندگان به منظور تعیین اینکه کدام داده‌ها به اشتراک گذاشته شوند، و این داده­ها با چه کسانی به اشتراک گذاشته شوند و تعیین مدت زمان اشتراک‌گذاری داده ­ها، احتمالاً باعث افزایش قابل توجه پذیرش این روش خواهد شد. ارائه اطلاعات مشتری باید به گونه­ای صورت گیرد تا از موافقت کاملا آگاهانه مشتری و حفاظت از حریم خصوصی او در انتقال اطلاعات بین سازمان­های مربوطه، اطمینان حاصل شود. در این فضای جدید، رضایت مشتری باید صریح و شفاف، کاملاً آگاهانه و مطابق با خواست مشتری، مجاز یا محدود شود.

محدوده بانکداری باز

بانکداری باز دسترسی به اطلاعات مربوط به مشتری و حساب را از طریق واسط­های برنامه ­نویسی کاربردی استاندارد موجود در صنعت مرتبط به موسسات شخص ثالث فراهم می­آورد. موسسات شخص ثالث از طریق واسط­های برنامه­ نویسی کاربردی، می­توانند به طور مستقیم و بدون نیاز به کانال­های موجود در بانک با سامانه متمرکز بانک تعامل داشته باشند.

بازارهای اتحادیه اروپا و انگلستان بر روی ارائه خدمات اطلاعات حساب و شروع پرداخت برای حساب‌هایی که امکان پرداخت دارند، تمرکز کرده‌اند. رویکرد استرالیایی دید گسترده­تری به موضوع دارد و دامنه وسیع­تری از محصولات سپرده و وام را در تمام حوزه­ های بانکداری در بر می­گیرد. این امر با هدف اشتراک­ گذاری مجموعه گسترده‌­تری از اطلاعات مشتری و حساب و با تأکید بیشتر بر سرویس­های از نوع استعلام صورت می­پذیرد. به طور نمونه، جدول زمانی تعیین شده برای پیاده ­سازی بانکداری باز در استرالیا مستلزم آن است که حساب­های سپرده و کارت اعتباری تا اوایل سال 2020 و وام­های مختص رهن-دهی و شخصی تا اوایل سال 2021 در دسترس باشند.

چالش­ها و آموزه­ های پیاده ­سازی بانکداری باز

اگر قرار باشد قوانین بانکداری باز نتایج مطلوبی را در بازار به ارمغان آورند و هزینه‌های گزاف سیستمی را به صورت افزایشی برای بخش بانکی ایجاد نکند، چندین نکته وجود خواهد داشت که قانون­گذاران و فعالان بازار باید به آنها توجه داشته باشند.

تبیین استانداردها از آغاز پیاده ­سازی

به دلیل مواجه شدن با فشار زیاد برای رسیدن به یک ضرب‌الاجل قانونی و عدم وجود استانداردهای مشخص در رابطه با چگونگی پیاده‌سازی احراز هویت و ارائه مجوزهای دسترسی، هر یک از بانکهای درگیر در پیاده‌سازی اولیه مطلوب است تا همگی از استاندارد فنی عمومی مشابهی تبعیت کرده باشند، هرچند به راه­ حل­های کاملاً متفاوتی در یکپارچه‌سازی اختصاصی مورد نیاز برای شرکتهای شخص ثالث دست یابند. تعامل زودهنگام و کامل با فعالان بازار، به عنوان مساله‌ای اساسی مطرح است، به این معنی که کسب اطمینان از رسیدگی به نگرانی­های موجود در خصوص وجود یک استاندارد مشترک و اطمینان از تعهد مشترک تمامی موسسات (بانک و شخص سوم) در مورد روش‌های پیاده‌سازی بانکداری باز امری ضروری می­باشد.

قانون­گذاری - تسهیل مشکلات قانونی

ارائه سازوکارهای جدید، که به سرمایه ­گذاری همه فعالان احتیاج دارد، زمانی قابل توجیه است که منجر به نوآوری یا عرضه سود در صنعت شود. مدل انگلستان که ۹ بانک بزرگ را برای پشتیبانی از بانکداری باز ملزم کرده است، یک الزام برای بخش "عرضه" این هدف یعنی پیاده ­سازی بانکداری باز می­باشد، اما سوی دیگر این معادله، استقبال شرکت­های شخص ثالث برای پذیرش بانکداری باز و استفاده از واسط­های برنامه­نویسی کاربردی برای ارائه محصولات می­باشد که این امر هنوز جای پیشرفت دارد.

شاید مطلوب باشد تا در ابتدا ماموریتی را برای شرکت­های شخص ثالث درنظر گرفت تا از بانکداری باز استفاده کنند و همچنین به بانک­ها اجازه داده شود تا به طور موازی به ارائه سرویسهای مشخص و پایه بر بستری مشخص و امن با تایید واسط قانونگذار اجبار شوند.

تطابق معماری

برای جلوگیری از رشد مداوم هزینه‌های سیستمی، مهم است که بانک‌ها قادر به پاسخگویی به الزامات مربوط به بانکداری باز باشند و در عین حال نگرانی‌های مرتبط با سرمایه گذاری در زیرساختهای اضافی را برطرف سازند. در حالی که ممکن است هدف این باشد که با گذشت زمان، مکانیزم‌های امنیتی و کنترل دسترسی که برای پیاده­ سازی بانکداری باز به کار گرفته می­شوند، با آنهایی که در کانال­های دیگر به کار گرفته می شوند همسو باشند. شایان ذکر است که پیاده‌سازی بانکداری باز در انگلستان، با توسعه مکانیزم‌های جدید و با کنارگذاشتن حداقلی کانال‌های سنتی بانکی صورت پذیرفته است.

ساختارهای امنیتی که اغلب در محصولات آنلاین بانکداری شرکتی یافت می‌شوند، با هدف اجرای طیف وسیعی از فعالیت­ها، از مکانیزم‌های پیچیده مبتنی بر توکن برای دسترسی چندین کاربر به چندین حساب استفاده می‌کنند. الزامات مربوط به این ساختارها با نیازمندی‌های بانکداری باز همپوشانی قابل توجهی دارد، مخصوصا اینکه بانکداری شرکتی و تجاری را نیز دربرمی‌گیرد.

هویت دیجیتال نیز در این حوزه به عنوان چالشی مهم در نظر گرفته می­شود. بسیاری از بانک‌ها «اطلاعات مشتری» را بر اساس بخش­بندی مشتریان تقسیم ­بندی کرده ­اند. اگر استانداردهای بانکداری باز روش‌های یکسانی را برای دسترسی کاملا شفاف به اطلاعات مشتری و حساب الزامی می­کنند، بنابراین احتمالاً درجه‌ای از همسویی با روابط و اطلاعات کنترل دسترسی و اطلاعات مشتری در سامانه‌های بانکی مورد نیاز است. این امر ممکن است عواقب ناخواسته‌ای برای چشم­انداز فناوری اطلاعات داخلی یک بانک ایجاد کند که منجر به هزینه‌های قابل ­توجهی می‌شود که مذاکره و همفکری با بازیگران بازار را الزامی می­کند.

شایان ذکر است که تأثیر بانکداری باز بر بار عملیاتی سامانه‌های متمرکز فناوری اطلاعات بانک­ها تا کنون شناسایی نشده است و پیاده­ سازی محدود بانکداری باز در انگلستان هم مطابق بررسی مقالات مرتبط تاکنون باعث افزایش بار عملیاتی به اندازه کافی برای بروز مشکلات ملموس برای بانک‌ها نشده است. با این حال، نشانه‌هایی از بروز مشکلات دیده شده است.

بار عملیاتی ایجاد شده جدید تا حد زیادی به سه دسته زیر تقسیم می شوند:

  • بار عملیاتی ایجاد شده توسط تعاملات فعلی مشتری، مانند بانکداری آنلاین با داده‌های تجمیع شده، یا پیشنهادات خصوصی‌سازی‌شده که توسط داده‌های به دست آمده از رفتار مشتری ارائه می­گردند. (برای مثال پیشنهادات مربوط به خرید مسکن)
  • تعاملات جدید مشتری که بر مبنای خوانش و درک آفلاین داده ایجاد می­شوند. برای مثال فعالیت­های مشتری در حوزه مدیریت وجه نقد.
  • فعالیت‌های لازم برای به روز نگه داشتن اطلاعات مشتری و درک بهتر رفتار مشتری.

دو مورد اشاره شده اول در بالا احتمالا تا حدی باعث افزایش بار عملیاتی سامانه‌های متمرکز بانک‌ها خواهد شد. با این حال، این فعالیت­ها بیشتر تحت تأثیر رفتار مصرف‌کننده صورت می‌گیرند و بنابراین تاکنون نیز در گروه پیش‌بینی بار عملیاتی مرتبط با «بانکداری آنلاین یا کانال­های موبایل بانک» قرار گرفته ­اند. سومین مورد، بار عملیاتی جدیدی است که منشا آن سامانه‌ها و اتوماسیون می­باشد.

نقش هویت دیجیتال

بانکداری باز امروزه بر تسهیل دسترسی به حساب­های مشتریان متمرکز است. با این حال، هیچ تمرکزی در استانداردهای مربوط به بانکداری باز در رابطه با هویت مشتری یا ارتباط مشتری با حساب وجود ندارد. بانکداری باز اطمینان می‌دهد که مشتری دسترسی فنی به حساب دارد، و در خصوص هویت دیجیتال مشتری اقدامات لازم انجام نشده است.

بانکداری باز از دسترسی فنی مشتری به حساب اطمینان حاصل می­کند، اما این امر در خصوص هویت مشتری صورت نمی­گیرد. در هنگام ایجاد دسترسی به اطلاعات حساب مشتری، مسئله­ای که لازم است مورد توجه همه بانک­ها قرار گیرد، رابطه فرد با حساب می­باشد. این مکانیزم جدید دسترسی در کنار روش فعلی ارتباط بانک با مشتری و کنترل دسترسی به حساب قرار خواهد گرفت.

سناریوهای زیر را در نظر بگیرید:

  • مشتری مایل است تا مجوز دسترسی به تمامی یا برخی از حساب­های خود را به یک شرکت شخص ثالث بدهد؛ آیا این اعطای دسترسی یک فرآیند تکرارشونده روی یک حساب خواهد بود؟
  • مشتری در یک حساب مشترک می­خواهد به یک شرکت شخص ثالث اجازه دسترسی دهد؛ آیا دیگر مالکان حساب مشترک نیز باید اجازه دسترسی دهند؟
  • یک کارمند از یک اپلیکیشن ارائه شده توسط یک شرکت ثالث برای مدیریت امور مالی کسب و کار استفاده می­کند (موردی رایج در بانکداری شرکتی)؛ چه کسی مجوز دسترسی را اعطا می­کند و اطمینان حاصل می­کند که این مجوز دسترسی تنها برای همان کارمند خاص صادر شود؟

جنبه دیگری که باید در نظر گرفته شود، مدل مجوز دسترسی می­باشد. این مدل همچنین می­تواند در صنعتی که مجوز دسترسی به حساب به منظور تأیید اطلاعات کلیدی مرتبط با تصمیمات اعتباری اعطا می­شود، مشکل­ساز باشد. شرایطی را در نظر بگیرید که مجوز دسترسی برای بررسی حساب­ها جهت تأیید درآمد یا سایر بررسی­های مربوط به قابلیت دسترسی به وام اعطا شده است. چگونه نهاد درخواست­ کننده مجوز دسترسی می­تواند اطمینان حاصل کند که حساب­هایی که اجازه دسترسی به آنها داده شده است، در واقع حساب­های مشتری مورد نظر می­باشد و در این خصوص، بانک دارنده حساب چه مسئولیتی دارد؟

دستورالعمل اصلاح ­شده خدمات پرداخت اتحادیه اروپا (PSD2)

دستورالعمل اصلاح شده خدمات پرداخت دربرگیرنده مجموعه قوانین و مقررات مربوط به خدمات پرداخت در اتحادیه اروپا و منطقه اقتصادی اروپا می­باشد. این دستورالعمل در سال 2015 تصویب شده است اما مهم­ترین جنبه­های مربوط به پرداخت آنلاین از 14 سپتامبر 2019 اجرا شده است.

دستورالعمل اصلاح شده خدمات پرداخت با هدف مدرن­سازی بیشتر خدمات پرداخت اروپا به سود مصرف­کنندگان و مشاغل تدوین شده است. این دستورالعمل با هدف توسعه نوآورانه خدمات پرداخت آنلاین و تلفن همراه، منجر به ارتقا امنیت در پرداخت­های آنلاین و حمایت بهتر از مصرف ­کننده می­شود. در عین حال، هدف این دستورالعمل ایجاد بستر حقوقی یکسانی برای تمامی ارائه­ دهندگان خدمات پرداخت از جمله شرکت­های تازه­وارد و نوآور یا فینتک­ها و کمک به بهبود یکپارچگی و کارآمدی بازار پرداخت اروپایی می­باشد. به طور کلی، قوانین به روز شده به تسهیل نوآوری، رقابت و کارایی در بازار پرداخت آنلاین اتحادیه اروپا کمک می­کند. دستورالعمل اصلاح شده خدمات پرداخت همچنین به عنوان گامی رو به جلو به سوی تکمیل بازار واحد دیجیتال در اتحادیه اروپا گزینه­ های بهتر و بیشتری را در خصوص پرداخت­های خرده فروشی به مصرف کنندگان ارائه می­دهد. دستورالعمل اصلاح شده خدمات پرداخت چندین مزیت عمده را برای مصرف­کننده به همراه می­آورد، مانند موارد زیر:

مقابله با کلاه­برداری در پرداخت­های آنلاین: دستورالعمل اصلاح شده خدمات پرداخت برای اطمینان از رعایت حریم خصوصی مصرف­کنندگان توسط تمامی ارائه­ دهندگان خدمات در بازار پرداخت، الزامات شدید امنیتی را برای پرداخت­های الکترونیکی و محافظت از داده­های مالی مصرف­ کنندگان ارائه می­دهد. این قوانین باید اعتماد مشتری را هنگام خرید آنلاین افزایش دهند.

باز کردن بازار پرداخت اتحادیه اروپا برای رقابت: دستورالعمل اصلاح شده خدمات پرداخت زمینه را برای آینده فراهم می­کند. با تکامل مداوم خدمات مالی آنلاین، قوانین جدید به صورت یکسان در مورد بانک­های سنتی و ارائه­دهندگان خدمات پرداخت نوآورانه و تازه ­واردان به بازار پرداخت مانند فینتک­ها اعمال خواهد شد. این شرکت­های تازه ­وارد به بازار پرداخت که ارائه­ دهندگان خدمات پرداخت شخص ثالث (TPP) نیز نامیده می­شوند، اکنون تحت قوانین اتحادیه اروپا مورد نظارت قرار خواهند گرفت. آنها قادر خواهند بود مزایای زیادی به مصرف­ کننده ارائه ­دهند. به عنوان مثال، آنها می­توانند از طرف مشتریان پرداخت را آغاز کنند. آنها به خرده فروشان اطمینان می­دهند که وجه پرداختی در راه است، یا مروری بر تمامی حساب­ها و مانده موجودی­ها را به مشتریان خود در یک نما ارائه می دهند.

افزایش حقوق مصرف­ کنندگان در زمینه­های مختلف: این موارد شامل کاهش مسئولیت مصرف­ کنندگان در قبال پرداخت­های غیرمجاز و معرفی حق بازپرداخت بی­قید و شرط ("بدون پرسش") برای بدهی ­های مستقیم به یورو می­باشد.

ممنوعیت شارژ کردن اضافه مشتری توسط ارائه ­دهندگان خدمات پرداخت: دستورالعمل اصلاح شده خدمات پرداخت شارژ اضافه حساب مشتری را که هزینه اضافی برای پرداخت با کارت اعتباری یا بدهی است، چه در مغازه­ها و چه به صورت آنلاین ممنوع می­کند.

دستورالعمل اصلاح شده خدمات پرداخت روند شکایات را بهبود می بخشد: دستورالعمل اصلاح شده خدمات پرداخت کشورهای عضو را ملزم می­کند مقامات ذیصلاح را برای رسیدگی به شکایات کاربران خدمات پرداخت و سایر اشخاص ذینفع، مانند انجمن­های مصرف­کنندگان، تعیین کنند. ارائه ­دهندگان خدمات پرداخت باید روند ثبت و بررسی شکایات را برای مصرف­کنندگان که می­تواند پیش از شروع دادرسی مورد استفاده قرار گیرد تدوین کنند.

دلیل ضروری بودن دستورالعمل اصلاح­ شده خدمات پرداخت

از زمان تصویب PSD1 در سال 2007 تحولات زیادی اتفاق افتاده است و بازار پرداخت آنلاین اروپا با تحولات نوآورانه بسیاری مواجه شده است. در ادامه خلاصه­ای از روندهای اصلی آورده شده است:

افزایش کلاه­برداری در حوزه پرداخت آنلاین در اروپا: بانک مرکزی اروپا افزایش66 درصدی نرخ کلاه­برداری در حوزه پرداخت آنلاین را بین سال­های 2011 تا 2016 ثبت کرده است و این امر دلیل اصلی افزایش نرخ کل کلاه­برداری 35٪ می­باشد. کلاه­برداری آنلاین اکنون 73٪ از کلاه­برداری در اروپا را تشکیل می­دهد و این نرخ به صورت مداوم در حال افزایش است.

ظهور اقتصاد وابسته به رابط برنامه ­نوسی کاربردی: رابط برنامه­ نویسی کاربردی به سیستم­های مختلف اجازه می­دهد تا با یکدیگر تعامل کنند. رابط برنامه­نویسی کاربردی در موفقیت شرکت­هایی مانند آمازون، گوگل، اوبر، استرایپ و غیره نقش اساسی ایفا می­کند و هم­چنین رابط برنامه نویسی کاربردی از ایجاد مدل­های تجاری کاملا نوینی، از جمله فینتک­ها پشتیبانی کرده است. رابط­های برنامه نوسی کاربردی شرایط را برای بازتر شدن صنعت بانکداری و پرداخت فراهم می­نماید.

مدل­های جدید کسب و کار که تحت کنترل و نظارت قانونی قرار ندارند: از زمان PSD1 تا کنون، در بازار پرداخت دیجیتال با ظهور فینتک­ها رشد و نوآوری­های بسیاری اتفاق افتاده است. تا پیش از PSD2، نظارت حقوقی به صورت کامل روی این موسسات اعمال نشده بود. PSD2 استانداردها و ساختارهای لازم را در این خصوص فراهم می­آورد و برای موسسات نوین امکان دسترسی به حساب­های بانکی مشتریان را فراهم می­کند.

اهداف دستورالعمل اصلاح شده خدمات پرداخت به شرح زیر است:

  • یکپارچه­ تر­ و کارآمدتر کردن بازار پرداخت اروپا
  • بهبود شرایط بازار پرداخت از لحاظ یکسان­سازی قوانین برای تمامی ارائه­دهندگان خدمات پرداخت (از جمله موسسات نوظهور)
  • ایمن­تر و مطمئن­تر کردن پرداخت­ها
  • محافظت از کاربران در برابر کلاه­برداری

بر طبق دستورالعمل اصلاح شده خدمات پرداخت، داده­ های بانکی به منظور تسهیل فعالیت موسسات نوظهور در دسترس آن­ها قرار می­گیرند، از جمله این موسسات دو نوع جدید از ارائه ­دهندگان خدمات پرداخت شخص ثالث می­باشند:

  • ارائه ­دهنده خدمات اطلاعات حساب
  • ارائه ­دهنده خدمات شروع پرداخت

طبق دستورالعمل اصلاح شده خدمات پرداخت، هنگامی که هر دو موسسه صادرکننده کارت و بانک گیرنده که موسسه مالی است که حساب بانکی کاربران را در اختیار دارد در منطقه اقتصادی اروپا قرار داشته باشند، احراز هویت قوی مشتری در تمام تراکنش­های آغاز شده توسط پرداخت­کننده مورد نیاز است. اگر تنها یکی از این دو موسسه در منطقه اقتصادی اروپا باشند، احراز هویت قوی مشتری مورد نیاز نیست. بنابراین یک کسب­ و­کار مستقر در ایالات متحده که دارای حساب بانکی در یک بانک آمریکایی می­باشد ملزم به اجرای احراز هویت مشتری قوی نمی­باشند. این نوع از تراکنش اصطلاحا "یک پا بیرون" نامیده می شود.

دستورالعمل اصلاح شده خدمات پرداخت ارائه­ دهندگان خدمات پرداخت را در تمام کشورهای منطقه اقتصادی اروپا تحت پوشش قرار می­دهد، بنابراین بیش از 300 میلیون خریدار تجارت الکترونیکی را تحت تأثیر قرار خواهد داد. علیرغم Brexit این قانون در انگلستان نیز اجرا می­شود زیرا دستورالعمل اصلاح شده خدمات پرداخت قبل از خروج این کشور از اتحادیه اروپا به تصویب رسیده است.

الزام دستورالعمل اصلاح شده خدمات پرداخت برای احراز هویت قوی مشتری احتمالاً موج­های بزرگی از تغییرات را ایجاد می­کند. هنگامی که هند 3D Secure را در سال 2014 به عنوان یک الزام اجبار کرد، برخی از مشاغل به دلیل اضافه شدن یک گام اضافی در فرآیند پرداخت، یک کاهش 25 درصدی فروش یک شبه را گزارش کردند.

مشابه با آیین­نامه عمومی حفاظت از داده­ها (GDPR)، دستورالعمل اصلاح شده خدمات پرداخت، مشاغل خارج از اتحادیه اروپا را در صورت ارائه خدمات پرداخت در منطقه اقتصادی اروپا، تحت تأثیر قرار خواهد داد و چنین موسساتی نیاز به اخذ مجوز پرداخت خواهند داشت.

همچنین دستورالعمل اصلاح شده خدمات پرداخت عواقب غیرمستقیمی برای کسب­و­کارهای خارج از منطقه اقتصادی اروپا که دارای شرکت­های تابعه یا شعب در منطقه اقتصادی اروپا هستند، به همراه خواهد داشت.

عدم انطباق با دستورالعمل اصلاح شده خدمات پرداخت چه عواقبی در بر خواهد داشت؟

ارائه­ دهندگان خدمات پرداخت و بانک­ها از نظر قانونی ملزم به اجرای دستورالعمل اصلاح شده خدمات پرداخت هستند. مشاغل آنلاینی که الزامات احراز هویت قوی مشتری را برآورده نمی­کنند، با رد پرداخت­های غیر معتبر توسط بانک­ها، شاهد افزایش نرخ رد درخواست تراکنش­ها توسط بانک­ها و نرخ فروش خواهند بود.

عدم انطباق با الزامات اجرای دستورالعمل اصلاح شده خدمات پرداخت، هم فروشندگان و هم ارائه­ دهندگان خدمات پرداخت را در معرض خطر از دست دادن حجم معاملات قرار می­دهد. اما برای ارائه­ دهندگان خدمات پرداخت، عدم انطباق با الزامات اجرای دستورالعمل اصلاح شده خدمات پرداخت عواقب جدی­تری را به همراه خواهد داشت. ناظران ملی قدرت اعمال جریمه و حتی لغو مجوز ارائه­ دهنده خدمات پرداخت را دارند. بر خلاف آیین­نامه عمومی حفاظت از داده­ها، در دستورالعمل اصلاح شده خدمات پرداخت هیچ جریمه­ای مشخص نشده است و چون اعضای مختلف منطقه اقتصادی اروپا در مراحل متفاوتی از اجرا دستورالعمل قرار دارند، ممکن است مبالغ جریمه نیز متفاوت باشد.

دستورالعمل اصلاح شده خدمات پرداخت و آیین­ نامه عمومی حفاظت از داده ­ها هر دو در نیمه اول سال 2018 به عنوان مجموعه جداگانه­ای از قوانین با تمرکز بر داده­های مصرف­کنندگان معرفی شدند. این دو طرح نظارتی که ظاهراً به هم پیوسته نیستند، در واقع دو هدف مشترک دارند. کنترل مشتری بر داده ­های خود و ایمن نگه داشتن این داده­ها. دستورالعمل اصلاح شده خدمات پرداخت و آیین­نامه عمومی حفاظت از داده­ها هر دو بر این اصل بنا شده­اند که افراد صاحب داده­های شخصی خود می­باشند و بنابراین باید بتوانند نحوه استفاده و به اشتراک ­گذاری داده­ها را انتخاب کنند. با این حال، در پیاده­سازی، چالش­های سازگاری جزئیات این دو دستورالعمل به سرعت آشکار می­شود و این چالش­ها می­توانند اجرای موفقیت ­آمیز دستورالعمل اصلاح شده خدمات پرداخت را به خطر بیندازند.

در این خصوص دو چالش عمده وجود دارد. در قدم اول تعیین آنچه "داده­ های حساس پرداخت" را تشکیل می­دهد و سپس تعیین اینکه چه کسی مسئول کسب رضایت از مشتریان است تا به بانک­ها اجازه دهد داده ­های پرداخت خود را با ارائه­دهندگان خدمات شخص ثالث (TPP) براساس دستورالعمل اصلاح شده خدمات پرداخت به اشتراک بگذارند.


نویسنده: امیر عراقی*، فرهاد علامه**
(مشاورین فنی:‌ سعید زکی‌پور، ستار صادقی)

*مشاور ارشد سابق شرکت دیلویت - لوکزامبورگ
**مشاور سابق گروه تام الیور - فرانسه

© تمام حقوق محفوظ است.

هرگونه تکثیر، اسکن یا کپی‌برداری از تمام یا بخشی از مطالب این نوشتار، با ذکر منبع و نام نویسنده، آزاد است. در این نوشتار از منابع شرکتهای حرفه‌ای خدمات مشاره‌ای و ارائه دهنده فناوری، مانند دیلویت، مکینزی اند کامپنی، بک‌بیس،... بهره‌ برده شده است. این بهره‌برداری فقط شامل استفاده از اطلاعات و به‌روش‌های قابل دسترس برای عموم بوده است و هیچ یک از شرکت های عضو یا اشخاص، مشاورین و متخصصین حال حاضر این شرکت‌ها در تهیه و تدوین این نوشتار، مشاوره یا خدمات حرفه‌ای ارائه نداده‌اند. در این نوشتار ممکن است از اطلاعات عمومی و داده‌های منتشر شده‌ای که نیاز به ذکر منبع نداشته‌اند، استفاده شده باشد. استفاده از این داده‌ها و اطلاعاتی که از آنها مشتق شده، چه از منابع خارج و چه از منابع داخل از کشور، پیرو هرگونه حق چاپ موجود برآنهاست و باید به آن احترام گذاشته شود.

author: amir araghi

[1] Revised Payments Services Directive (PSD2)

بانکداری بازتحول دیجیتالgdprpsd2بانکداری دیجیتال
شاید از این پست‌ها خوشتان بیاید