“Banking is necessary, but banks are not.”

Bill Gates’in 1994 yılında katıldığı bir programda kullandığı bu cümle bankacılığın geleceği hakkında çok önemli bir öngörüyü yansıtmaktadır. Geçmişte kapalı sistem olarak konumlanan, verdiği hizmete sadece kendi kanalları ile erişilebilen klasik “Banka” yaklaşımından, bugün Platform olarak Banka (BaaS – Bank as a Services) dediğimiz bir dönüm noktasına gelmiş bulunmaktayız. Bu dönüşüm her ne kadar Avrupadaki PSD2  kanununun zorunluluğu gibi görünse de, sektörel olarak rekabetçilik ve bankacılık hizmetlerinin alternatif kanallar ile müşterilere iletilmesi kaçınılmaz bir dönüm noktasıydı.

Nedir Bu PSD2?

PSD2, aslında bir kanundur. Avrupa Birliği üye ülkeler tarafından üye ülkeler tarafından tüm Avrupa Birliği üye ülkelerini kapsayan ve Ödeme Hizmetleri sınırlarını belirleyen bir kanunun 2. versiyonudur. Bu kanun her 15 yılda bir yenilendiği için sonundaki 2 eki gelmiştir. Çevrimiçi ödeme yöntemlerinde, ödeme sürecininin nasıl işletileceğinden toplanacak bilgi ve belgelere kadar her aşamayı kapsar. ilgili kanun: https://ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366/law-details_en

Peki Eskiden Nasıldı PSD (1)?

PSD kanunun en temel amacı Avrupa Birliği ülkeleri arasında güvenli, hızlı, ve rekabetçi bir ödeme hizmetleri pazarı sağlamaktı. Bu amaçta kanunda aşağıdaki gibi dönemine göre bazı yenilikçi yaklaşımlara sahipti.

  1. Ödeme hizmetleri için kuralların sabit olduğu bir alan yarattı, bu alan Avrupa Birliği, Izlanda, Norveç ve Lihtenştayn’dan oluştu. Biz buna Avrupa Ekonomik Alanı diyoruz (european economic area) ref: https://ec.europa.eu/eurostat/statistics-explained/index.php/Glossary:European_Economic_Area_(EEA)
  2. Bankaların tekelinde olan ödeme hizmetleri için rekabetçi bir piyasa oluşturulup banka dışı yeni ödeme hizmeti servis sağlayıcıları tanımı oluşturuldu. Bu yeni alanın amacı bankalara rekabet getirmek ve Ödeme Hizmetleri piyasasını banka dışı oyunculara açabilmekti. Kanun içinde Payment Service Provider olarak geçmektedir
  • Benzer şekilde Türkiye’de de 6493 sayılı kanun ile PSD1’in yaklaşık 4 yıl sonra adapte edilmesiyle gelişimlerini hızlandıran iyzico, ödeal, ininal gibi önemli startuplar bulunmaktadır.

PSD2 Farkları nedir?

Zaman, teknoloji, pazar koşulları ve rekabet piyasası değiştikçe PSD(1) kanunu da eski kalmaya başladı. PSD(1) ile oluşturulan ödeme hizmetleri piyasasını düzenleyebilmek ve pazardaki yeni oyuncularıda kapsayacak ve ayrıca ödeme hesaplarına erişebilecek şekilde kurgulandı.

Örneğin, PSD2 ile dijital hizmetler veren ödeme servis sağlayacılarından birisi AB’ nin herhangi bir ülkesinde yerleşikse üçüncü ülkelerde de işlem yapmasının önünü açar. Finans kuruluşları ve üçüncü parti ödeme hizmeti sunan firmaların arasındaki işbirliği ve paylaşımlarını tanımlar. Elektronik ödemeleri daha güvenli hale getirmek için, PSD2, bankalar da dahil olmak üzere tüm ödeme hizmeti sağlayıcıları tarafından uygulanacak gelişmiş güvenlik önlemleri sunar. EBA (Europe Banking Authority) bu amaçla spesifik ve objektif güvenlik standartları geliştirir.

PSD 2 Türkiye’ de uygulanıyor mu?

Türkiye’de henüz resmi makamların attığı adımlara dair bir açıklama yapılmış değil. Bu dönüşüm her ne kadar avrupadaki PSD2  kanununun zorunluluğu gibi görünse de, sektörel olarak rekabetçilik ve bankacılık hizmetlerinin alternatif kanallar ile müşterile iletilmesi kaçınılmaz bir dönüm noktasıydı. Bu yeni bankacılık yaklaşımında hem bankanın teknolojik altyapısının Açık Bankacılık servislerine adapte edilmesi hemde klasik iş akışının bu modern yaklaşıma adapte olmasına yardımcı oluyoruz. Sektörde sahip olduğumuz Api Yönetimi ve bankacılık deneyimi ile müşterilerimizin kurum özeli iş süreçlerine danışmanlık veriyor, mevzuat adaptasyonlarını birlikte yapıyoruz.

PSD2 Bankalara ne getiriyor?

Bankalar bu süreçte değişen müşteri beklentisi ve artan dijitalleşmeyle, var olan bankacılık süreçlerine Api Gateway sistemleri ESB altyapılarını oluşturmaktalar.

Yeni güvenlik gereksinimleri ve API’lerin artık dışarı açılması nedeniyle BT maliyetlerinide oluşacak artış Gateway ve ESB sistemleri ile minimuma indirilebiliniyor.

Banka olmayan yeni tip fintech firmaları bankalar arası rekabetin artmasına ve kendi dağıtım kanalları dışı sistemler ile de müşterilerine hizmet vermelerine olanak tanıyacak.

Ve en önemlisi ise artık bankalar bu kanuna uyumlu istedikleri herhangi bir ülkelenin ilgili makamlarından izin alarak açılabilir ve hizmet sağlayabilir, üçüncü taraf şirketlerin herhangi bir AB ülkesinde kurulması ve diğer ülkelere hizmet etmesi mümkün olacaktır.

Pazar tahminleri ne öngörüyor?

Yapılan araştırma raporlarında perakende ödemelerin yüzde 9’unun, PISP hizmetlerine 2020 yılına kadar kayacağı tahmin ediliyor.

PSD 2 Teknik Tarafı (RTS: Regulatory Technical Standard)

Avrupa Bankacılık Otoritesi (EBA), Avrupa Komisyonunun Güçlü Müşteri Kimlik Doğrulaması ve Ortak ve Güvenli İletişim Konusunda Düzenleyici Teknik Standartlar (RTS) taslağı adlı bir doküman yayınlamıştır.

RTS, güçlü müşteri kimlik doğrulamasına (SCA) odaklanan ve ortak – güvenli bir bağlantıyla PSD2’nin uygulanması için teknik çerçeveyi tanımlar. Kısacası, PSD2’nin düzenlemenin “ne” yönünü kapsadığı, RTS’nin “nasıl” tanımlandığı söylenebilir.

Ancak, yapılacak çalışmaların teknik altyapısıyla ilgili detay bilgilere yer verilmemiştir. Örneğin,

Avrupa Bankacılık Otoritesi, ISO 20022’yi “arabirim biçimi” için potansiyel bir aday olarak önerdi ancak RTS, XS2A’nın tam olarak nasıl uygulanacağına ilişkin herhangi bir kuralcı rehberlik sağlamıyor, Berlin Grubu ve Birleşik Krallık’ın Açık Bankacılık Çalışma Grubu gibi birçok endüstri konsorsusu, bankaların bir taban çizgisi olarak kullanabileceği önerilen arabirim şablonlarını yayınladı.

Bankaların PSD2 sürecine geçtiklerinde aşağıdaki adımları sağlaması gerekecektir.

  1. Son kullanıcının, verilerine erişim izni verebileceği bir API işlevi
  2. Son kullanıcın temel hesabını almak için bir API işlevi
  3. Bu yeni hizmetlerin doğruluğunu ve sağlamlığını sağlamak için otomatik API birimi testleri
  4. Test verileri dahil olmak üzere bir geliştirme ortamı
  5. Bu işlevleri en azından sanal alanda ve canlı ortamlarda genel olarak kullanılabilir kılmak için bir dağıtım işlemi
  6. API dokümantasyonu, geliştirici SDK’ları, kod örnekleri ve eğitim dokümanları
  7. Bir API Anahtarı almak için üçüncü tarafların başvurabileceği bir süreç
  8. İstemci uygulamasını ve isteği yapan kullanıcıyı doğrulayan bir API kimlik doğrulama işlemi
  9. API’nın öngörülemeyen talep durumunda, etkili biçimde ölçekleme yapabilmesini sağlamak için API Yük dengelemesi
  10. Uygulamada yeni API’lerin nasıl kullanıldığını anlamak için analizler, iletişimi denetleme ve log kayıtları
  11. Genel Veri Koruma Yönetmeliği (GDPR) nde dikkate alınması gereken hususlar