Direktiva o platnim uslugama (PSD2) stupila je na snagu početkom 2018. i prenesena je u hrvatsko zakonodavstvo Zakonom o platnom prometu u srpnju 2018. godine. Nekoliko odredaba direktive i pripadajući regulatorni tehnički standardi sadržani u Delegiranoj uredbi Komisije (EU) 2018/389 od 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenata i zajedničke i sigurne otvorene standarde komunikacije (Uredba RTS) primjenjuju se u državama članicama od 14. rujna 2019. Uredbom RTS definiraju se, između ostaloga, standardi za sigurnu komunikaciju između pružatelja platnih usluga.
Jedna od značajki PSD2 jest "otvaranje banaka", odnosno omogućavanje pružateljima novih platnih usluga – trećim stranama (engl. Third Party Providers – TPP) da pristupe računima klijenata otvorenima u bankama. Kako bi se nove usluge provodile u sigurnom okruženju, pružatelji platnih usluga trebali su uspostaviti zajedničke i sigurne otvorene standarde komunikacije u skladu s Uredbom RTS.
Promjene koje su banke morale osigurati u svojim informacijskim sustavima odnose se na uspostavu sučelja za pristup preko kojeg će se novim pružateljima usluge iniciranja plaćanja (PISP) i pružateljima usluge informiranja o računu (AISP) omogućiti identifikacija i siguran pristup računima klijenata koji se vode u bankama. Pristup računima za plaćanje moguće je osigurati putem posebnog, namjenskog sučelja (engl. Application programming interface – API) ili modificiranjem sučelja kojima se koriste klijenti banke za izravan (on line) pristup svojem računu za plaćanje (internetsko i mobilno bankarstvo).
Na razini hrvatske bankovne zajednice izrađena je specifikacija za jedinstveno standardizirano programsko sučelje, kako bi se osigurao jedinstveni model za pristup trećih strana računima za plaćanje klijenata otvorenima u bankama. Sve su banke u Republici Hrvatskoj s datumom primjene Uredbe RTS 14. rujna 2019. uskladile svoja sučelja za pristup trećih strana bilo putem API namjenskog sučelja ili preko modificiranoga klijentskog sučelja. U oba se slučaja za potrebe sigurne komunikacije banaka i trećih strana koriste kvalificirani elektronički (eIDAS) certifikati te na taj način banka uvijek zna tko pristupa njezinu sučelju (sam klijent ili TPP u ime klijenta).
Banke koje su se odlučile za pristup trećih strana putem API namjenskog sučelja, od Hrvatske narodne banke dobile su izuzeće od uspostave rezervnog pristupa za izvanredne situacije, a na temelju podnesenog zahtjeva i ostvarenih uvjeta propisanih Uredbom RTS i Smjernicama o uvjetima ostvarivanja koristi od izuzeća od mehanizma za izvanredne situacije. Sve banke uz produkcijsko imaju osigurano i testno okruženje, jasno definirane procedure za pristup i rješavanje problema te na svojim internetskim stranicama objavljene tehničke specifikacije i dokumentaciju koja se stavlja na raspolaganje trećim stranama. Navodimo popis banaka u Republici Hrvatskoj u odnosu na izbor sučelja prema trećim stranama.
Popis banaka koje su uspostavile API namjensko sučelje i dobile izuzeće od uspostave rezervnog pristupa:
- Addiko Bank d.d., Zagreb
- Agram banka d.d., Zagreb
- Erste&Steiermärkische Bank d.d., Rijeka
- Hrvatska poštanska banka, dioničko društvo, Zagreb
- Istarska kreditna banka Umag d.d., Umag
- Karlovačka banka d.d., Karlovac
- OTP banka Hrvatska dioničko društvo, Split
- Partner banka d.d., Zagreb
- Podravska banka d.d., Koprivnica
- Privredna banka Zagreb d.d., Zagreb
- Raiffeisenbank Austria d.d., Zagreb
- Samoborska banka d.d., Samobor
- Sberbank d.d., Zagreb
- Slatinska banka d.d., Slatina
- Zagrebačka banka d.d., Zagreb
Popis banaka koje su uspostavile modificirano klijentsko sučelje:
- Banka Kovanica d.d., Varaždin
- Croatia banka d.d., Zagreb
- Imex banka d.d., Split
- J&T banka d.d., Varaždin
- KentBank d.d., Zagreb
Hrvatska narodna banka nema namjeru dopustiti korištenje screen scrapinga tijekom pristupa trećih strana računima klijenata koji se vode u bankama koje su uspostavile API namjensko sučelje i dobile izuzeće od uspostave rezervnog pristupa.