Banki kończą prace, których celem jest rozwiązanie problemu trwałego nośnika – między innymi poprzez użycie innowacyjnych technologii opartych na wykorzystaniu łańcucha bloków (blockchain). Czy rekomendowane przez Związek Banków Polskich sposoby są odpowiedzią na wyzwania?

Problem z definicją

Zgodnie z definicjami zawartymi w przepisach europejskich oraz krajowych, m.in. w dyrektywach 2007/64/WE oraz 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (odpowiednio PSD oraz PSD2) oraz polskiej ustawie o usługach płatniczych (t.j. Dz.U. z 2017 r. poz. 2003 ze zm.), która implementuje te dyrektywy, trwały nośnik to „instrument umożliwiający użytkownikowi przechowywanie informacji osobiście do niego adresowanych w sposób umożliwiający dostęp do tych informacji w przyszłości przez okres właściwy do celów tych informacji i pozwalający na odtworzenie przechowywanych informacji w niezmienionej postaci”. Ta pozornie prosta i jasna definicja stała się źródłem wielu kontrowersji i problemów, które w Polsce dotknęły szczególnie sektor bankowy. W ramach postępowań wszczętych przez Urząd Ochrony Konkurencji i Konsumentów zakwestionowano możliwość pełnienia funkcji trwałego nośnika przez wewnętrzne skrzynki pocztowe bankowości elektronicznej, do których klient może się dostać po zalogowaniu do konta bankowego. Skrzynki te były i są powszechnie wykorzystywane do przekazywania klientom informacji o zmianach w ogólnych warunkach umów oraz taryfach.
Kluczowy, jeśli chodzi o rozumienie pojęcia trwałego nośnika, jest wyrok Trybunału Sprawiedliwości Unii Europejskiej dotyczący sporu austriackiej organizacji konsumenckiej VKI z bankiem BAWAG P.S.K (sygn. akt C-375/15). VKI wskazało, że bank ma przewagę w dostępie do informacji nad klientem. Ma on teoretyczną możliwość zmiany treści dokumentu czy zablokowania użytkownikowi dostępu do niego. Trybunał przyznał organizacji konsumenckiej rację, wskazując jednocześnie, jakie cechy powinien spełniać trwały nośnik.

Cechy trwałego nośnika

Po pierwsze, trwały nośnik może być jakimkolwiek instrumentem. Przepisy nie narzucają żadnej konkretnej technologii, realizując postulat neutralności technologicznej. Istotne jest jedynie, aby nośnik ten mógł przechowywać informacje – musi to być jego immanentna cecha.
Po drugie, informacje na trwałym nośniku powinny być dostępne przez odpowiedni czas – uzasadniony celem przetwarzania – również po ustaniu umowy między przedsiębiorcą a konsumentem. Odpowiedni okres przechowywania ma zaś oznaczać – dostępny dla użytkownika tak długo, jak długo jest to dla niego istotne w celu ochrony jego interesów wynikających ze stosunków umownych łączących go z przedsiębiorcą. Ważne jest więc to, aby trwały nośnik nieprzerwanie udostępniał informacje klientom, nawet po zakończeniu ich relacji prawnej.
Trzecim, kluczowym aspektem trwałego nośnika, co podkreślono zarówno w orzeczeniu trybunału, jak i w istotnych poglądach UOKiK, jest wykluczenie możliwości jednostronnej zmiany bądź usunięcia informacji. W pewnym uproszczeniu można przyjąć, że trwałym nośnikiem będzie dowolny nośnik, który daje techniczną, a nie tylko proceduralną, gwarancję odtworzenia informacji w niezmienionej postaci.
W końcu, o niektórych informacjach umieszczanych na trwałym nośniku konsument powinien być aktywnie powiadomiony, np. przez e-mail lub SMS. Zdaniem trybunału, jest to istotne dla uznania, że informacja została dostarczona do klienta.
Przepisy nie wskazują na jakiekolwiek zróżnicowanie tych wymogów w zależności od tego, kto jest dostawcą technologii trwałego nośnika. Przedsiębiorca zarządzający trwałym nośnikiem, pełniący funkcję „zaufanej trzeciej strony”, musiałby zatem spełnić te same wymagania, co przedsiębiorca – dostawca usług.

Polskie prace nad trwałym nośnikiem

Na początku stycznia Związek Banków Polskich opublikował raport, który został przedstawiony Komisji Nadzoru Finansowego i UOKiK. Wynika z niego, iż technologie pieczęci elektronicznej (KIR), blockchain Hyperledger Fabric (IBM) oraz permissioned blockchain w wersji organizowanej przez bankową spółkę infrastrukturalną (BIK/Billon) spełniają podstawowe wymogi stawiane w ramach problemu trwałego nośnika informacji. W kwietniu ZBP przyjął do wiadomości opracowaną przez zespół niezależnych ekspertów ocenę potwierdzającą wnioski raportu.
UKNF udzielił już odpowiedzi akceptującej wszystkie trzy rozwiązania. Zarekomendował jednak przetestowanie przed wdrożeniem produkcyjnym opisanych w dokumencie rozwiązań pod kątem wydajnościowym, jak również zapewnienia bezpieczeństwa przechowywanych danych w celu niezawodnego prowadzenia polityki informacyjnej banków wobec swoich klientów.
UOKiK wciąż nie odniósł się oficjalnie do propozycji Związku Banków Polskich. Nie można wykluczyć, że zrobi to dopiero w ramach indywidualnych postępowań po wdrożeniu wybranych rozwiązań przez przedsiębiorców.

Trwały nośnik w blockchain

Blockchain jest nowoczesną technologią, która zasadniczo zmienia tryb funkcjonowania systemów informatycznych przedsiębiorstw – z indywidualnego na kooperacyjny. Istotną cechą blockchaina jest techniczne współdziałanie wielu podmiotów, które jednocześnie nadzorują siebie nawzajem i równoprawnie pomagają sobie w utrzymaniu systemu. Szerokie przyjęcie tej technologii przez polski sektor bankowy jako medium trwałego nośnika niewątpliwie umocniłoby wizerunek polskich banków jako liderów innowacyjności w Europie.
Publikowanie dokumentu dostarczanego klientowi bezpośrednio w systemie blockchain i przechowywanego w formie rozproszonej między poszczególnymi węzłami systemu spełniałoby wspomniany wcześniej wymóg niezmienności. Kluczową rolę odgrywa w tym przypadku decentralizacja, która sprawia, że nie ma jednostkowego punktu awarii oraz jednostronnej kontroli nad strukturą danych. Węzły powinny jednak znajdować się u wielu regulowanych podmiotów. Dzięki decentralizacji instytucja, która opublikowała dokument, oraz dostawca technologii nie mają w takim przypadku technicznej możliwości zmiany ani usunięcia dokumentu, co oznacza spełnienie regulacyjnych wymogów stawianych trwałemu nośnikowi.
Kwestia, która może budzić wątpliwości, to zastosowanie technologii, która znajduje się w całości w infrastrukturze banku lub zaufanej strony trzeciej. Ostatecznie jest ona w całości kontrolowana przez podmiot dostarczający trwały nośnik, co oznacza, że zablokowanie dostępu do wspomnianej infrastruktury oznacza jednocześnie zablokowanie dostępu do dokumentów kierowanych do klienta banku. Trudno powiedzieć, w jakim kierunku pójdzie orzecznictwo w tym zakresie.
Trwały nośnik wdrażany w Polsce, bazujący na technologii blockchain, powinien spełniać warunki w pełni rozproszonego publicznego rejestru, zgodnie z ideą decentralizacji baz danych. Która z branych pod uwagę przez regulatorów technologii jako pierwsza udzieli faktycznej gwarancji bezpieczeństwa i nienaruszalności danych, pokażą najbliższe miesiące.