Autoři:
Mgr. Jakub Koudelka, CEO ve společnosti ZNPay a.s. (poskytovatel aplikace Mo.one)
JUDr. Johan Schweigl, Ph.D., Head of Legal + Compliance ve společnosti ZNPay a.s.
Úvod: Od frustrace k řešení
Pokud se pohybujete ve světě fintechu a platebních služeb, tak to znáte až příliš dobře. Máte hotový inovativní produkt, vyladěné UX, ale když dojde na samotnou platbu z účtu na účet (A2A), setkáte se s tvrdou realitou bankovních rozhraní. Místo plynulého zážitku čeká uživatele složitý proces plný webových přesměrování, zbytečného přepisování údajů a „zamrznutí“ v bankovní aplikaci bez návratu zpět. Výsledek? Vysoký drop-off, zmatení obchodníci a smutný konverzní poměr.[1]
Dlouhé roky jsme slýchali, že banky nechtějí, že v PSD2 nemají business a proto zlepšení uživatelské zkušenosti úmyslně brání. Skutečný rozvoj open bankingu však brzdila hlavně nejednoznačná regulace a absence jasného návodu pro banky, jak mají PSD2 API implementovat.
[1] Procento uživatelů, kteří proces úspěšně dokončí, oproti těm, kteří ho začali.
Od minulého týdne tyto argumenty končí!
Česká národní banka vydala zásadní Stanovisko k regulaci finančního trhu (RS2025-28), které detailně definuje požadavky na minimální uživatelskou zkušenost při využívání služby nepřímého dání platebního příkazu (PIS). Regulátor tímto dokumentem potvrdil to, co fintech komunita tvrdí už od zavedení PSD2: Špatné, zasekávající se a složité UX není vlastnost bezpečnosti. Je to regulatorní chyba – zakázaná překážka.
Stanovisko, které ČNB vydala, není jen další papír do šuplíku v compliance oddělení bank. Je to manuál použitelnosti, který dává fintechům do ruky zbraň v boji za funkční a konkurenceschopné PSD2 API.
Realita vs. Regulace: Proč to doteď bolelo?
Pojďme si nalít čistého vína. I když směrnice PSD2 slibovala revoluci v placení, realita v Česku často připomínala digitální dobu kamennou. Proč? Protože technická implementace API na straně bank (ASPSP) se často míjela s potřebami moderního světa a nereflektovala stále se zvyšující podíl plateb prováděných na mobilních telefonech.
V praxi jsme naráželi na skutečné „Conversion Killers„:
Mobilní web: Uživatel nakupuje v aplikaci třetí strany (TPP, PISP) na mobilu, ale pro potvrzení platby je přesměrován do webového prohlížeče banky. Tam musí lovit přihlašovací údaje, které si ani nepamatuje, protože do banky chodí přes FaceID či otisk prstu.
Dvojí ověření: Některé banky vyžadovaly SCA pro přihlášení a následně další SCA pro potvrzení platby. Tedy UX horší a vyšší šance, že to uživatel cestou vzdá.
Slepá ulička: Po zaplacení zůstal uživatel „viset“ v bankovní aplikaci. Žádný automatický návrat do aplikace PISP. Pokud se manuálně nevrátil, někdy dokonce autorizovanou platbu banka ani neprovedla.
Kořeny tohoto stavu sahají až k samotné Směrnici o platebních službách (PSD2). Ta sice bankám nařídila zpřístupnit účty třetím stranám (PISP, AISP), ale v otázce technického provedení a uživatelské přívětivosti zůstala velmi obecná.
Konkrétnější mantinely mělo přinést až navazující technické nařízení – tzv. RTS o SCA (Nařízení o silném ověření klienta).[2] To sice v článku 32 odst. 3 explicitně stanovilo, že rozhraní nesmí obsahovat překážky, ale v praxi se ukázalo, že bez jasné definice je tento pojem velmi neurčitý, až bezzubý. Banky si ho vykládaly kreativně a svá někdy uživatelsky neohrabaná řešení (jako dvojité ověřování) obhajovaly tím, že jde o nezbytná bezpečnostní opatření vyžadovaná právě tímto nařízením.
Chyběla autorita, která by do tohoto výkladového vakua vstoupila a jasně řekla: ‚Tohle už není nutná bezpečnost, tohle je překážka.‘ A přesně to se nyní vydáním stanoviska ČNB změnilo.
[2] Nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace
Přichází náprava: Co Stanovisko ČNB konkrétně mění
ČNB v novém stanovisku neříká jen „nedělejte překážky“. Regulátor de facto sepsal „Product Requirements Document“ pro bankovní API. Zde jsou čtyři klíčové změny, které musí banky (ASPSP) implementovat a které dramaticky zlepší konverzi A2A plateb:
1. App-to-App je King (a Web je mrtvý). Konec zbytečným výletům do mobilního prohlížeče. Stanovisko jasně říká: Pokud má uživatel v mobilu aplikaci banky, musí být přesměrován přímo do ní (True App-to-App) bez jakýchkoliv mezikroků. Žádné odklikávání cookies, žádné vybírání typu klienta na webu.
Novinka: ČNB pragmaticky uznala, že technika občas selže. Pokud se aplikace neotevře sama, banka musí na webu zobrazit zřetelný prvek (tlačítko) pro její vyvolání. To je obrovská výhra pro použitelnost i v přechodné fázi.
2. Konec ručního přepisování údajů. Pokud se do bankovní aplikace přihlašujete FaceID nebo s pomocí otisku prstu, proč byste měli při platbě přes digitální peněženku vypisovat klientské číslo? ČNB tento požadavek zatrhla. Ověření musí proběhnout uživatelsky přívětivě, bez nutnosti manuálně zadávat přihlašovací údaje, pokud je uživatel nezadává v přímém kanálu. Tím končí éra hledání papírků s klientskými čísly a hesly.
3. Automatický návrat (Fixing the Drop-off). Tohle byl skutečný zabiják konverzí. Uživatel zaplatil, viděl v aplikaci banky, že má „Hotovo“ a zůstal viset v bance. Pokud se nevrátil ručně, platba neodešla. Nové pravidlo? Po autorizaci musí být uživatel automaticky přesměrován zpět do aplikace obchodníka či TPP. Manuální návrat je nyní oficiálně zakázaná překážka.
4. One-Click (skoro). Pro iniciaci platby (PIS) stačí jedno silné ověření (SCA). Banky už nemohou vyžadovat, abyste se nejprve „přihlásili“ (jedno SCA) a pak teprve „potvrdili platbu“ (druhé SCA). Proces se zkracuje na jedinou akci: autorizaci platby.
Právní okénko: Proč se to děje právě teď ?
Možná si říkáte: „Vždyť PSD2 platí už roky, proč se to řeší až teď?“ Problém byl v síle a výkladu jednotlivých pravidel. Doteď jsme se pohybovali v šedé zóně, kterou nové stanovisko osvětluje.
RTS o SCA (2018): To je ten technický předpis z Bruselu. Sice zakázal vytvářet překážky, ale definice byla tak obecná, že se do ní schovalo ledacos – včetně zdlouhavých redirectů.
Stanovisko EBA (2020): Evropská bankovní autorita se snažila udělat pořádek a vydala názor, co přesně považuje za překážku. Problém? Banky často argumentovaly, že jde o nezávazný názor („soft law“), kterým nejsou povinny se řídit.
Stanovisko ČNB (2025): Zde nastává zlom. ČNB tímto dokumentem říká: „Výklad EBA je správný a v Česku ho budeme vymáhat.“ Z doporučení se stává dohledový benchmark. Kdo ho nesplní, riskuje sankci za porušení zákona. Podobná praxe je i v jiných státech EU. Např. dohledový orgán v Nizozemí (DeNederlandscheBank) vydal obdobné stanovisko.
PSD3/PSR (2027?): Celá Evropa navíc směřuje k novému nařízení (PSR), které seznam těchto zakázaných překážek vytesá přímo do textu nařízení. ČNB nás tímto krokem vlastně již připravuje na nevyhnutelnou evropskou realitu – kdo neupraví API teď, bude muset později pod mnohem větším tlakem.
Proč je to skvělá zpráva pro trh
Nové stanovisko ČNB není jen vítězstvím platební instituce ZNPay a.s., která rozvíjí platební aplikaci Mo.one, a která předložila ČNB detailní analýzu praxe jednotlivých bank včetně návrhu na vydání stanoviska. Je to vítězství pro celou fintech industry, ale zejména i pro spotřebitele a obchodníky. Odstranění bariér v API bankách otevírá dveře k tomu, aby se otevřené bankovnictví (nejen) v Česku konečně nadechlo. Co to znamená pro váš byznys?
1. A2A jako reálná konkurence kartám. Dokud bylo placení převodem (PIS) pomalé, chybové a složité, těžko konkurovalo uživatelskému pohodlí Apple Pay nebo Google Pay. S novými pravidly (App-to-App, jedno SCA, automatický návrat) se uživatelský zážitek (UX) A2A plateb dramaticky přibližuje kartám, ale při výrazně nižších transakčních nákladech pro obchodníky.
2. Vyšší konverze, nižší Drop-off. Rovnice je jednoduchá: Méně kroků = více dokončených plateb. Eliminace „zaseknutých“ uživatelů v bankovních aplikacích a zrušení nutnosti pamatovat si přihlašovací údaje znamená, že zákazník, který klikne na „Zaplatit“, skutečně zaplatí.
3. Evropská platební suverenita. Z širšího pohledu jde o naplnění vize, kterou dlouhodobě prosazuje ECB i ČNB – vytvoření robustní evropské platební metody nezávislé na globálních karetních schématech. Funkční PSD2 API je základním kamenem této „strategické autonomie“.
Co teď ?
Míč je nyní na straně bank. Stanovisko ČNB jim dalo jasné zadání i termíny. Pro fintechy to znamená jediné: Máte v ruce silný argument. Pokud narazíte na banku, která stále vyžaduje dvojí ověření nebo vás nutí do webového prohlížeče, už to není „vlastnost API“. Je to nesoulad s regulací. A nyní máte k dispozici nástroj, jak se domoci nápravy.
Autor