FIDA – Open Finance w Polsce

Dlaczego: Zrozumienie oficjalnego tekstu Komisji Europejskiej jest fundamentem dla każdego kroku wdrożeniowego i pozwala uniknąć błędów interpretacyjnych.

Jak:

• Skup się na Artykułach 2 i 3, które definiują zakres danych (kredyty, inwestycje, kryptoaktywa, ubezpieczenia).
• Zidentyfikuj obowiązki „posiadacza danych” (data holder) oraz „użytkownika danych” (data user).
• Zwróć uwagę na definicję FISP (Financial Information Service Provider).

Gotowe, gdy: Sporządzono listę wymogów prawnych specyficznych dla Twojej organizacji.

Dlaczego: FIDA wykracza daleko poza PSD2, obejmując niemal wszystkie produkty finansowe, co wymaga precyzyjnej inwentaryzacji systemów.

Jak:

• Zidentyfikuj dane o kredytach hipotecznych, oszczędnościach i instrumentach finansowych.
• Uwzględnij dane z oceny odpowiedniości i adekwatności (MiFID II) oraz dane o ubezpieczeniach majątkowych.
• Sprawdź, gdzie przechowywane są dane o aktywach kryptograficznych, jeśli dotyczy.

Gotowe, gdy: Powstał kompletny rejestr baz danych i systemów objętych regulacją.

Dlaczego: Wykorzystanie istniejącej infrastruktury Open Banking (PSD2) pozwoli zaoszczędzić czas i koszty wdrożenia FIDA.

Jak:

• Porównaj obecne API bankowe z nowymi wymogami udostępniania danych w czasie rzeczywistym.
• Oceń, czy obecne mechanizmy silnego uwierzytelniania (SCA) są skalowalne dla nowych kategorii danych.
• Zidentyfikuj brakujące funkcjonalności w zakresie zarządzania zgodami.

Gotowe, gdy: Dokument określający różnice techniczne i operacyjne między PSD2 a FIDA jest gotowy.

Dlaczego: FIDA wprowadza obowiązkowe uczestnictwo w schematach wymiany danych (Financial Data Sharing Schemes), które ustalają zasady i wynagrodzenie.

Jak:

• Zdecyduj, czy organizacja będzie głównie dostarczać dane, czy budować nowe usługi jako użytkownik danych.
• Przeanalizuj potencjalne modele kompensacji za udostępnianie danych (FIDA pozwala na „rozsądne wynagrodzenie”).
• Śledź komunikaty UKNF dotyczące polskich schematów FDSS.

Gotowe, gdy: Wybrano strategię uczestnictwa w schematach wymiany danych.

Dlaczego: FIDA nakłada na posiadaczy danych obowiązek udostępnienia klientom panelu do zarządzania zgodami w czasie rzeczywistym.

Jak:

• Zaplanuj interfejs umożliwiający podgląd aktywnych zgód, ich odnawianie i natychmiastowe wycofywanie.
• Zintegruj dashboard z systemem tożsamości cyfrowej (np. mObywatel lub węzeł krajowy).
• Zapewnij pełną przejrzystość: kto, kiedy i w jakim celu ma dostęp do danych.

Gotowe, gdy: Makiety (UX/UI) panelu zarządzania uprawnieniami są zatwierdzone.

Dlaczego: Wysoki poziom bezpieczeństwa jest wymagany przez FIDA i DORA, aby chronić wrażliwe dane finansowe przed wyciekiem.

Jak:

• Zastosuj profil FAPI 1.0 lub 2.0 oparty na OAuth 2.0 i OpenID Connect.
• Wdróż mechanizmy mTLS (mutual TLS) dla autoryzacji między serwerami.
• Skonfiguruj zaawansowane logowanie i monitorowanie prób dostępu.

Gotowe, gdy: Środowisko testowe API spełnia standardy FAPI.

Dlaczego: Rozporządzenie DORA (Digital Operational Resilience Act) jest nierozerwalnie związane z FIDA w zakresie odporności cyfrowej.

Jak:

• Przeprowadź testy penetracyjne nowych punktów styku API.
• Zaktualizuj plany ciągłości działania (BCP) o scenariusze awarii usług Open Finance.
• Zweryfikuj dostawców chmurowych pod kątem zgodności z unijnymi ramami odporności.

Gotowe, gdy: Nowa infrastruktura jest uwzględniona w rejestrze ryzyk ICT organizacji.

Dlaczego: Pracownicy obsługi klienta i compliance muszą rozumieć nowe prawa konsumentów, aby skutecznie zarządzać zapytaniami i reklamacjami.

Jak:

• Przygotuj bazę wiedzy o tym, jak klient może wycofać zgodę na udostępnianie danych.
• Omów procedury postępowania w przypadku podejrzenia nieuprawnionego dostępu przez podmiot trzeci.
• Wyjaśnij różnicę między danymi płatniczymi (PSD2) a finansowymi (FIDA).

Gotowe, gdy: Przeprowadzono warsztaty dla kluczowych działów (Compliance, IT, Obsługa).

Dlaczego: Urząd Komisji Nadzoru Finansowego będzie nadzorował wdrożenie FIDA w Polsce, a brak zgodności grozi karami finansowymi.

Jak:

• Sprawdź, czy raportowanie incydentów jest zgodne z najnowszymi priorytetami nadzorczymi na 2026 rok.
• Zweryfikuj poprawność naliczania ewentualnych opłat w ramach schematów FDSS.
• Upewnij się, że mechanizmy RODO (minimalizacja danych) są zachowane przy udostępnianiu przez API.

Gotowe, gdy: Raport z audytu wewnętrznego nie wykazuje krytycznych uchybień.

Dlaczego: FIDA wymaga udostępniania danych „bez zbędnej zwłoki”, co oznacza konieczność utrzymania wysokiej dostępności systemów.

Jak:

• Skonfiguruj alerty dla opóźnień (latency) powyżej standardów rynkowych.
• Monitoruj wskaźnik błędów (error rate) dla zapytań od podmiotów trzecich.
• Publikuj statystyki dostępności API na stronie dla deweloperów.

Gotowe, gdy: System monitoringu działa i generuje raporty o stanie infrastruktury.