Raport „Bezpieczeństwo usług opartych o otwarte interfejsy programistyczne (API) w kontekście implementacji Dyrektywy PSD 2” powstał w celu skatalogowania i uporządkowania wiedzy i źródeł informacji dotyczących wdrożenia PSD2. Wpływ dyrektywy na długoterminowy rozwój rynku płatności nie jest jeszcze jasny, natomiast z założenia ma ona zrewolucjonizować europejski rynek poprzez promowanie konkurencji, innowacyjności i bezpieczeństwa usług płatniczych. Prace nad raportem podzielone były na cztery główne etapy:

• Analiza dokumentacji i źródeł wiedzy – stworzony został katalog wszystkich najważniejszych aktów prawnych powiązanych z Dyrektywą PSD2 na poziomie europejskim oraz krajowym, kwestii dyskusyjnych, Właściwych Organów Krajowych, rejestrów krajowych i interesariuszy. Analizie na potrzeby raportu poddane zostały m.in. akty prawne, opracowania przygotowane przez EBA, instytucje odpowiedzialne za standaryzację czy lokalnych regulatorów.

• Wywiady bezpośrednie – przeprowadzone zostały wywiady bezpośrednie z przedstawicielami instytucji finansowych. Badanie obejmowało przeprowadzenie i analizę telefonicznych indywidualnych wywiadów pogłębionych z przedstawicielami podmiotów mających bezpośredni kontakt ze zmianami wywołanymi przez PSD2 w Polsce. Ten sam kwestionariusz, w formie CAWI, został również zastosowany w ankietach rozesłanych do zagranicznych podmiotów. Wywiady pozwoliły pogłębić wiedzę dotyczącą ryzyka w zakresie bezpieczeństwa danych, ryzyk biznesowych oraz tworzenia się nowych bądź rozwoju istniejących strategii rynkowych.• Analiza ryzyk – ocena skutków dla zidentyfikowanych ryzyk została przeprowadzona metodą ekspercką przy uwzględnieniu najlepszych praktyk i standardów rynkowych w zakresie oceny ryzyk i uzupełniona została wiedzą pozyskaną na bazie realizowanych wywiadów bezpośrednich z uczestnikami rynku. Planowanie i przeprowadzenie analizy ryzyka zostało wykonane zgodnie z wytycznymi Normy ISO 31000:2018, w szczególności skupiając się na zdefiniowaniu zakresu i kontekstu analizy ryzyka oraz określeniu kryteriów oceny ryzyka.

• Analiza biznesowa – przeprowadzona została na bazie pozyskanych w ramach wywiadów opinii respondentów, analizy desk research i wiedzy eksperckiej autorów raportu. Przeprowadzona analiza pozwoliła na stworzenie bazy wiedzy oraz źródeł informacji, obejmujących najważniejsze aspekty dyrektywy, tj. prawne, techniczne i organizacyjne. Raport ma na celu wsparcie uczestników rynku w zakresie dostępu do wiedzy oraz informacji dotyczących PSD2 oraz powiązanych dokumentów.