Nowa unijna Dyrektywa PSD2[1], uchwalona przez Parlament Europejski pod koniec 2015 roku, w całości zastąpi stosowaną dotychczas dyrektywę PSD. 13 stycznia 2018 roku Dyrektywa zaczęła już w pełni obowiązywać. Państwa Członkowskie Unii Europejskiej miały 2 lata na dostosowanie swoich regulacji do wymogów Dyrektywy.
Celem nowelizacji dotychczasowych przepisów unijnych było ich dostosowanie do zmian wynikających z rozwoju rynku usług płatniczych, w szczególności wynikających z dynamicznego rozwoju technologicznego w obszarze płatności elektronicznych i mobilnych oraz pojawienia się nowych rodzajów usług płatniczych.
WSPÓŁPRACA BANKÓW Z TPP
W znacznym uproszczeniu, podstawowe założenie Dyrektywy sprowadza się do umożliwienia dostępu do rachunku bankowego podmiotom trzecim (TPP – Third Party Providers). Takie rozwiązanie wprowadzi do katalogu usług płatniczych dwa nowe typy usług:
- AIS (Account Information Service) – usługa dostępu do informacji o rachunku, umożliwiająca gromadzenie danych z różnych kont bankowych płatnika w jednym miejscu. Usługa ta zapewnia użytkownikowi możliwość uzyskania informacji na temat wszystkich rachunków posiadanych przez tego użytkownika w różnych instytucjach finansowych. Osoby fizyczne lub prawne, świadczące wyłącznie usługę dostępu do informacji o rachunku, będą zwolnione z konieczności uzyskania zezwolenia i spełnienia wymogów regulacyjnych. Ich obowiązek sprowadza się do złożenia wniosku o zarejestrowanie oraz konsekwencji traktowania ich jako instytucje płatnicze, tj. będą one musiały stosować się do niektórych przepisów PSD2 (na przykład – będą podlegać obowiązkowi informacyjnemu względem korzystających z tego typu usług).
- PIS (Payment Initiation Service) – usługa inicjowania płatności, przelewów bankowych. TPP będzie mógł mieć dostęp do rachunków online klienta, inicjowania i realizowania płatności w jego imieniu do określonego odbiorcy, a następnie raportowania klientowi o jej realizacji. Payment Initiation Service dzięki Dyrektywie PSD2 stanie się usługą płatniczą, która będzie wymagała zezwolenia Komisji Nadzoru Finansowego. Dotychczas usługa ta nie była regulowana i podmioty świadczące te usługi nie musiały być wpisane do rejestru prowadzonego przez KNF. PSD 2 wprowadza obowiązek spełnienia pewnych warunków w celu uzyskania zezwolenia na świadczenie usługi inicjowania płatności. Dysponowanie kapitałem założycielskim w minimalnej wysokości 50 tys. euro czy opis procedury wprowadzonej w celu włączenia do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych są przykładami warunków koniecznych do spełnienia. Szczegółowy wykaz znajduję się w artykule 5 Dyrektywy PSD2.
W wyniku postanowień Dyrektywy banki będą zmuszone umożliwić TPP dostęp do rachunków swoich klientów (oczywiście za ich uprzednią zgodą). Powinno to polegać głównie na dostosowaniu się do standardów komunikacyjnych pomiędzy bankami a TPP. TPP oraz dostawcy usług płatniczych prowadzący rachunki – głownie banki – będą musiały porozumiewać się ze sobą za pomocą bezpiecznych i wydajnych kanałów komunikacji.
Kwestią wywołującą największe zainteresowanie jest sprawa screen scrapingu, czyli bezpośredniego dostępu TPP do rachunku klienta. W Projekcie legislacyjnym o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, mającym implementować dyrektywę PSD2, zauważyć można, że stosunek do screen scrapingu jest bardzo ostrożny. W uzasadnieniu projektu ustawy (dane z 28 grudnia 2017 r.) widnieje informacja, że „Zmieniono przepisy przejściowe dotyczące stosowania silnego uwierzytelniania użytkownika i bezpiecznej komunikacji. Obowiązki w tym zakresie dostawca będzie obowiązany stosować nie później niż po upływie 18 miesięcy od dnia wejścia w życie rozporządzenia delegowanego KE. Do czasu obowiązywania tego rozporządzenia, dostawcy prowadzący rachunki płatnicze będą obowiązani stosować dotychczasowe regulacje w zakresie bezpieczeństwa płatności, w tym obowiązujące rekomendacje KNF.” Dotychczasowe stanowisko Komisji Nadzoru Finansowego nie zezwalało na funkcjonowanie tej metody, zwracając m.in. uwagę, że prowadzi to do naruszenia warunków korzystania z bankowości internetowej. W lutym 2017 roku, kluczowe dla praktycznego funkcjonowania nowego prawa standardy techniczne ogłosił Europejski Urząd Nadzoru Bankowego EBA. Uznał on, miedzy innymi, że jedna z technik stosowanych przez wielu dostawców usług płatniczych w Europie – screen scraping– będzie niedozwolona. Jednakże zarówno KNF jak i Komisja Europejska, która uważa, że metoda ta może być wyjątkowo wykorzystana w przypadku awarii dedykowanego interfejsu komunikacji..
Rozwiązania wprowadzane do porządku prawnego przez PSD2 budzą niepokój wśród dostawców usług podstawowych – w tym wypadku banków. Wynika on głównie z tego, że TPP mogą potencjalnie osłabić uprzywilejowaną pozycję banków w świadczeniu usług płatniczych. Jednakże bardziej aktywne i dynamicznie rozwijające się banki widzą w tym również korzyści. Umożliwiając klientom korzystanie z podobnych rozwiązań oferowanych przez TPP, banki nie muszą od nowa pozyskiwać zaufania wśród klientów (jak będą musiały to robić TPP), a jedynie uwiarygodnić, że rozszerzenie funkcji oferowanych na platformach bankowych jest równie bezpieczne, jak dotychczas. Wydaje się więc, że przy odpowiednim wdrożeniu rozwiązań PSD2 i dostosowaniu się do nowych wyzwań technologicznych bank może jedynie umocnić swoją pozycję na rynku, a nawet oferować możliwości dostępu do rachunków w innych bankach przy wykorzystaniu uprawnień, które daje PSD2. Zgodnie z raportem opublikowanym przez Blue Media[2] tylko 14 proc. dorosłych Polaków zdecydowałoby się podać login i hasło do swojego konta osobistego licencjonowanej firmie trzeciej obsługującej płatności.
ODPOWIEDZIALNOŚĆ BANKÓW ORAZ PODMIOTÓW TRZECICH ZA TRANSAKCJE
Modyfikacje wprowadzone przez PSD2 dotyczą także kwestii odpowiedzialności.
Zmianie ulegnie odpowiedzialność za kwestionowaną transakcję płatniczą. Po 13 stycznia 2018 roku, w przypadku nieautoryzowanej transakcji płatniczej, spowodowanej oszustwem lub rażącym niedbalstwem płatnika, maksymalna kwota, którą płatnik może być obciążony zmniejszyła się ze 150 euro (ok. 624 złotych) do 50 euro (ok. 208 złotych). Odpowiedzialność zostaje zatem przerzucona w większym stopniu na pośredników w płatnościach.
Dużą zmianą jest również odpowiedzialność dostawcy usług płatniczych, gdy nie wymaga on silnego uwierzytelnienia dla transakcji, a płatnik zachowuje dobrą wiarę, co do bezpieczeństwa transakcji. Transakcja przeprowadzona bez silnego uwierzytelnienia klienta (SCA) będzie obciążać konto przedsiębiorcy, a nie klienta. SCA to inaczej uwierzytelnienie zawierające dwa lub więcej elementów walidujących:
- wiedzę (coś, co użytkownik wie, np. hasło, pin);
- posiadanie (coś, co posiada użytkownik, np. karta, urządzenie generujące kody, np. telefon);
- cecha (np. biometria).
Elementy są od siebie niezależne, bowiem złamanie jednego nie narusza pozostałych. Odpowiedzialność za nieautoryzowaną transakcję w opisanej sytuacji ponosi w całości dostawca usług płatniczych, co z perspektywy klienta wydaje się być korzystnym rozwiązaniem. Co ważne, na dostawcy spoczywa również ciężar udowodnienia złej wiary klienta.
Należy również zaznaczyć, że bank, jako zasadniczy dostawca usług płatniczych prowadzący rachunek może odmówić, zarówno dostawcy świadczącemu usługę dostępu do informacji o rachunku lub dostawcy świadczącemu usługę inicjowania płatności dostępu do danego rachunku płatniczego z obiektywnie uzasadnionych i należycie udokumentowanych względów związanych z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego przez tego dostawcę świadczącego usługę dostępu do informacji o rachunku lub tego dostawcę świadczącego usługę inicjowania płatności, łącznie z nieuprawnionym lub nielegalnym zainicjowaniem transakcji płatniczej
Ponadto nowe możliwości, które wprowadza Dyrektywa PSD2 wiążą się z odpowiednim zabezpieczeniem naszych danych. Zasadniczą kwestią, mającą ogromne znaczenie dla bezpieczeństwa klienta jest to, kto będzie posiadał dane uwierzytelniające do rachunku oraz dane osobowe i przede wszystkim, jak będzie je chronił. Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych[3], które wejdzie w życie 25 maja 2018 r., wszystkie podmioty, które choćby w minimalnym stopniu przetwarzają dane osobowe, muszą odpowiednio je przechowywać i zabezpieczać. Dodatkowo, w RODO za niedostosowanie się do wymogów rozporządzenia, przewidziane są bardzo wysokie kary, nawet do 20 000 000 euro.
PODSUMOWANIE
Rozwiązania wprowadzane przez Dyrektywę PSD2 zdecydowanie zwiększą dostępność rynku płatności dla podmiotów innych niż banki. Przy czym marginalizacja banków na rynku płatności nie musi wcale wystąpić. Jeżeli banki skorzystają z rozwiązań technologicznych, proponując równie dobrą ofertę, co potencjalne TPP, ich pozycja może się tylko wzmocnić. Należy jednak pamiętać, że stosując nowe rozwiązania, które umożliwia Dyrektywa PSD2, nie można zapomnieć o kwestii odpowiedzialności, choćby za nieautoryzowane transakcje, czy bezpieczeństwo danych osobowych klientów.
[1] Dyrektywa Parlamentu Europejskiego I Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE
[2] https://bluemedia.pl/pressroom/informacje-prasowe/jakie-dane-jestesmy-gotowi-udostepniac-raport
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Artur Piechocki i Karolina Król – kancelaria APLaw
Sprawdź program konferencji „Dyrektywa PSD 2”, 14-15.03.2018, Warszawa >>