Dyrektywa PSD2 – co zmienia w bankowości?

Unijna dyrektywa PDS2 ma szanse na dobre zmienić porządki gry panujące na współczesnym rynku bankowym. Większe uprawnienia fintenchów i sprzedawców, podwójna identyfikacja użytkownika, wprowadzenie małej instytucji płatniczej – wszystko to z pewnością zatrząśnie dotychczasowym ładem w sektorze finansów. Czy klienci banków mają się czego obawiać? Sprawdzamy w dzisiejszym artykule.

Dyrektywa PSD2 to nic innego, jak Dyrektywa Parlamentu Europejskiego i Rady UE  z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego. Dokument ten został opracowany i zatwierdzony, aby zaktualizować prawo obowiązujące na rynku usług płatniczych do najnowszych standardów europejskiej technologii. Dotychczasowe przepisy uznano bowiem za przestarzałe i nie nadążające za rosnącymi wymogami konsumentów. 

Jak czytamy w oficjalnym wprowadzeniu do dyrektywy:

Dyrektywa PSD2 została uchwalona po to, aby nowi uczestnicy rynku europejskiego mieli równe szanse na skorzystanie z najnowszych i najbardziej innowacyjnych sposobów płatności. Dziś bowiem płacenie gotówką czy regulowanie należności drogą internetową poprzez dokonanie przelewu tradycyjnego jest wyjątkowo niekorzystne. Technologia oferuje nam o wiele lepsze, szybsze i wygodniejsze sposoby płatności. A Unia chce umożliwić ich wdrożenie na wewnętrznych rynkach państw członkowskich. W tym celu stworzono dyrektywę PSD2. 

Co wprowadzi dyrektywa PSD2?

Dyrektywa unijna dotycząca usług płatniczych w ranach rynku wewnętrznego w całości weszła w życie z dniem 20 grudnia 2018 roku. Przepisy, jakie wprowadził owy dokument, kończą z monopolem banków działających na krajowych rynkach. Dzięki nowym regulacjom pozabankowi innowatorzy, tacy jak fintechy czy najwięksi sprzedawcy, mają szansę wdrożenia własnych produktów i rozwiązań w zakresie usług płatniczych i bankowych. Wszystko to, oczywiście, zgodnie z interesem konsumenta. 

Jeszcze w 2007 roku najpopularniejszym sposobem płatności była oczywiście gotówka. Aż 40% polskich konsumentów opłacało swe rachunki za energię elektryczną przy użyciu banknotów, na poczcie. Dwa razy mniejsze grono stosowało w tym celu przelewy tradycyjne. O nowych i innowacyjnych sposobach płatności nie było wówczas mowy. Dziś jednak, po ponad dekadzie, technologie poszybowały naprzód o całe lata świetlne. Chętniej płacimy kartą, telefonem z aktywnym modułem płatności HCE czy technologią NFC zastosowaną np. w aplikacji ApplePay.

Nowoczesne metody płatności nie dotyczą zresztą jedynie transakcji realizowanych w punkach stacjonarnych. W dobie Internetu coraz większe grono konsumentów decyduje się na opłacenie rachunków czy zakup niezbędnych produktów kanałem online. W tym celu korzystamy z płatności typu pay-by-link, używamy szybkich mechanizmów płatności kartą bankową (Visa Checkout lub Masterpass) czy niezawodnego BLIK-a. Wszystko to i z każdym dniem staje się coraz bardziej przestarzałe. Cieżko wprowadzić innowacje, gdy banki mają monopol – dlatego uchwalono dyrektywę PSD2. 

Bezpieczeństwo najważniejsze

Poprzez ograniczenie monopolu banków w kwestii dostarczania usług płatniczych, a tym samym poprzez wprowadzenie na rynek wielu fintechów i instytucji wyposażonych w nowe kompetencje, Unia Europejska musiała znaleźć sposób na to, by bezpieczeństwo transakcji było na najwyższym poziomie. Nie sposób bowiem otworzyć rynek na prywatnych inwestorów i innowatorów, nie zapewniając jednocześnie konsumentów o tym, że oferowane przez nich usługi płatnicze nie będą zagrażały finansom użytkowników. 

Dyrektywa PSD2 wprowadza tak zwaną procedurę silnego uwierzytelniania. Mowa oczywiście o wielopoziomowym mechanizmie weryfikacji tożsamości użytkownika dokonującego płatności w oparciu o technologię dostarczoną przez prywatnego innowatora i inwestora. Cały system ma zadziałać wtedy, gdy płatnik, czyli użytkownik usługi płatniczej:

• uzyska stały i internetowy dostęp do własnego konta bankowego,
• zainicjuje i potwierdzi przystąpienie do elektronicznej transakcji płatniczej, 
• przeprowadzi taką czynność za pomocą kanału zdalnego, która może potencjalnie wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

By zachować bezpieczeństwo interesów konsumenta, dostawca i operator płatności powinien bezwzględnie zachować wszystkie wytyczne procedury silnego uwierzytelniania. W tym celu winien on przede wszystkim zweryfikować conajmniej dwa z następujących elementów transakcji:

• wiedzę, czyli informacje prywatną i poufną (operator powinien zadać pytanie płatnikowi, na które tylko ten zna odpowiedź);
• fakt posiadania (dostawca usługi ma zweryfikować tożsamość płatnika poprzez zadanie mu pytania o posiadany przez niego przedmiot, dobro itp.);
• cechę charakterystyczną klienta (dostawca powinien sprawdzić, czy płatnik rzeczywiście jest tym, za kogo się podaje).

Nie tylko usługi płatnicze, lecz także dostęp do rachunku

Nowa kategoria usługodawców, jaką wprowadziła dyrektywa PSD2, nie dotyczy jednie nowego typu dostawców usług płatniczych. Ci zostali w dyrektywie określeni mianem usługodawców typu PIS (angielskie payment initiation service, czyli usługa inicjowania płatności). Oprócz PIS-u Unia Europejska umożliwiła wkroczenie na rynek niezależnych usługodawców typu AIS (ang. account information service – usługa dostępu do informacji o rachunku bankowym). 

Unijna dyrektywa w sprawie usług płatniczych w ramach rynku wewnętrznego nakazuje bankom zaprzestanie monopolu i umożliwienie prywaciarzom, w akcie określonych mianem TPP (ang. third party provider – trzeci zewnętrzny dostawca), wprowadzenie usług typu PIS i AIS. Oznacza to, że banki będą musiały oddać inwestorom i innowatorom dostęp do wyznaczonych rachunków bankowych klientów – niezależnie od faktu spisania umowy partnerskiej i jej ewentualnych ustaleń. 

Oczywiście dostęp do konta bankowego nie będzie odgórnie przyznany na rachunku każdego klienta banku. Usługodawcy TPP zyskają dostęp do informacji na temat konta tylko tych użytkowników, którzy wyrażą na to zgodę, a więc tych, którzy zechcą skorzystać z pozabankowych usług PIS i AIS i podpiszą w tym celu wszelkie wymagane zgody. Informacje, jakie zyska TPP, o między innymi stan konta klienta czy ciążące na rachunku debety, zajęcia lub kredyty. 

Dochodzenie nieautoryzowanych płatności

Kolejnym ze sposobów wzmacniania barier bezpieczeństwa w przypadku nowych usług płatności jest natychmiastowe wycofanie transakcji, jakie zostały zaksięgowane mimo faktu, iż płatnik nie udzielił na nie zgody. Mowa więc o płatnościach, które zostały wykonane bez wiedzy lub akceptacji ze strony posiadacza rachunku. Oczywiście wielostopniowe mechanizmy bezpieczeństwa, jakie wprowadziła dyrektywa unijna, powinny zapobiegać tego typu sytuacjom; jeśli jednak dojdzie do przypadku naruszenia standardów jakości, płatnik zakupu będzie ubezpieczony. Co to oznacza?

Płatnik, który zorientuje się, iż z jego rachunku płatniczego została pobrana kwota w związku z transakcją, na jaką nie wyraził zgody, będzie mógł w terminie do 13 miesięcy (!) od zdarzenia zgłosić ów fakt dostawcy usług. Ten natomiast zmuszony będzie, by bezzwłocznie, tj. najpóźniej do końca kolejnego dnia roboczego, zwrócić środki poszkodowanemu płatnikowi.

Warto jednak dodać, iż płatnik, który nie zgłosi nieautoryzowanej transakcji, a tym samym nie przyczyni się do polepszenia bezpieczeństwa systemu, poniesie karę w wysokości 50 euro. Są od tego wyjątki: 

• utrata pieniędzy z konta wynikała z błędnego działania (lub jego braku) ze strony dostawcy usług i jego pracowników,
• płatnik nie miał możliwości zauważenia utraty pieniędzy z konta. 

Źródła:
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32015L2366