PSD2 to nowa dyrektywa Komisji Europejskiej w sprawie usług płatniczych. Wprowadzenie Regulacyjnych Standardów Technicznych (RTS) do tej ustawy umożliwi konsumentom korzystanie z bezpieczniejszej i bardziej innowacyjnej elektronicznej bankowości.

Payment Services Directive (PSD2) - przesłanki, cele i proces


Zaktualizowana dyrektywa w sprawie usług płatniczych wchodzi w życie 13.01.2018. Ma ona za zadanie stworzyć lepsze otoczenie dla innowacyjności, konkurencyjności i wydajności systemu finansowego w Unii, ale daje również przykład, z którego będą korzystać pozostałe gospodarki naszego globu.  

Dyrektywa PSD2 zapewni konsumentom większy i lepszy wybór na rynku detalicznych płatności w UE. Wprowadzi również podwyższone standardy bezpieczeństwa dotyczące płatności internetowych. Dzięki temu konsumenci będą bardziej pewni zakupów online. Zakres PSD2 obejmuje także innowacyjne usługi płatnicze i dostawców tych usług na rynku (np. FinTechy).

W ustawie dostawcy są określani jako TPP – Third Party Providers. Do TPP zaliczymy również:
– dostawców usług inicjowania płatności (PISP): inicjują oni płatności w imieniu klientów i dają detalistom pewność, że pieniądze są już w drodze.
– agregatory i dostawcy informacji o kontach (AISP): zapewniają przegląd dostępnych kont i sald dla swoich klientów.

RTS (Regulatory Technical Standards) jakie są cele regulacyjnego standardu technicznego? 


Uczestnicy rynku potrzebują dokładnych wytycznych, aby spełnić nowe obowiązki zawarte w dyrektywie PSD2. W tym celu Komisja zostaje zobowiązana do przyjęcia regulacyjnych standardów technicznych (RTS) na podstawie projektu przedłożonego przez Europejski Urząd Nadzoru Bankowego (EUNB). 

Środki bezpieczeństwa SCA (Strong Customer Authentication)


Standardy zabezpieczeń, opisane w RTS wynikają z dwóch głównych celów dyrektywy PSD2: zapewnienia ochrony konsumenta oraz wzmocnienia konkurencji i równych szans w szybko zmieniającym się otoczeniu rynkowym. 
 
Ochrona konsumentów będzie osiągnięta poprzez zwiększenie poziomu bezpieczeństwa płatności elektronicznych. RTS wprowadza standardy bezpieczeństwa, których dostawcy usług płatniczych muszą przestrzegać podczas przetwarzania płatności lub świadczenia usług związanych z płatnościami. Termin „dostawcy usług płatniczych obejmuje banki i inne instytucje płatnicze. Standardy w RTS określają wymagania dotyczące silnego uwierzytelniania klientów oraz przypadków, w których dostawcy usług płatniczych mogą być zwolnieni z takiego uwierzytelniania. 
 
Kolejnym kluczowym celem jest zwiększenie konkurencji i innowacyjności na rynku płatności detalicznych. W tym kontekście RTS obejmuje dwa nowe rodzaje usług płatniczych, tak zwane usługi inicjowania płatności (PIS) i usługi informacji o rachunkach (AIS).

Czy Komisja Europejska zmieniła projekt RTS przedłożony przez EUNB?


Komisja wprowadziła pewne ograniczone zmiany merytoryczne do projektu RTS przedłożonego przez EUNB. Uczyniono to w celu lepszego odzwierciedlenia mandatu PSD2 oraz zapewnienia większej jasności i pewności wszystkim zainteresowanym stronom. 

PSD2 – kiedy zaczną obowiązywać nowe zasady? 


Dyrektywa PSD2 zacznie obowiązywać od 13 stycznia 2018 r., z wyjątkiem środków bezpieczeństwa opisanych w RTS. Mają one zastosowanie po 18 miesiącach od daty wejścia w życie dyrektywy. Z zastrzeżeniem zgody Rady i Parlamentu Europejskiego, RTS ma zacząć obowiązywać około września 2019 r. 

Do jakiego rodzaju kont bankowych stosuje się RTS?


RTS obejmują wyłącznie rachunki płatnicze posiadane przez jednego lub więcej użytkowników usług płatniczych, które mogą być wykorzystywane do wykonywania transakcji płatniczych. Chociaż definicja ta nie zmieniła się wraz z przyjęciem PSD2, lista usług płatniczych ewoluowała. Obejmuje usługi inicjowania płatności i usługi informacji o koncie. 

Silne uwierzytelnianie klienta (SCA)


Dzięki PSD2 konsumenci będą lepiej chronieni podczas dokonywania płatności elektronicznych lub transakcji, takich jak korzystanie z bankowości internetowej lub zakupy online. Silne uwierzytelnienie klienta (SCA) stanie się podstawą uzyskania przez użytkownika usług bankowości elektronicznej dostępu do rachunku płatniczego, a także do dokonywania płatności online.

Oznacza to, że aby udowodnić swoją tożsamość, użytkownicy będą musieli dostarczyć co najmniej dwa niezależne od siebie elementy weryfikacyjne z trzech, zdefiniowanych w dyrektywie:
coś, co znają (hasło lub kod PIN); 
coś, co posiadają (karta, telefon komórkowy); i 
coś, czym są (biometria, czyli np. skan odcisków palców lub tęczówek). 

Silne uwierzytelnianie klientów jest już powszechnie stosowane w całej UE. Na przykład, gdy klienci płacą kartą w sklepach stacjonarnych, muszą potwierdzić transakcję, wpisując kody PIN w czytnikach kart. Nie dotyczy to jednak elektronicznych transakcji zdalnych, czy to płatności kartą czy przelewem z banku internetowego. W przypadku tych transakcji SCA jest już stosowany tylko w niektórych krajach UE (w tym w Belgii, Holandii i Szwecji). W innych krajach UE niektórzy dostawcy usług płatniczych stosują SCA na zasadzie dobrowolności. 

RTS wymaga, żeby silne uwierzytelnienie klienta było używane do uzyskiwania dostępu do własnego rachunku płatniczego i dokonywania płatności online. Banki i inni dostawcy usług płatniczych będą musiały zbudować niezbędną infrastrukturę dla procesu SCA. Będą również musiały poprawić scenariusze wyłudzeń i oszustw. Konsumenci i kupcy będą musieli być wyposażeni i przeszkoleni, aby móc działać w środowisku SCA. 

Wyjątki od silnego uwierzytelniania klienta


RTS pozwala również na wyjątki, co ma na celu uniknięcie zakłóceń i ułatwienie funkcjonowania konsumentów, sprzedawców i dostawców usług płatniczych. Wyjątki wprowadzono również dlatego, że mogą istnieć alternatywne mechanizmy uwierzytelniania, które są równie bezpieczne. Jednak dostawcy usług płatniczych, którzy chcą zostać zwolnieni z SCA, muszą najpierw zastosować mechanizmy monitorowania transakcji, aby ocenić, czy ryzyko oszustwa jest rzeczywiście małe.  

Wszyscy dostawcy usług płatniczych będą musieli udowodnić wdrożenie, testowanie i audyt środków bezpieczeństwa. W przypadku płatności, która będzie wyłudzeniem ze względu na słabe zabezpieczenie, konsumenci będą uprawnieni do pełnego zwrotu kosztów.

W przypadku płatności internetowych, zabezpieczenia zostaną dodatkowo wzmocnione poprzez połączenie, za pomocą hasła jednorazowego, transakcji online z jej kwotą oraz z beneficjentem płatności. Praktyka ta zapewnia, że w przypadku włamania, informacje uzyskane przez potencjalnego oszusta nie mogą zostać ponownie użyte przez do zainicjowania innej transakcji. Ta procedura jest już stosowana w krajach takich jak Belgia i doprowadziła do znaczącej redukcji oszustw w przypadku płatności internetowych.

Kiedy silne uwierzytelnienie klienta stanie się obowiązkowe?


Zastosowanie SCA stanie się obowiązkowe 18 miesięcy po wejściu w życie RTS, tj. po opublikowaniu RTS w Dzienniku Urzędowym UE, zaplanowanym na wrzesień 2019 r. 
 
Umożliwi to dostawcom usług płatniczych, w tym bankom, wystarczająco dużo czasu na dostosowanie swoich systemów bezpieczeństwa do zwiększonych wymagań bezpieczeństwa określonych w PSD2. 

A co z bezpieczeństwem płatności firmowych? 


RTS zapewniają również bezpieczeństwo płatności realizowanych partiami. Jest to sposób, w jaki większość przedsiębiorstw dokonuje płatności. Nowe zasady uwzględniają również komunikację maszynową typu host-to-host, gdzie np. system informatyczny przedsiębiorstwa komunikuje się z systemem informatycznym banku w celu wysyłania wiadomości do faktur płatniczych. Mechanizmy bezpieczeństwa dla tego typu systemów komunikacyjnych mogą być równie skuteczne, jak silne uwierzytelnianie klienta. W związku z tym mogą korzystać ze zwolnienia z SCA, jeżeli zostanie to zatwierdzone przez krajowe organy nadzoru. 

Czy SCA może mieć negatywny wpływ na e-commerce? 


Komisja chce wspierać rozwój handlu elektronicznego poprzez budowanie zaufania konsumentów. Jednocześnie, Komisja chce ograniczyć oszustwa wpływające na płatności internetowe, które są szczególnie zagrożone. Oznacza to wyższy poziom bezpieczeństwa i może wymagać od uczestników rynku e-commerce dostosowania swoich systemów informatycznych lub ich modeli biznesowych, aby były one bardziej bezpieczne.

Partnerzy handlowi nadal będą mogli stosować analizę ryzyka w transakcjach z klientami. Ta metoda jest często stosowana do płatności kartą. RTS uniemożliwiają kontynuowania tego. Zarówno PSD2, jak i RTS są adresowane wyłącznie do dostawców usług płatniczych, w tym banków konsumentów i sprzedawców. Handlowcy nie wchodzą w zakres RTS.  

Jak działa wspólna i bezpieczna komunikacja? 


PSD2 ustanawia ramy dla nowych usług związanych z rachunkami płatniczymi konsumentów, takimi jak tzw. usługi inicjowania płatności (PIS – payment initiation services) i usługi informacji o rachunkach (AIS – account information services). W tym kontekście RTS określają wymagania, dotyczące wspólnych i bezpiecznych standardów komunikacji między bankami a firmami FinTech.

Konsumenci i firmy będą mogli udzielać dostępu do swoich danych płatniczych stronom trzecim, świadczącym usługi związane z płatnościami (TPP). Są to na przykład dostawcy usług inicjowania płatności (PISP) i dostawcy informacji o kontach (AISP). TPP to czasami firmy FinTech, ale mogą to być również inne banki.

Klienci będą musieli wyrazić zgodę na dostęp, wykorzystanie i przetwarzanie swoich danych. TPP nie będzie mieć dostępu do żadnych innych danych z rachunku płatniczego, poza danymi jawnie autoryzowanymi przez klienta. 

 

Otwarte API Bankowe


Banki będą musiały wdrożyć kanał komunikacyjny, który umożliwia dostawcom usług internetowych dostęp do potrzebnych danych. Ten kanał komunikacyjny umożliwi również bankom i TPP identyfikację między sobą podczas uzyskiwania dostępu do danych klienta i komunikowania się przez cały czas za pomocą bezpiecznego przesyłania wiadomości. 
 
Banki mogą ustanowić ten kanał komunikacji poprzez dostosowanie interfejsu bankowości internetowej klienta. Mogą również zaimplementować nowy dedykowany interfejs, taki jak Otwarte API Bankowe APILOGIC, który będzie zawierał wszystkie niezbędne informacje dla dostawców usług płatniczych oraz będzie zapewniał bezpieczeństwo prezentowanych danych. 
 
Zasady określają również zabezpieczenia awaryjne, które banki muszą wprowadzić, gdy decydują się na stworzenie dedykowanego interfejsu (tzw. „Mechanizmy awaryjne”). Celem takich środków interwencyjnych jest zapewnienie ciągłości usług w przypadku zdarzeń losowych oraz uczciwej konkurencji na rynku.  
 

API - dedykowany interfejs komunikacyjny. Jaki powinien być?


Zgodnie z RTS wszystkie interfejsy komunikacyjne będą poddawane 3-miesięcznemu testowi „prototypowemu” i 3-miesięcznemu testowi „na żywo” w warunkach rynkowych. Test pozwoli uczestnikom rynku ocenić jakość interfejsów wprowadzonych przez obsługujących rachunki dostawców usług płatniczych, w tym banki. 
 
Wysokiej jakości dedykowany interfejs komunikacyjny powinien oferować stabilny poziom dostępności i wydajności interfejsów udostępnionych konsumentowi lub przedsiębiorstwu, aby uzyskać bezpośredni dostęp do rachunku płatniczego online. Ponadto, interfejs API nie powinien stwarzać przeszkód w świadczeniu usług inicjowania płatności ani usług informacyjnych na temat rachunków. 
 
Dostawcy usług płatniczych, w tym banki, będą musieli zdefiniować kluczowe wskaźniki wydajności i docelowe poziomy usług dla dedykowanych interfejsów komunikacyjnych, jeśli zdecydują się je skonfigurować. Te wskaźniki wydajności powinny być co najmniej tak samo rygorystyczne, jak te ustanowione dla platform płatności internetowych i bankowych, używanych przez klientów. 
 
Komisja promuje utworzenie grupy rynkowej składającej się z przedstawicieli banków, inicjatorów płatności i dostawców informacji o rachunkach oraz użytkowników usług płatniczych. Ta grupa dokona przeglądu jakości dedykowanych interfejsów komunikacyjnych. Wynika to z prac wykonanych przez Radę ds. Płatności Detalicznych w Euro w zakresie usług inicjowania płatności. 

Czy banki mogą być zwolnione z tworzenia mechanizmu awaryjnego? 


Tak. Mogą one zostać zwolnione, jeśli wprowadzą w pełni funkcjonalny dedykowany interfejs komunikacyjny, odpowiadający kryteriom jakości, określonym przez regulacyjne standardy techniczne. Władze krajowe przyznają zwolnienia poszczególnym bankom przez organy krajowe po konsultacji z EUNB. Rola EUNB polega na zapewnieniu, aby organy krajowe miały podobne interpretacje, gdy będą oceniały jakość dedykowanych interfejsów. Rozbieżności w interpretacji byłyby szkodliwe dla dobrego funkcjonowania jednolitego rynku dla płatności detalicznych.

Krajowy organ może odwołać zwolnienie, jeżeli dedykowany interfejs komunikacyjny nie spełnia już kryteriów jakości określonych w RTS przez więcej niż dwa kolejne tygodnie kalendarzowe. W takim przypadku organ krajowy informuje również EUNB. Władza krajowa zapewnia też, że bank ustanawia automatyczny mechanizm awaryjny. To musi się zdarzyć w najkrótszym możliwym czasie, a najpóźniej w ciągu 2 miesięcy. 

W jaki sposób chronione są dane osobowe?


Posiadacze rachunków mogą sprawować kontrolę nad przekazywaniem ich danych osobowych zarówno na mocy dyrektywy PSD2, jak i dyrektywy o ochronie danych (ogólnego rozporządzenia o ochronie danych GDPR, wchodzącej w życie od 25 maja 2018 r.). Przetwarzanie danych nie może odbywać się bez wyraźnej zgody konsumenta. Ponadto dostawcy usług płatniczych mogą uzyskać dostęp i przetwarzać jedynie dane osobowe niezbędne do świadczenia usług, odnośnie których konsument wyraził zgodę na to przetwarzanie.  
 
PSD2 reguluje świadczenie nowych usług płatniczych, wymagających dostępu do danych użytkownika. Może to oznaczać np. zainicjowanie płatności z jego konta lub zsumowanie informacji z jednego lub wielu kont, prowadzonych z jednym lub większą liczbą dostawców usług płatniczych w celu zarządzania finansami osobistymi. Gdy konsument chce skorzystać z tego typu nowych usług płatniczych, musi on wyraźnie zażądać takiej usługi od odpowiedniego dostawcy. 
 
Dostawcy usług płatniczych muszą wyraźnie informować swoich klientów o celu i sposobie przetwarzania ich danych. Będą również musieli przestrzegać praw innych klientów, wynikających z GDPR/ RODO, takich jak prawo dostępu lub prawo do bycia zapomnianym. Wszyscy dostawcy usług płatniczych (banki, instytucje płatnicze lub nowi dostawcy) muszą przestrzegać zasad ochrony danych podczas ich przetwarzania dla usług płatniczych. 

Do jakich danych mogą uzyskać dostęp TPP i jak z nich korzystać za pomocą techniki screen-scrapping?


Dyrektywa PSD2 zabrania zewnętrznym dostawcom usług dostępu do jakichkolwiek innych danych z rachunku płatniczego klienta poza tymi, które mają wyraźną zgodę klienta na przetwarzanieDzięki tym nowym regułom nie będzie już można uzyskać dostępu do danych klienta za pomocą techniki screen-scrappingu, która oznacza dostęp do danych za pośrednictwem interfejsu klienta z wykorzystaniem poświadczeń bezpieczeństwa klienta. Dzięki tej metodzie, dostawcy TPP uzyskują dostęp do danych klienta, bez jakiejkolwiek konieczności dalszej identyfikacji. 
 
Banki będą musiały wdrożyć kanał komunikacyjny, który umożliwia dostawcom usług internetowych dostęp do danych, których potrzebują zgodnie z PSD2. Kanał będzie również wykorzystywany do umożliwienia bankom i TPP identyfikowania się podczas uzyskiwania dostępu do tych danych. Pozwoli również na komunikowanie się przez cały czas za pośrednictwem bezpiecznych wiadomości.

Okres przejściowy dyrektywy PSD2


Nastąpi okres przejściowy między datą zastosowania PSD2 (13 stycznia 2018 r.) a datą zastosowania RTS (18 miesięcy po opublikowaniu aktu delegowanego w Dzienniku Urzędowym UE). Gracze na rynku płatności potrzebują tego okresu przejściowego, aby zaktualizować swoje systemy zabezpieczeń płatności, tak aby spełniały wymagania RTS.

Czy dostawcy usług internetowych mogą nadal używać screen-scrappingu ekranu w okresie przejściowym?


Nastąpi okres przejściowy między datą zastosowania PSD2 (13 stycznia 2018r.) a datą zastosowania RTS (18 miesięcy po opublikowaniu aktu delegowanego w Dzienniku Urzędowym UE). Gracze na rynku płatności potrzebują tego okresu przejściowego, aby zaktualizować swoje systemy zabezpieczeń płatności, tak aby spełniały wymagania RTS.

Oznacza to, że przepisy PSD2 dotyczące silnego uwierzytelniania klienta i bezpiecznej komunikacji, które są bezpośrednio określone w RTS, nie będą miały natychmiastowego zastosowania. Innymi słowy, zastosowanie środków bezpieczeństwa w art. 65, 67 i 97 PSD2 zostaje odroczone do czasu, aż RTS zacznie obowiązywać. Jednak te części artykułów 65, 67 i 97, które nie są zależne od RTS, będą obowiązywać od 13 stycznia 2018r.

Opóźnione stosowanie RTS nie powinno stwarzać trudności w świadczeniu istniejących usług związanych z płatnościami przez uczestników rynku, działających w państwach członkowskich przed 13 stycznia 2016 r. Artykuł 115 ust. 5 PSD2 zapewnia ciągłość tych usług. Tacy dostawcy usług płatniczych powinni w jak najkrótszym czasie złożyć wniosek o wydanie odpowiedniego zezwolenia zgodnie z PSD2 do swoich władz krajowych.

Nowi dostawcy usług inicjowania płatności i dostawcy usług informacji o rachunku, którzy chcą świadczyć te usługi, muszą uzyskać odpowiednie zezwolenie na wejście na rynek w okresie przejściowym. 

Summary