Podniesienie limitów płatności zbliżeniowych

NBS 2016/10

Płatności zbliżeniowe sprawiły, że karty płatnicze szybko zdobywają obszar kiedyś zdominowany przez gotówkę - drobne transakcje, czasem opiewające nawet na kilka złotych czy euro. Dużą rolę w bezstykowej ofensywie odegrała rezygnacja z wymogu podawania kodu PIN przy płatnościach poniżej ustalonego limitu. Zalecenia europejskiego nadzoru bankowego otwierają drogę do uproszczenia zakupów także przy wyższych kwotach transakcji.

Dr Michał Kisiel, Bankier.pl

Nowej wersji europejskiej dyrektywy o usługach płatniczych (PSD2) towarzyszyć mają standardy techniczne ustalone przez Europejski Urząd Nadzoru Bankowego (EBA). W sierpniu tego roku światło dzienne ujrzała pierwsza wersja zaleceń, będąca owocem konsultacji prowadzonych przez kilka miesięcy. Na łamach Bankier.pl opisywaliśmy już propozycje dotyczące wzmocnienia bezpieczeństwa bankowości internetowej. W dokumencie EBA znajdziemy także zapis, który może popchnąć płatności zbliżeniowe na nowe tory

Nadzór proponuje, by przy dostępie do rachunków płatniczych oraz zlecaniu płatności konieczne było tzw. silne uwierzytelnienie płatnika. Przypomnijmy, że termin ten oznacza użycie co najmniej dwóch z trzech niezależnych do siebie elementów – czegoś, co wiemy (np. hasło); czegoś, co mamy (np. telefon) i czegoś, czym jesteśmy (np. weryfikacja linii papilarnych).

Zbliżeniówki bez PIN do 50 euro

Propozycja standardów technicznych przewiduje wyłączenia spod tej zasady. Jedno z nich dotyczy płatności zbliżeniowych (z użyciem karty, telefonu lub innego urządzenia) dokonywanych w fizycznych placówkach handlowych. EBA sugeruje, aby silne uwierzytelnienie nie było wymagane, gdy:

  • wartość pojedynczej transakcji nie przekracza 50 euro
  • oraz suma poprzednich transakcji o wartości poniżej 50 euro dokonywanych bez silnego uwierzytelnienia nie przekracza 150 euro.

Limity pojedynczych płatności zbliżeniowych dopuszczalnych bez użycia kodu PIN są dziś znacząco niższe. W Polsce organizacje płatnicze ustaliły granicę na poziomie 50 zł (chociaż wydawcy mogą przyjąć bardziej restrykcyjny limit). W krajach Unii Europejskiej najwyższy próg obowiązuje w Wielkiej Brytanii (30 funtów).

EBA uzasadnia swoją propozycję troską o rozwój „przyjaznych użytkownikowi i dostępnych sposobów dokonywania transakcji o niskim ryzyku”. Jednocześnie, co można uznać za kontrowersyjne podejście, nadzór nie zdecydował się na zastosowanie podobnego wyłączenia w stosunku do innych sposobów inicjowania transakcji (np. kartowych płatności stykowych, ale też np. wpisywania kodu, jak w schemacie BLIK). W uzasadnieniu RTS wskazano, że służy to „zachowaniu wysokiego poziomu bezpieczeństwa osiągniętego obecnie dla transakcji kartowych w fizycznych punktach handlowych za pomocą technologii EMV”.

PIN stopniowo odchodzi w przeszłość

Organizacje płatnicze na razie zachowują dystans wobec propozycji EBA. Organizacja Visa wskazała, że „projekt wiążących standardów technicznych przygotowany przez Europejski Urząd Nadzoru Bankowego jest wciąż na etapie konsultacji publicznych, po zakończeniu których wymagać będzie formalnego zatwierdzenia zgodnie z procedurami EU. Jest więc zbyt wcześnie na spekulacje dotyczące możliwych skutków tego dokumentu”. MasterCard poinformował Bankier.pl, że obecnie nie ma planów podniesienia limitów transakcji zbliżeniowych bez PIN w Polsce i innych krajach europejskich.

Wraz z rozwojem płatności mobilnych wymóg silnego uwierzytelnienia może przestać być zauważalny z punktu widzenia płatnika. Organizacje płatnicze już dziś dopuszczają np. użycie czytnika linii papilarnych w telefonie jako sposobu weryfikacji posiadacza instrumentu płatniczego (CDCVM). Z tej możliwości korzysta chociażby mobilny portfel Apple Pay. Nowe wytyczne zawarte w RTS (regulacyjnych standardach technicznych) wejdą w życie najwcześniej w październiku 2018 r. Przygotowane przez europejski nadzór propozycje czeka jednak jeszcze druga runda konsultacji i mogą one ulec zmianie.