Prawo: PSD2 – szansa czy zagrożenie dla banków spółdzielczych?

NBS 2017/10

Jedną z najważniejszych zmian przewidzianych w dyrektywie PSD2 jest wprowadzenie nowej kategorii podmiotu oferującego usługi e-commerce, tzw. Third Party Providers (TPP), czyli dostawcy usługi płatniczej, będącego osobą trzecią w stosunku do użytkownika zasadniczej usługi płatniczej (często określanego jako tzw. fintech).

Agnieszka Serzysko

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrzne­go, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. L 337/35, 23.12.2015, s. 35–127), zwana w skrócie dyrektywą PSD2, została przyjęta 13 stycznia 2016 r., z terminem im­plementacji do 13 stycznia 2018 r. To odpowiedź na zmia­ny, jakie zaszły na rynku płatności w sektorze finansowym, w szczególności płatności realizowanych przy użyciu kart, przez internet i za pośrednictwem urządzeń przenośnych (tzw. usługi e-commerce).

Rynek ten, rozproszony na obszary wyznaczone gra­nicami poszczególnych państw, nie został objęty zakre­sem Dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płat­niczych w ramach rynku wewnętrznego zmieniającej dy­rektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/ WE i uchylająca dyrektywę 97/5/WE (Dz.U. L 319, 5.12.2007, s. 1–36), co ujawniło potrzebę aktualizacji unijnego porządku prawnego. Dyrektywa PSD2 ujedno­lica zasady realizacji transakcji płatniczych w państwach Europejskiego Obszaru Gospodarczego. Projekt ustawy implementującej postanowienia dyrektywy PSD2 pozo­staje obecnie w fazie opiniowania i konsultacji publicz­nych (dalej – Projekt, przyp. red.).

Nowe podmioty w formule TPP

W dyrektywie PSD2 proponuje się nowy podział do­stawców usług płatniczych na tzw. ASPSP (podmioty pro­wadzące rachunki dla użytkowników usługi płatniczej, czy­li np. banki spółdzielcze) oraz NON-ASPSP (podmioty, które takich rachunków nie prowadzą). W konsekwencji rozszerzono katalog usług płatniczych o dwa nowe typy:

  • usługę zapewniającą dostęp do informacji o rachunku (account information services, AIS),
  • usługę inicjowania płatności (pay­ment initiation services, PIS).

Pierwszy rodzaj usługi (AIS) obej­muje swym zakresem gromadzenie danych z różnych kont bankowych płatnika w jednym miejscu. W ra­mach AIS dostawca usługi zbiera, po­przez uzyskanie dostępu do rachun­ków płatnika, informacje dotyczące zgromadzonych na nich środków pie­niężnych i tworzy raport z konta płat­nika zawierający dane poświadczające dostępność środków koniecznych do dokonania transakcji poprzez stronę WWW lub aplikacje mobilne (typu smartphone-App).

Drugi rodzaj usługi (PIS) obej­muje swym zakresem inicjowanie przelewów bankowych. W ramach PIS dostawca usługi, za pomocą po­świadczeń przekazanych mu przez płatnika, sprawdza dostępność środ­ków pieniężnych na jego rachunku, dokonuje inicjacji płatności, a na­stępnie uzyskuje potwierdzenie, że płatność została dokonana. W ten sposób tworzony jest kanał komuni­kacyjny, poprzez który płatnik auto­ryzuje płatność bezpośrednio lub za pomocą specjalnego instrumentu autentyfikacyjnego wo­bec sprzedawcy, który obciąża rachunek płatnika.

Agnieszka Serzysko

Radca prawny. Doktor nauk prawnych. Specjalizuje się w prawie bankowym, prawie restrukturyzacyjnym, prawie handlowym, ze szczególnym uwzględnieniem transakcji finansowania, w tym transakcji na rynku kapitałowym. Uczestnik licznych międzynarodowych i krajowych projektów finansowań, wieloletni pracownik instytucji finansowej

TPP wobec architektury IT banków spółdzielczych

Na podmioty, które prowadzą rachunki płatnicze, w tym banki spółdzielcze, dyrektywa PSD2 nakłada obo­wiązek bezpiecznego udostępniania danych zewnętrznym podmiotom trzecim. W konsekwencji każdy bank będzie miał obowiązek przygotowania API, z których będą mo­gły korzystać TPP. Po otrzymaniu zlecenia płatniczego za pośrednictwem TPP, banki przekażą lub udostępnią im wszystkie informacje o zainicjowaniu transakcji płatni­czej oraz informacje dostępne dostawcy usługi płatniczej prowadzącemu rachunek dotyczące wykonania transakcji. Dostawca prowadzący rachunek zapewni bezpieczny spo­sób komunikacji pomiędzy nim a TPP. Taka forma dzia­łania może początkowo wzbudzać nieufność wobec TPP niebędących bankami. Wielu klientów może bowiem wy­bierać usługi AIS i PIS świadczone przez banki spółdzielcze z uwagi na wyższy poziom bezpieczeństwa i zaufania do tradycyjnego sektora bankowego.

Status prawny TPP

Istotną kwestią pozostaje regulacja statusu prawnego TPP. Z analizy zapisów Projektu wynika, iż wszystkie TPP, będą co do zasady podlegały reżimowi autoryzacyjnemu tak, jak instytucje płatnicze (IP). Wyjątkiem będzie sytu­acja, w której dany podmiot spełnia przesłanki do wyłącze­nia spod tego obowiązku i przejście na tryb rejestracyjny. Biorąc pod uwagę fakt, iż banki spółdzielcze posiadają już takie zezwolenia, wydaje się, że już na wstępie obowiązy­wania nowych przepisów będą one miały pewną przewagę nad podmiotami, które będą chciały zostać dopiero TPP.

Odpowiedzialność TPP

Wprowadzenie osoby trzeciej – pośrednika między wierzycielem a dłużnikiem – może powodować problemy prawne – do których zaliczamy ochronę danych (i ich udo­stępnianie w kontekście tajemnicy bankowej oraz umowy z dostawcą usług), zakres prywatności użytkownika usługi płatniczej oraz zapobieganie oszustwom (np. phishing) – wynikające z dostępu podmiotów trzecich do rachunku bankowego użytkownika usługi płatniczej, jak również problemy z ustaleniem odpowiedzialności za nieautoryzo­wane transakcje.

Masowość transakcji oraz korzystanie przez banki z oprogramowania w chmurze podnoszą znaczenie tych problemów. Interesy użytkownika usługi płatniczej powin­ny zostać zabezpieczone poprzez podpisanie odpowiednich umów z TPP (zawierających ograniczenie dostępu do ra­chunków płatniczych), przyjęcie rekomendacji pochodzą­cych z SecuRe Pay Forum, zapewnienie bezpieczeństwa poprzez przeciwdziałanie phishingowi, posiadanie od­powiednich warunków dostępu do swoich kont, objęcie tego typu transakcji kompensacyjnym poziomem opłat, jak również utworzenie przez IP rezerwy na potencjalnie mogące wystąpić straty.

Modyfikacja zasad odpowiedzialności za nieautoryzowaną transakcję

W dyrektywie PSD2 ograniczono odpowiedzialność płatnika za nieautoryzowaną transakcję poprzez ustanowie­nie domniemania, iż działał w dobrej wierze. To zasadnicza zmiana w stosunku do zapisów dyrektywy PSD1. W przy­padku nieautoryzowanej transakcji odpowiedzialność po­nosić będzie w całości dostawca usługi. Na nim spoczywać będzie ciężar udowodnienia złej wiary płatnika. Celem tej zmiany jest szersze stosowanie przez dostawcę usługi meto­dy silnego uwierzytelniania klienta (ang. strong customer authentication – SCA) jako skuteczniejszej metody wery­fikacji tożsamości płatnika. Uwierzytelnienie powinno być oparte na co najmniej dwóch poziomach, tj.: 1. wiedzy (coś, o czym wie tylko użytkownik, np. dane logowania), 2. posiadaniu (coś, co posiada wyłącznie użytkownik, np. kod SMS), 3. cechach klienta (coś, co charakteryzuje użyt­kownika). Ma ono być uniwersalne dla wszystkich trans­akcji online dla kwoty powyżej 10 euro. W innych przy­padkach zmniejszono próg odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami płatniczymi ze 150 do 50 euro.

Szansa czy zagrożenie?

Postanowienia dyrektywy PSD2 mają istotne znaczenie w kontekście funkcjonowania banków spółdzielczych. Na­leży rozważyć jej postanowienia zarówno co do korzyści, jak i pojawiających się potencjalnych ryzyk, jakie niesie dla ich działalności. Postanowienia dyrektywy PSD2 powodu­ją zwiększenie pewności prawnej związanej ze zmianami, jakie zaszły na rynku płatności w sektorze finansowym w zakresie regulacji statusu TPP, ochrony prywatności w kontekście dostępu do rachunku bankowego płatnika przez TPP czy podziału odpowiedzialności pomiędzy TPP a dostawcami zasadniczej usługi płatniczej.

Analizując korzyści, ważne jest, aby banki spółdzielcze nie pozostały jedynie dostawcami struktur oraz danych dla firm z branży fintech, same powinny przejąć rolę TPP. Banki mogą stworzyć własną infrastrukturę (wykorzystu­jąc już istniejącą) i podjąć wyzwanie, jakim jest ta forma obsługi swoich klientów. Jednocześnie powinny zwrócić uwagę na otwarcie API (czyli udostępnianie usług i danych osobom trzecim) przez inne banki, aby poprzez ten kanał mieć możliwość uzyskania od innych dostawców usług in­formacji o nowych klientach.

Może się to dla banków spółdzielczych wiązać z przyję­ciem proaktywnej strategii, a w konsekwencji zmianą mo­delu biznesowego, w tym rozszerzeniem oferty produkto­wej i usługowej, jak również integracją z podmiotami trze­cimi. Optymalna ich strategia powinna być zorientowana na współpracę banków i fintechów. Stanowią one bowiem niewielkie podmioty gospodarcze, niedysponujące często niezbędnymi kapitałami, aby zrealizować rozwojowe pro­jekty w zakresie dostarczania usług płatniczych. W związ­ku z tym, wysoce prawdopodobny jest scenariusz, w któ­rym banki będą od nich czerpać pomysły i rozwiązania, a w zamian będą dzielić się z nimi danymi. W rezultacie, możliwy jest scenariusz konkurencji nie między bankami a fintechami, a w istocie konkurencji pomiędzy bankami zasilonymi przez informacje z różnych fintechów.

Dodatkowo AIS będzie realizowana nie tylko na rynku konsumenckim, ale także korporacyjnym, który pozostaje właściwą dziedziną multibankingu, co powoduje, iż oferta multibankingu może być skierowana również do klientów biznesowych – i to banki spółdzielcze powinny uwzględnić w ramach swojej strategii.

Wraz z coraz bardziej powszechną digitalizacją klien­tów oraz wymianą pokoleniową, jaka wśród nich następu­je, postanowienia dyrektywy PSD2 stanowią dla banków spółdzielczych szansę, gdyż – biorąc pod uwagę relacyjny charakter bankowości spółdzielczej – jest większe praw­dopodobieństwo, iż ich klienci pozostaną użytkownikami PIS albo AIS w formule zaproponowanej przez nie, a nie przejdą do innych podmiotów oferujących te usługi. Jed­nak istotne jest, aby banki spółdzielcze miały przygotowa­ną ofertę do zmieniającej się na naszych oczach rzeczywi­stości. Warto, by rozważyły poszerzenie skali działalności oraz postawiły na elastyczność niezbędną do przejęcia no­wych grup klientów. Dzięki temu zwiększą się możliwości udzielania kredytów gotówkowych przez banki spółdziel­cze nowym klientom. Informacje o ich zdolności kredy­towej będą bowiem dla nich dostępne, podobnie jak dziś dane o dotychczasowych klientach.

Ryzyko, jakie może wystąpić, związane jest z koniecz­nością zapewnienia przez banki spółdzielcze odpowied­niej infrastruktury technicznej, w tym również zadbanie o odpowiednie środki bezpieczeństwa płatności. Zgodnie z Projektem, płatnik będzie miał bowiem uprawnienie do wniesienia skargi do KNF oraz Rzecznika Finansowego na działanie dostawcy usługi.

Należy również wziąć pod uwagę, że przedmiotowe regulacje – ze względu na ich zakres oraz stopień skom­plikowania – wymagają dużej wiedzy i doświadczenia. Ważna z punktu widzenia interesów banków spółdziel­czych jest współpraca z odpowiednimi ekspertami, którzy dzięki swojej wiedzy i doświadczeniu będą mogli skutecz­nie wesprzeć działania podejmowane przez nie w związku z implementacją dyrektywy PSD2. Zapewniając im przy tym bezpieczne z prawnego punktu widzenia wdrożenia nowych rozwiązań i technologii.