50 największych banków w Polsce 2016: Dyrektywa PSD2 a sektor bankowy

BANK 2016/06

Każda nowa regulacja, nawet jeśli nie wprowadza zasadniczych zmian dla sektora finansowego, wiąże się często przynajmniej z koniecznością przemodelowania strategii biznesowej. Wydaje się, że nowa dyrektywa w sprawie usług płatniczych (PSD2) wprowadzić może znaczące zmiany na rynku.

Każda nowa regulacja, nawet jeśli nie wprowadza zasadniczych zmian dla sektora finansowego, wiąże się często przynajmniej z koniecznością przemodelowania strategii biznesowej. Wydaje się, że nowa dyrektywa w sprawie usług płatniczych (PSD2) wprowadzić może znaczące zmiany na rynku.

Bohdan Szafrański

Podsumowując regulacje przyjęte w dyrektywie PSD2, można w skrócie powiedzieć, że dostosowuje się tylko dyrektywę PSD do zmian technologicznych, jakie zaszły w płatnościach elektronicznych i po pojawieniu się nowych usług na rynku. Nasz parlament przyjął dyrektywę 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) 23 grudnia 2015 r. Wśród wprowadzanych zmian znalazły się m.in. rozszerzenie zakresu wymogów informacyjnych i dotyczących transparentności również na transakcje płatnicze tzw. one- -leg transactions, gdy tylko jeden z dostawców usługi znajduje się w Europejskim Obszarze Gospodarczym (EOG). Powiększono katalog dostawców usług płatniczych o świadczących usługi inicjowania transakcji płatniczych oraz dostarczania informacji o rachunku płatniczym przez podmiot, który ma dostęp do rachunku, ale go nie prowadzi. Częściowo uregulowano również usługi wydawania instrumentów płatniczych (np. kart) do rachunków prowadzonych przez inny podmiot.

Obowiązki, obowiązki...

Warto tu zauważyć, że w dyrektywie zaznaczono, że usługodawca inicjujący usługę płatniczą (jeśli nie ma szerszej licencji związanej np. z wymogiem zabezpieczenia w formie funduszy własnych) nie będzie mógł wchodzić w posiadanie środków związanych z realizacją transakcji, choć jest zobowiązany do zabezpieczenia poufności danych, nieprzetrzymywania ich oraz autentykacji tożsamości w stosunku do podmiotu prowadzącego rachunek. Zakazano takim podmiotom modyfikowania cech transakcji, w tym zwłaszcza jej kwoty transakcji i danych odbiorcy.

Również na dostawców świadczących usługi dostępu do informacji o rachunku, nałożono podobne ograniczenia. European Banking Authority (EBA), przy współpracy z EBC, ma opracować zasady autentykacji i wymiany komunikatów pomiędzy podmiotem inicjującym oraz prowadzącym rachunek. Opracowany standard techniczny zostanie przyjęty przez Komisję Europejską. W PSD2 zdefiniowano acquiring, obejmując nim modele biznesowe z wieloma agentami rozliczeniowymi. Zakłada się też tworzenie elektronicznych punktów dostępu w ramach EBA (zwiększenie transparentności działania instytucji płatniczych w UE).

Warto przy okazji przypomnieć, że 26 czerwca 2017 r. upływa termin implementacji do prawa krajowego przepisów dyrektywy AML IV (Dyrektywa Parlamentu Europejskiego i Rady UE 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu). Obejmie ona dostawców usług płatniczych, oferujących zgodnie z PSD2 usługi płatnicze polegające na inicjowaniu płatności - PIS (payment initiation service) oraz zapewnianiu dostępu do informacji o rachunku - AIS (account information service) często określanych też jako TPP (Third Party Providers). W ocenie przygotowanej przez specjalistów firmy Deloitte, instytucje finansowe za nieprzestrzeganie zasad - choć nie wszystkie wymogi AML IV będą się do nich stosowały - czekać mogą znacznie wyższe niż dotychczas kary. Kraje członkowskie będą mogły też nakładać na te podmioty większe wymogi, niż wynika to z samej dyrektywy.

Dla banków oznacza to, że podmioty, które w zakresie płatności elektronicznych mogą rywalizować z nimi na rynku, będą musiały stosować się do podobnych regulacji i ponosić związane z tym koszty. W PSD2 zakazano nakładania opłaty surcharge na transakcje kartowe (podlegające ograniczeniom opłaty interchange) i nie można przekraczać rzeczywistych kosztów poniesionych na obsługę takich transakcji. Przy czym kraje członkowskie mogą zakazać lub ograniczyć pobieranie przez odbiorcę opłaty surcharge np. w celu promowania wybranych instrumentów płatniczych. Ważnym elementem związanym z implementacją PSD2 jest podział odpowiedzialności dostawców i użytkowników usługi płatniczej w przypadku transakcji nieautoryzowanych. Z wyjątkiem ewidentnej winy płatnika (udostępnienie kodu PIN, niezastrzeżenie skradzionej czy utraconej karty lub innego instrumentu płatniczego itp.) ograniczono kwotę odpowiedzialności instytucji ze 150 euro do 50 euro. Zmianie uległy też zasady zwrotu autoryzowanego polecenia zapłaty. W opublikowanym w maju przez NBP "Ocenie funkcjonowania polskiego systemu płatniczego w II półroczu 2015 r." wymieniono jako budzące wątpliwości nowe usługi płatnicze polegające na inicjowaniu transakcji płatniczych oraz dostarczaniu informacji o rachunku płatniczym przez podmioty, które go nie prowadzą. Podmioty te będą mogły wykonywać tego typu usługi bez umowy z dostawcami, którzy prowadzą rachunki płatnicze, stosując się do wymogów, które zostaną opracowane w regulacyjnych standardach EBA przyjętych następnie przez Komisję Europejską. Według autorów publikacji dyskusyjny jest proponowany model odpowiedzialności za transakcje inicjowane z rachunku płatniczego przez podmioty trzecie, czyli pierwszeństwo odpowiedzialności podmiotu, który prowadzi rachunek. Za dobre dla rynku rozwiązanie uznano zmniejszenie do 50 euro kwoty odpowiedzialności płatnika za nieautoryzowane transakcje oraz wprowadzenie wymogu, by podmiot ubiegający się o wydanie zezwolenia na działalność w charakterze instytucji płatniczej w państwie członkowskim prowadził przynajmniej część swojej działalności związanej z usługami płatniczymi w danym państwie.

Wojciech Humiński
wiceprezes zarządu Euro Banku S.A.

Zmiany w zakresie PSD2 zwiększą konkurencję na rynku usług finansowych. Klienci otrzymają możliwość korzystania m.in. z instytucji płatniczych, które będą mogły prowadzić rachunki, ale także wydawać karty czy udzielać kredytów. Jest to wyzwanie dla banków z perspektywy konkurencyjności, ale również wymogów bezpieczeństwa - spełniania restrykcyjnych wymogów bezpieczeństwa dla inicjacji i przetwarzania płatności elektronicznych. Zmiany mogą pogłębić szeroką debatę dotyczącą umożliwienia przez banki dostępu do rachunku bankowego dla podmiotów trzecich.

Czy trzeba się obawiać?

W minionych latach banki musiały zmierzyć się nie tylko z nowymi regulacjami, ale też pojawiło się wiele usług, które wykorzystywały nowe technologie. Jednak nie miało to znaczącego wpływu na sektor. Podstawą do opracowywania nowych regulacji było i jest zwiększenie bezpieczeństwa obrotu finansowego. Jeśli inne podmioty chcą w nim uczestniczyć, to również zaczynają podlegać ograniczeniom. Tak jest też w przypadku tzw. stron trzecich i regulacji zawartych w PSD2. Nie wszystkie technologiczne nowinki przetrwały próbę czasu. W 2013 r. wydawało się, że atrakcyjnym sposobem dostępu do konta bankowego może być aplikacja zainstalowana w telewizorze. Bank Zachodni WBK przygotował nawet aplikację do obsługi bankowości internetowej poprzez telewizor Smart TV Samsunga. Okazało się, że zainteresowanie klientów taką usługą nie było duże. Rozwój urządzeń mobilnych spowodował, że dużo wygodniej korzystać z nich niż z telewizora. Z kolei usługa screen scraping, polegająca na pobieraniu danych z systemu bankowości internetowej banków (historii operacji) miała umożliwiać badanie zdolności kredytowej klienta konkurencyjnego banku, a nawet przenosić całe ROR-y jednym kliknięciem. Nie zgodził się na to w 2014 r. KNF, twierdząc, że udostępnianie danych przez klienta do jego konta w banku innemu bankowi stanowi zagrożenie bezpieczeństwa.

UKNF wydał ostatnio ostrzeżenie przed dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych. Zwraca w nim uwagę na ryzyko związane z podawaniem danych umożliwiających logowanie do rachunku bankowego, zlecanie przelewów oraz pobieranie historii rachunku podmiotom innym niż bank, w którym prowadzony jest dany rachunek. Jako przykład podano, że niektóre sklepy internetowe umożliwiają nabywcom płatność z przekierowywaniem na stronę pośrednika. Tam przekazuje się dane do logowania do własnego rachunku bankowego (login/ identyfikator oraz hasło), a ponieważ warunkiem realizacji zleconej płatności on-line jest najczęściej podanie dodatkowego hasła jednorazowego, to pośrednik również tego wymaga. Pośrednicy często zastrzegają sobie również prawo do odczytania salda konta posiadacza rachunku oraz sprawdzenia historii transakcji na nim, dla sprawdzenia, czy przeprowadzane były na nim uprzednio transakcje za ich pośrednictwem. Jako ryzyka dla klienta UKNF wymienia: ●naruszenie umowy o prowadzenie rachunku bankowego oraz regulaminu, który stanowi integralną część umowy (klient jest zobowiązany do zachowania poufności i ochrony przed dostępem osób trzecich do danych identyfikacyjnych, czyli loginu i hasła) ● utratę prawa do reklamacji nieautoryzowanych transakcji, bowiem ujawnienie danych logowania może stanowić naruszenie umowy o prowadzenie rachunku. To również dla klientów ryzyko utraty kontroli nad środkami przechowywanymi na rachunku, nad danymi osobowymi i zakresem ich wykorzystania.

Z kolei banki, instytucje płatnicze i SKOK-i (podmioty nadzorowane przez KNF), jak podaje urząd, obowiązuje jego rekomendacja z listopada 2015 r. dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, instytucje płatnicze i SKOK-i (w szczególności punkty 6.2 i 6.3). To pokazuje, jak ważne jest uregulowanie takich praktyk poprzez wdrożenie PSD2. Wydane przez KNF ostrzeżenie dowodzi, że tzw. strony trzecie pojawiają się na rynku płatności.

Środowisko bankowe podchodzi do nowych regulacji ze spokojem. Jeszcze nie tak dawno straszono, że znaczną część biznesu banków przejmą telekomy. Nic takiego się nie stało. Również banki próbowały zaistnieć na rynku telefonii komórkowej (operator wirtualny MVNO) - również bez sukcesu. Dlatego zamiast niszczącej obie strony konkurencji zdecydowano się dziś na bliską współpracę. Jak się okazuje, najlepiej koncertować się na podstawowej działalności i uatrakcyjniać ofertę poprzez współpracę z innymi branżami.

Jak mnie poinformowano, ING Bank Śląski analizuje zapisy dyrektywy PSD2 zarówno pod kątem obligatoryjnych zamian, jak i pod kątem możliwości wynikających z nowych serwisów, które będą zgodnie z nią udostępniane. Dyrektywa, zdaniem banku, będzie miała znaczny wpływ w dłuższej perspektywie na obszar płatności po stronie banków, jak i innych dostawców. Z kolei Katarzyna Perkuszewska z Departamentu Strategii Banku w PKO BP jest przekonana, że dyrektywa PSD2 zasadniczo zwiększy konkurencję na rynku płatności. Jej zdaniem, ważnym aspektem wdrażania będą kwestie związane z zapewnieniem bezpieczeństwa danych klientów, udostępnianych podmiotom realizującym płatności, a to oznacza wyższe nakłady na infrastrukturę.

Dla banków wdrożenie dyrektywy wiąże się z przygotowaniem otwartego dostępu do interfejsów systemów bankowych. Z tym również wiążą się koszty. Muszą one przygotować się na to, że utracą wyłączność na zgromadzone przez siebie (czasem przez wiele lat) dane klientów. Dyrektywa nie wyklucza, by bank występował także w roli TPP i w ten sposób pozyskiwał dodatkowe informacje oraz klientów. Trzeba przygotować się do prowadzenia biznesu w warunkach otwartej bankowości, bo taka czeka nas przyszłość.

 

Udostpnij artyku: