Prawo: PSD2 – szansa czy zagrożenie dla banków spółdzielczych?

NBS 2017/10

Jedną z najważniejszych zmian przewidzianych w dyrektywie PSD2 jest wprowadzenie nowej kategorii podmiotu oferującego usługi e-commerce, tzw. Third Party Providers (TPP), czyli dostawcy usługi płatniczej, będącego osobą trzecią w stosunku do użytkownika zasadniczej usługi płatniczej (często określanego jako tzw. fintech).

Jedną z najważniejszych zmian przewidzianych w dyrektywie PSD2 jest wprowadzenie nowej kategorii podmiotu oferującego usługi e-commerce, tzw. Third Party Providers (TPP), czyli dostawcy usługi płatniczej, będącego osobą trzecią w stosunku do użytkownika zasadniczej usługi płatniczej (często określanego jako tzw. fintech).

Agnieszka Serzysko

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrzne­go, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. L 337/35, 23.12.2015, s. 35–127), zwana w skrócie dyrektywą PSD2, została przyjęta 13 stycznia 2016 r., z terminem im­plementacji do 13 stycznia 2018 r. To odpowiedź na zmia­ny, jakie zaszły na rynku płatności w sektorze finansowym, w szczególności płatności realizowanych przy użyciu kart, przez internet i za pośrednictwem urządzeń przenośnych (tzw. usługi e-commerce).

Rynek ten, rozproszony na obszary wyznaczone gra­nicami poszczególnych państw, nie został objęty zakre­sem Dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płat­niczych w ramach rynku wewnętrznego zmieniającej dy­rektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/ WE i uchylająca dyrektywę 97/5/WE (Dz.U. L 319, 5.12.2007, s. 1–36), co ujawniło potrzebę aktualizacji unijnego porządku prawnego. Dyrektywa PSD2 ujedno­lica zasady realizacji transakcji płatniczych w państwach Europejskiego Obszaru Gospodarczego. Projekt ustawy implementującej postanowienia dyrektywy PSD2 pozo­staje obecnie w fazie opiniowania i konsultacji publicz­nych (dalej – Projekt, przyp. red.).

Nowe podmioty w formule TPP

W dyrektywie PSD2 proponuje się nowy podział do­stawców usług płatniczych na tzw. ASPSP (podmioty pro­wadzące rachunki dla użytkowników usługi płatniczej, czy­li np. banki spółdzielcze) oraz NON-ASPSP (podmioty, które takich rachunków nie prowadzą). W konsekwencji rozszerzono katalog usług płatniczych o dwa nowe typy:
  • usługę zapewniającą dostęp do informacji o rachunku (account information services, AIS),
  • usługę inicjowania płatności (pay­ment initiation services, PIS).
Pierwszy rodzaj usługi (AIS) obej­muje swym zakresem gromadzenie danych z różnych kont bankowych płatnika w jednym miejscu. W ra­mach AIS dostawca usługi zbiera, po­przez uzyskanie dostępu do rachun­ków płatnika, informacje dotyczące zgromadzonych na nich środków pie­niężnych i tworzy raport z konta płat­nika zawierający dane poświadczające dostępność środków koniecznych do dokonania transakcji poprzez stronę WWW lub aplikacje mobilne (typu smartphone-App).

Drugi rodzaj usługi (PIS) obej­muje swym zakresem inicjowanie przelewów bankowych. W ramach PIS dostawca usługi, za pomocą po­świadczeń przekazanych mu przez płatnika, sprawdza dostępność środ­ków pieniężnych na jego rachunku, dokonuje inicjacji płatności, a na­stępnie uzyskuje potwierdzenie, że płatność została dokonana. W ten sposób tworzony jest kanał komuni­kacyjny, poprzez który płatnik auto­ryzuje płatność bezpośrednio lub za pomocą specjalnego instrumentu autentyfikacyjnego wo­bec sprzedawcy, który obciąża rachunek płatnika.
Agnieszka Serzysko Radca prawny. Doktor nauk prawnych. Specjalizuje się w prawie bankowym, prawie restrukturyzacyjnym, prawie handlowym, ze szczególnym uwzględnieniem transakcji finansowania, w tym transakcji na rynku kapitałowym. Uczestnik licznych międzynarodowych i krajowych projektów finansowań, wieloletni pracownik instytucji finansowej

TPP wobec architektury IT banków spółdzielczych

Na podmioty, które prowadzą rachunki płatnicze, w tym banki spółdzielcze, dyrektywa PSD2 nakłada obo­wiązek bezpiecznego udostępniania danych zewnętrznym podmiotom trzecim. W konsekwencji każdy bank będzie miał obowiązek przygotowania API, z których będą mo­gły korzystać TPP. Po otrzymaniu zlecenia płatniczego za pośrednictwem TPP, banki przekażą lub udostępnią im wszystkie informacje o zainicjowaniu transakcji płatni­czej oraz informacje dostępne dostawcy usługi płatniczej prowadzącemu rachunek dotyczące wykonania transakcji. Dostawca prowadzący rachunek zapewni bezpieczny spo­sób komunikacji pomiędzy nim a TPP. Taka forma dzia­łania może początkowo wzbudzać nieufność wobec TPP niebędących bankami. Wielu klientów może bowiem wy­bierać usługi AIS i PIS świadczone przez banki spółdzielcze z uwagi na wyższy poziom bezpieczeństwa i zaufania do tradycyjnego sektora bankowego.

Status prawny TPP

Istotną kwestią pozostaje regulacja statusu prawnego TPP. Z analizy zapisów Projektu wynika, iż wszystkie TPP, będą co do zasady podlegały reżimowi autoryzacyjnemu tak, jak instytucje płatnicze (IP). Wyjątkiem będzie sytu­acja, w której dany podmiot spełnia przesłanki do wyłącze­nia spod tego obowiązku i przejście na tryb rejestracyjny. Biorąc pod uwagę fakt, iż banki spółdzielcze posiadają już takie zezwolenia, wydaje się, że już na wstępie obowiązy­wania nowych przepisów będą one miały pewną przewagę nad podmiotami, które będą chciały zostać dopiero TPP.

Odpowiedzialność TPP

Wprowadzenie osoby trzeciej – pośrednika między wierzycielem a dłużnikiem – może powodować problemy prawne – do których zaliczamy ochronę danych (i ich udo­stępnianie w kontekście tajemnicy bankowej oraz umowy z dostawcą usług), zakres prywatności użytkownika usługi płatniczej oraz zapobieganie oszustwom (np. phishing) – wynikające z dostępu podmiotów trzecich do rachunku bankowego użytkownika usługi płatniczej, jak również problemy z ustaleniem odpowiedzialności za nieautoryzo­wane transakcje.Masowość transakcji oraz korzystanie przez banki z oprogramowania w chmurze podnoszą znaczenie tych problemów. Interesy użytkownika usługi płatniczej powin­ny zostać zabezpieczone poprzez podpisanie odpowiednich umów z TPP (zawierających ograniczenie dostępu do ra­chunków płatniczych), przyjęcie rekomendacji pochodzą­cych z SecuRe Pay Forum, zapewnienie bezpieczeństwa poprzez przeciwdziałanie phishingowi, posiadanie od­powiednich warunków dostępu do swoich kont, objęcie tego typu transakcji kompensacyjnym poziomem opłat, jak również utworzenie przez IP rezerwy na potencjalnie mogące wystąpić straty.

Modyfikacja zasad odpowiedzialności za nieautoryzowaną transakcję

W dyrektywie PSD2 ograniczono odpowiedzialność płatnika za nieautoryzowaną transakcję poprzez ustanowie­nie domniemania, iż działał w dobrej wierze. To zasadnicza zmiana w stosunku do zapisów dyrektywy PSD1. W przy­padku nieautoryzowanej transakcji odpowiedzialność po­nosić będzie w całości dostawca usługi. Na nim spoczywać będzie ciężar udowodnienia złej wiary płatnika. Celem tej zmiany jest szersze stosowanie przez dostawcę usługi meto­dy silnego uwierzytelniania klienta (ang. strong customer authentication – SCA) jako skuteczniejszej metody wery­fikacji tożsamości płatnika. Uwierzytelnienie powinno być oparte na co najmniej dwóch poziomach, tj.: 1. wiedzy (coś, o czym wie tylko użytkownik, np. dane logowania), 2. posiadaniu (coś, co posiada wyłącznie użytkownik, np. kod SMS), 3. cechach klienta (coś, co charakteryzuje użyt­kownika). Ma ono być uniwersalne dla wszystkich trans­akcji online dla kwoty powyżej 10 euro. W innych przy­padkach zmniejszono próg odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami płatniczymi ze 150 do 50 euro.

Szansa czy zagrożenie?

Postanowienia dyrektywy PSD2 mają istotne znaczenie w kontekście funkcjonowania banków spółdzielczych. Na­leży rozważyć jej postanowienia zarówno co do korzyści, jak i pojawiających się potencjalnych ryzyk, jakie niesie dla ich działalności. Postanowienia dyrektywy PSD2 powodu­ją zwiększenie pewności prawnej związanej ze zmianami, jakie zaszły na rynku płatności w sektorze finansowym w zakresie regulacji statusu TPP, ochrony prywatności w kontekście dostępu do rachunku bankowego płatnika przez TPP czy podziału odpowiedzialności pomiędzy TPP a dostawcami zasadniczej usługi płatniczej.Analizując korzyści, ważne jest, aby banki spółdzielcze nie pozostały jedynie dostawcami struktur oraz danych dla firm z branży fintech, same powinny przejąć rolę TPP. Banki mogą stworzyć własną infrastrukturę (wykorzystu­jąc już istniejącą) i podjąć wyzwanie, jakim jest ta forma obsługi swoich klientów. Jednocześnie powinny zwrócić uwagę na otwarcie API (czyli udostępnianie usług i danych osobom trzecim) przez inne banki, aby poprzez ten kanał mieć możliwość uzyskania od innych dostawców usług in­formacji o nowych klientach.Może się to dla banków spółdzielczych wiązać z przyję­ciem proaktywnej strategii, a w konsekwencji zmianą mo­delu biznesowego, w tym rozszerzeniem oferty produkto­wej i usługowej, jak również integracją z podmiotami trze­cimi. Optymalna ich strategia powinna być zorientowana na współpracę banków i fintechów. Stanowią one bowiem niewielkie podmioty gospodarcze, niedysponujące często niezbędnymi kapitałami, aby zrealizować rozwojowe pro­jekty w zakresie dostarczania usług płatniczych. W związ­ku z tym, wysoce prawdopodobny jest scenariusz, w któ­rym banki będą od nich czerpać pomysły i rozwiązania, a w zamian będą dzielić się z nimi danymi. W rezultacie, możliwy jest scenariusz konkurencji nie między bankami a fintechami, a w istocie konkurencji pomiędzy bankami zasilonymi przez informacje z różnych fintechów.Dodatkowo AIS będzie realizowana nie tylko na rynku konsumenckim, ale także korporacyjnym, który pozostaje właściwą dziedziną multibankingu, co powoduje, iż oferta multibankingu może być skierowana również do klientów biznesowych – i to banki spółdzielcze powinny uwzględnić w ramach swojej strategii.Wraz z coraz bardziej powszechną digitalizacją klien­tów oraz wymianą pokoleniową, jaka wśród nich następu­je, postanowienia dyrektywy PSD2 stanowią dla banków spółdzielczych szansę, gdyż – biorąc pod uwagę relacyjny charakter bankowości spółdzielczej – jest większe praw­dopodobieństwo, iż ich klienci pozostaną użytkownikami PIS albo AIS w formule zaproponowanej przez nie, a nie przejdą do innych podmiotów oferujących te usługi. Jed­nak istotne jest, aby banki spółdzielcze miały przygotowa­ną ofertę do zmieniającej się na naszych oczach rzeczywi­stości. Warto, by rozważyły poszerzenie skali działalności oraz postawiły na elastyczność niezbędną do przejęcia no­wych grup klientów. Dzięki temu zwiększą się możliwości udzielania kredytów gotówkowych przez banki spółdziel­cze nowym klientom. Informacje o ich zdolności kredy­towej będą bowiem dla nich dostępne, podobnie jak dziś dane o dotychczasowych klientach.Ryzyko, jakie może wystąpić, związane jest z koniecz­nością zapewnienia przez banki spółdzielcze odpowied­niej infrastruktury technicznej, w tym również zadbanie o odpowiednie środki bezpieczeństwa płatności. Zgodnie z Projektem, płatnik będzie miał bowiem uprawnienie do wniesienia skargi do KNF oraz Rzecznika Finansowego na działanie dostawcy usługi.Należy również wziąć pod uwagę, że przedmiotowe regulacje – ze względu na ich zakres oraz stopień skom­plikowania – wymagają dużej wiedzy i doświadczenia. Ważna z punktu widzenia interesów banków spółdziel­czych jest współpraca z odpowiednimi ekspertami, którzy dzięki swojej wiedzy i doświadczeniu będą mogli skutecz­nie wesprzeć działania podejmowane przez nie w związku z implementacją dyrektywy PSD2. Zapewniając im przy tym bezpieczne z prawnego punktu widzenia wdrożenia nowych rozwiązań i technologii.
Udostępnij artykuł: