Rynek Finansowy: Nowe ramy rynku płatności w UE

BANK 2018/01

Nowe rozwiązania i możliwości techniczne, a także idące za nimi potrzeby normowania i walki z nadużyciami powodują, że regulacje rynku usług płatniczych muszą być nowelizowane, by odpowiednio spełniały swoją rolę – zapewniały bezpieczeństwo i umożliwiały rozwój innowacyjnych rozwiązań. W 2018 r. w życie wchodzi nowa dyrektywa o usługach płatniczych (PSD2) oraz jej przepisy wykonawcze, w skrócie określane jako RTS.

Nowe rozwiązania i możliwości techniczne, a także idące za nimi potrzeby normowania i walki z nadużyciami powodują, że regulacje rynku usług płatniczych muszą być nowelizowane, by odpowiednio spełniały swoją rolę – zapewniały bezpieczeństwo i umożliwiały rozwój innowacyjnych rozwiązań. W 2018 r. w życie wchodzi nowa dyrektywa o usługach płatniczych (PSD2) oraz jej przepisy wykonawcze, w skrócie określane jako RTS.

image

Piotr Gałązka

jest adwokatem, dyrektorem Przedstawicielstwa Związku Banków Polskich w Brukseli.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (dyrektywa o usługach płatniczych 2, ang. Payment Services Directve 2, w skrócie PSD2) została uchwalona przez legislatorów unijnych pod koniec 2015 r. i weszła w życie w styczniu 2016 r. Państwa członkowskie miały dwa lata na jej implementację do poszczególnych krajowych porządków prawnych – termin ten upływa 12 stycznia 2018 r.

Prace nad nią zostały wszczęte ze względu na znaczne postępy w integracji płatności detalicznych w UE od czasu uchwalenia dyrektywy PSD1. W konsekwencji zaistniałe zmiany stały się źródłem istotnych wyzwań z regulacyjnego punktu widzenia. Wynika to z faktu, że wiele nowych usług płatniczych nie wchodzi w zakres PSD1, a jej zakres stosowania stał się w niektórych przypadkach zbyt ogólny. Doprowadziło to do braku pewności prawa, związanych z tym ryzyk dla bezpieczeństwa w płatności oraz braku odpowiedniej ochrony konsumentów w pewnych obszarach. Tyle stanowi preambuła PSD2. Zasadniczo chodzi przede wszystkim o to, że korzystając z usług płatniczych, płacimy więcej, częściej i stosujemy różne rozwiązania oferowane przez różne podmioty, nie tylko banki. Dzięki rozwojowi internetu płatności dokonuje się coraz łatwiej i wygodniej – może to jednak rodzić również zagrożenia cyberbezpieczeństwa płatników. Ponieważ od 2007 r. postęp był tak znaczący, niezbędne okazało się dostosowanie obecnie obowiązujących przepisów do rzeczywistości.

Równie ważnym, co sama dyrektywa, elementem nowej regulacji są także przepisy wykonawcze. Po pierwsze, są to regulacyjne standardy techniczne, opracowane przez European Banking Authority, a będące z formalnego punktu widzenia rozporządzeniami delegowanymi Komisji Europejskiej. Po drugie, wytyczne EBA zawierają wskazówki dla organów nadzorczych w poszczególnych państwach członkowskich UE. Za najistotniejsze z tychże przepisów wykonawczych należy uznać rozporządzenie delegowane KE z 27 listopada 2017 r. dotyczące zasad stosowania silnego uwierzytelnienia klienta oraz standardów komunikacji między podmiotami rynku płatności (Commission delegated regulation supplementing Directive 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication).

W niniejszym artykule omówimy kilka najważniejszych zmian, które przynosi pakiet regulacyjny PSD2 – wprowadzenie obowiązku stosowania silnego uwierzytelnienia klienta oraz stworzenie nowych rodzajów instytucji na rynku płatności w przepisach prawa UE.

Silne uwierzytelnienie klienta

Przede wszystkim warto zwrócić uwagę na wprowadzenie obowiązku przeprowadzania silnego uwierzytelnienia klienta (SCA – ang. strong customer authentication). Chodzi tu o uwierzytelnienie dwuskładnikowe, tzn. takie, które identyfikuje zlecającego płatność za pomocą co najmniej dwóch różnych metod. Do tej pory obowiązek przeprowadzania SCA nie wynikał z przepisów prawa powszechnie obowiązującego, lecz z rekomendacji organów nadzoru.

Trzeba podkreślić, że muszą tu zaistnieć dwa elementy z różnych kategorii – wiedzy (informacji, którą zna zlecający), posiadania (przedmiotu będącego w posiadaniu zlecającego, np. hasło jednorazowe wysłane na telefon komórkowy) bądź cechy (np. biometrycznej). Elementy te muszą być niezależne od siebie w taki sposób, że naruszenie poufności jednego z nich nie narusza wiarygodności innych. Obowiązek stosowania SCA przez dostawcę usług płatniczych istnieje wtedy, gdy płatnik uzyskuje dostęp do swojego rachunku płatniczego w trybie online, inicjuje elektroniczną transakcję płatniczą albo przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Dodatkowe wymogi techniczne w zakresie zasad stosowania SCA określa RTS z 27 listopada 2017 r. Warto tutaj w szczególności zwrócić uwagę na szczegółowe warunki odnośnie dynamicznych kodów autoryzacyjnych, które wymagają m.in., aby wiadomość z kodem jednoznacznie wskazywała beneficjenta płatności oraz jej kwotę, a także aby jakakolwiek zmiana kwoty bądź beneficjenta płatności unieważniała wygenerowany kod.

Ponadto RTS określa wyłączenia z obowiązku stosowania SCA. Tytułem przykładu warto przede wszystkim podać dostęp do rachunku online, gdy uzyskuje się dostęp jedynie do salda bądź transakcji z ostatnich 90 dni, zaś w przypadku transakcji zbliżeniowych – gdy opiewa ona na kwotę poniżej 50 euro, a łączna liczba i wartość wszystkich transakcji od ostatniego silnego uwierzytelnienia klienta nie przekracza odpowiednio pięciu transakcji i 150 euro. W przypadku płatności zdalnych wartość pojedynczej transakcji określono na 30 euro, a łączną ich wartość od ostatniego SCA na kwotę 100 euro. Z obowiązku stosowania SCA wyłączone są również, z powodów praktycznych, płatności z listy określonych przez płatnika zaufanych beneficjentów, płatności powtarzające się i płatności dokonywane w terminalach za opłaty parkingowe i bilety.

PSD2 wprowadza zmianę w zakresie rozporządzania danymi do dostępu do rachunku płatniczego online. Do tej pory klient mógł jedynie samodzielnie logować się nimi do bankowości elektronicznej. Po implementacji dyrektywy klient będzie mógł podać swoje dane PISP i AISP.

Nowe instytucje płatnicze

Przepisy PSD2 tworzą dwie nowe kategorie instytucji na rynku usług płatniczych – oferujących usługę inicjowania płatności i usługę dostępu do informacji o rachunku. Ta pierwsza polega na zainicjowaniu zlecenia płatniczego na wniosek użytkownika usług płatniczych w odniesieniu do rachunku płatniczego posiadanego u innego dostawcy usług płatniczych, ta druga natomiast to usługa online polegająca na dostarczaniu skonsolidowanych informacji na temat rachunku albo rachunków płatniczych posiadanych przez danego użytkownika usług płatniczych u innego ich dostawcy. Usługę zainicjowania zlecenia płatniczego mogą oferować dostawcy usług określani w skrócie jako PISP (ang. payment initiation service providers). Oferenci usługi dostępu do informacji o rachunku nazywani są w skrócie AISP (ang. account information service providers).

PSD2 określa obowiązki, jakie muszą spełniać te nowe podmioty na rynku. W szczególności warto tu zwrócić uwagę na obowiązki rejestracyjne, w tym kapitałowe (minimalny kapitał założycielski takiej spółki waha się od 20 tys. do 125 tys. euro – w zależności od zakresu planowanej działalności) oraz wpis do rejestru dostawców usług płatniczych prowadzony centralnie przez EBA dla całej UE. Centralny rejestr ma na celu umożliwienie prowadzenia dostawcom działalności transgranicznej i w innych państwach członkowskich niż to, w którym zostali oni zarejestrowani. Świadczenie usług płatniczych przez osoby fizyczne lub prawne, które nie są dostawcami usług płatniczych jest przez dyrektywę zakazane.

Usługa inicjowania płatności i informacji o rachunku

W przypadku usługi inicjowania płatności PSD2 stanowi, że płatnik ma prawo do korzystania z dostawcy świadczącego tę usługę, o ile posiada dostęp online do swojego rachunku płatniczego (bankowość elektroniczna). W przypadku wyrażenia przez płatnika wyraźnej zgody na dostęp do rachunku płatniczego, dostawca usług płatniczych prowadzący rachunek (np. bank) ma obowiązek zapewnić prawo płatnika (klienta) do korzystania z usługi inicjowania płatności, m.in. poprzez przekazanie bądź udostępnienie dostawcy wspomnianej usługi informacji w zakresie danej transakcji, a także zobligowany jest do traktowania zleceń płatniczych wykonanych za pośrednictwem zewnętrznego dostawcy w sposób niedyskryminujący.

Trzeba podkreślić, że na dostawcy PISP spoczywają obowiązki staranności w zakresie przeprowadzenia transakcji. Zobowiązany jest odpowiednio identyfikować się wobec prowadzącego rachunek płatniczy (np. banku) i porozumiewać się z bankiem, płatnikiem i odbiorcą płatności w sposób bezpieczny. PISP nie może posiadać w żadnym momencie środków płatnika ani przechowywać jego danych szczególnie chronionych.

Analogiczna sytuacja ma miejsce w przypadku dostawcy AISP. Usługa jest możliwa wyłącznie, gdy płatnik posiada dostęp do rachunku w formie online. Bank ma obowiązek traktować zewnętrznego dostawcę w sposób niedyskryminacyjny i udzielać mu informacji, zgodnie z zakresem zgody klienta. Dostawca AIS ma obowiązek chronienia danych płatnika i identyfikowania się w kontakcie z bankiem.

PSD2 wprowadza zmianę w zakresie rozporządzania danymi do logowania i dostępu do rachunku płatniczego online. Do tej pory takie dane klient mógł ujawniać, jedynie samodzielnie logując się do systemu bankowości elektronicznej. Po implementacji pakietu zmian wynikających z dyrektywy klient (płatnik) będzie mógł podać swoje dane uwierzytelniające dostawcom trzecim (PISP i AISP).

Zasady dostępu do rachunku płatniczego

Ponieważ zatem przepisy PSD2 tworzą nowe kategorie uczestników rynku, niezbędne było dokładne uregulowanie relacji między oferującymi usługi płatnicze, którzy będą pośredniczyli w kontaktach między klientami (w tym konsumentami) a instytucjami kredytowymi (w tym bankami) prowadzącymi rachunki płatnicze. Szczególnie ważne okazało się określenie zasad i sposobu uzyskiwania dostępu przez PISP i AISP do rachunku płatniczego.

Niezbędne było tutaj znalezienie złotego środka. Z jednej strony należało wziąć pod uwagę bezpieczeństwo danych i środków deponentów, a z drugiej zapewnienie możliwości dostarczania wygodnych i konkurencyjnych usług płatniczych.

Sama dyrektywa określa, że dostawcy usług finansowych i prowadzący rachunki płatnicze powinni stosować odpowiednie środki dla zapewnienia bezpieczeństwa danych płatnika. Przepisy szczegółowe, o charakterze technicznym, również o tym, jak ma przebiegać komunikacja pomiędzy poszczególnymi dostawcami, znajdują się we wspomnianych wyżej RTS z 27 listopada 2017 r.

Zasadniczo przedmiotowy RTS stanowi, że musi być zapewniony dostęp do rachunku płatniczego dla dostawców trzecich (PISP i AISP) albo przez API (dedykowany dostęp), albo – jeśli dany bank go nie oferuje – poprzez interfejs, z którego korzysta konsument, logując się do e-bankowości. To drugie rozwiązanie jest jakby zapasowe i znajduje zastosowanie jedynie w sytuacji, gdy API nie jest oferowany bądź nie działa – wówczas dostawca trzeci może logować się przez interfejs konsumencki. Przepisy pozwalają na wyłączenie tejże możliwości, jeśli dany dostawca prowadzący rachunek płatniczy (np. bank) używa interfejsu dedykowanego, który został zatwierdzony przez nadzór bankowy.

Na banku (dostawcy rachunku płatniczego) spoczywa obowiązek zapewnienia, z odpowiednim wyprzedzeniem, dokumentacji technicznej interfejsu dla dostawców trzecich oraz zapewnienia środowiska testowego co najmniej sześć miesięcy wcześniej. Sam dedykowany dostęp (API) musi zapewniać taki sam poziom dostępności i funkcjonalności jak interfejs konsumencki, a także nie może zawierać w sobie utrudnień dla AISP i PISP w szczególności poprzez uniemożliwianie korzystania przez TPP z danych dostępowych uzyskanych od płatnika czy wymagania dodatkowej autoryzacji bądź rejestracji innych niż określone w przepisach samej dyrektywy PSD2.

RTS określa środki zaradcze, które powinny zostać podjęte na wypadek niedostępności dedykowanego dostępu dla AISP i PISP – interfejs uważa się za niedostępny, gdy pięć następujących po sobie żądań dostępu do informacji bądź zainicjowania płatności w ciągu 30 sekund nie znajduje odpowiedzi. Dostawca rachunku płatniczego zobowiązany jest wówczas do zapewnienia alternatywnych opcji dostępu dla dostawców trzecich.

W przypadku gdy bank oferuje dostęp dedykowany dla dostawców trzecich, który został zatwierdzony przez nadzór bankowy po konsultacji z EBA, następuje wyłączenie obowiązku udostępniania dodatkowo zapasowego interfejsu konsumenckiego. Te przepisy stanowią motywację dla dostawców prowadzących rachunki płatnicze do zapewnienia wysokiej jakości i sprawdzonego dostępu dla podmiotów trzecich – dzięki temu nie ma obowiązku utrzymywania dwóch systemów dostępowych.

Aby to nastąpiło, dany dostęp dedykowany musi spełniać wszystkie określone w RTS. Ponadto musi być zaprojektowany i przedstawiony do testów dla podmiotów trzecich, a także musi być używany co najmniej przez trzy miesiące, a wszelkie problemy z jego stosowaniem są rozwiązywane bez zbędnej zwłoki. KNF ma możliwość cofnięcia rzeczonego wyłączenia obowiązku oferowania dostępu zastępczego, jeśli dostęp dedykowany przez okres co najmniej dwóch tygodni nie spełnia wymogów, bądź gdy problemy związane z jego funkcjonowaniem nie są rozwiązywane niezwłocznie.

Na zakończenie warto poświęcić kilka słów trudnościom związanym ze stosowaniem nowych przepisów w praktyce. Gdyby dyrektywa PSD2 oraz wszystkie przepisy wykonawcze do niej wchodziły w życie w tym samym momencie, problemu by nie było. Niestety, termin na implementację PSD2 upływa w styczniu 2018 r., natomiast wiele ze standardów technicznych wejdzie w życie dopiero kilka albo wiele miesięcy później. Omawiany wcześniej RTS z 27 listopada 2017 r. ma przewidywany termin wejścia w życie w drugiej połowie 2019 r. (18 miesięcy vacatio legis). Oznacza to dość długi okres przejściowy z brakiem pełnego pakietu przepisów. Będzie to wyznawanie zarówno dla nadzorców, jak i uczestników rynku. Widać to także po tym, że EBA, dostrzegając wspomniany problem, uchwaliła 19 grudnia 2017 r. opinię w tej sprawie, przedstawiając zalecenia dla nadzorców krajowych, którzy będą w państwach członkowskich odpowiadali za wykonanie przepisów PSD2.

Udostępnij artykuł: