Rynek Finansowy: Nowe ramy rynku płatności w UE

BANK 2018/01

Nowe rozwiązania i możliwości techniczne, a także idące za nimi potrzeby normowania i walki z nadużyciami powodują, że regulacje rynku usług płatniczych muszą być nowelizowane, by odpowiednio spełniały swoją rolę – zapewniały bezpieczeństwo i umożliwiały rozwój innowacyjnych rozwiązań. W 2018 r. w życie wchodzi nowa dyrektywa o usługach płatniczych (PSD2) oraz jej przepisy wykonawcze, w skrócie określane jako RTS.

Nowe rozwiązania i możliwości techniczne, a także idące za nimi potrzeby normowania i walki z nadużyciami powodują, że regulacje rynku usług płatniczych muszą być nowelizowane, by odpowiednio spełniały swoją rolę – zapewniały bezpieczeństwo i umożliwiały rozwój innowacyjnych rozwiązań. W 2018 r. w życie wchodzi nowa dyrektywa o usługach płatniczych (PSD2) oraz jej przepisy wykonawcze, w skrócie określane jako RTS.

Piotr Gałązka

jest adwokatem,
dyrektorem Przedstawicielstwa Związku Banków Polskich w Brukseli.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (dyrektywa o usługach płatniczych 2, ang. Payment Services Directve 2, w skrócie PSD2) została uchwalona przez legislatorów unijnych pod koniec 2015 r. i weszła w życie w styczniu 2016 r. Państwa członkowskie miały dwa lata na jej implementację do poszczególnych krajowych porządków prawnych – termin ten upływa 12 stycznia 2018 r.

Prace nad nią zostały wszczęte ze względu na znaczne postępy w integracji płatności detalicznych w UE od czasu uchwalenia dyrektywy PSD1. W konsekwencji zaistniałe zmiany stały się źródłem istotnych wyzwań z regulacyjnego punktu widzenia. Wynika to z faktu, że wiele nowych usług płatniczych nie wchodzi w zakres PSD1, a jej zakres stosowania stał się w niektórych przypadkach zbyt ogólny. Doprowadziło to do braku pewności prawa, związanych z tym ryzyk dla bezpieczeństwa w płatności oraz braku odpowiedniej ochrony konsumentów w pewnych obszarach. Tyle stanowi preambuła PSD2. Zasadniczo chodzi przede wszystkim o to, że korzystając z usług płatniczych, płacimy więcej, częściej i stosujemy różne rozwiązania oferowane przez różne podmioty, nie tylko banki. Dzięki rozwojowi internetu płatności dokonuje się coraz łatwiej i wygodniej – może to jednak rodzić również zagrożenia cyberbezpieczeństwa płatników. Ponieważ od 2007 r. postęp był tak znaczący, niezbędne okazało się dostosowanie obecnie obowiązujących przepisów do rzeczywistości.

Równie ważnym, co sama dyrektywa, elementem nowej regulacji są także przepisy wykonawcze. Po pierwsze, są to regulacyjne standardy techniczne, opracowane przez European Banking Authority, a będące z formalnego punktu widzenia rozporządzeniami delegowanymi Komisji Europejskiej. Po drugie, wytyczne EBA zawierają wskazówki dla organów nadzorczych w poszczególnych państwach członkowskich UE. Za najistotniejsze z tychże przepisów wykonawczych należy uznać rozporządzenie delegowane KE z 27 listopada 2017 r. dotyczące zasad stosowania silnego uwierzytelnienia klienta oraz standardów komunikacji między podmiotami rynku płatności (Commission delegated regulation supplementing Directive 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication).

W niniejszym artykule omówimy kilka najważniejszych zmian, które przynosi pakiet regulacyjny PSD2 – wprowadzenie obowiązku stosowania silnego uwierzytelnienia klienta oraz stworzenie nowych rodzajów instytucji na rynku płatności w przepisach prawa UE.

Silne uwierzytelnienie klienta

Przede wszystkim warto zwrócić uwagę na wprowadzenie obowiązku przeprowadzania silnego uwierzytelnienia klienta (SCA – ang. strong customer authentication). Chodzi tu o uwierzytelnienie dwuskładnikowe, tzn. takie, które identyfikuje zlecającego płatność za pomocą co najmniej dwóch różnych metod. Do tej pory obowiązek przeprowadzania SCA nie wynikał z przepisów prawa powszechnie obowiązującego, lecz z rekomendacji organów nadzoru.

Trzeba podkreślić, że muszą tu zaistnieć dwa elementy z różnych kategorii – wiedzy (informacji, którą zna zlecający), posiadania (przedmiotu będącego w posiadaniu zlecającego, np. hasło jednorazowe wysłane na telefon komórkowy) bądź cechy (np. biometrycznej). Elementy te muszą być niezależne od siebie w taki sposób, że naruszenie poufności jednego z nich nie narusza wiarygodności innych. Obowiązek stosowania SCA przez dostawcę usług płatniczych istnieje wtedy, gdy płatnik uzyskuje dostęp do swojego rachunku płatniczego w trybie online, inicjuje elektroniczną transakcję płatniczą albo przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Dodatkowe wymogi techniczne w zakresie zasad stosowania SCA określa RTS z 27 listopada 2017 r. Warto tutaj w szczególności zwrócić uwagę na szczegółowe warunki odnośnie dynamicznych kodów autoryzacyjnych, które ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: