W sobotę 14 września 2019 roku wchodzi w życie dyrektywa PSD2. Może nazwa mówi niewiele, ale kryją się pod nią bardzo ważne zmiany dla wszystkich konsumentów oraz instytucji bankowych. Dyrektywa wymusza zmiany w sposobach logowania do bankowości elektronicznej, lepszej weryfikacji właściciela karty płatniczej i kredytowej, większej otwartości banków na nowy rodzaj usługodawców. Ale to nie wszystkie zmiany, przyjrzyjmy się najważniejszym z nich.
Co kryje się pod nazwą PSD2?
Payment Services Directive to rozszerzenie skrótu PSD2. Jak sama nazwa wskazuje dyrektywa będzie dotyczyła usług płatniczych. I faktycznie tak jest, głównym celem wprowadzenia dyrektywy jest zwiększenie bezpieczeństwa konsumentów w obrocie bezgotówkowym, ale także lepsza ich ochrona przez nadużyciami finansowymi. Obowiązki wynikające z dyrektywy definiuje nowela Ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018. Jak w przypadku wielu ustaw, ta również przewidziała okresy wdrożeniowe. I tak ostateczną datą wdrożenia PSD2 stał się dzień 14 września 2019.
SCA, czyli Strong Customer Authentication (silne uwierzytelnianie)
Aby skorzystać z jakiejkolwiek usługi bankowej instytucja musi potwierdzić naszą tożsamość i uzyskać pewność, co do praw z niej wynikających. Dotychczas instytucje stosowały różne sposoby potwierdzenia, że my to my – przy czym każda z nich była jedynie opcją. Dyrektywa jasno zamienia opcję na wymóg i wprowadza w jaki sposób powinno się dokonywać uwierzytelnienia. Bank, do którego się logujemy ma obowiązek skorzystać z co najmniej dwóch z trzech możliwych elementów uwierzytelniania. Pierwszy z nich to wiedza, czyli coś co wie tylko osoba uprawniona. Może to być np. hasło dostępowe. Drugi element, to posiadanie. Musimy posiadać coś unikalnego w danym momencie, aby dokonać logowania. Może to być np. kod generowany z systemu i wysyłany na nasz telefon lub token oferowany przez bank. Trzeci element to cecha, czyli coś charakterystycznego dla nas, co nas odróżnia od innych i tylko my to posiadamy. Najprostszy przykład cechy, już teraz stosowany w aplikacjach bankowych na smartfony, to odcisk palca.
W jakich sytuacjach dotknie nas SCA?
Silne uwierzytelnianie dotyczy wszystkich transakcji bankowych. Mówimy tu zatem nie tylko o logowaniu się do rachunku w banku w aplikacji webowej lub mobilnej, ale również o transakcjach dokonywanych w terminalach płatniczych, szybkich przelewach czy płatnościach kartą kredytową. Dotychczas standardem był wymóg podania przy płatności kartą w Internecie kodu CVC/CVV. Od 14 września to nie wystarczy – operator usługi będzie musiał dokonać dodatkowego uwierzytelniana nas jako właściciela karty. Może nas zatem poprosić o zalogowanie do bankowości internetowej i podanie kodu wysłanego w SMS – tego typu mechanizmy już od pewnego czasu funkcjonują w niektórych bankach. Możemy się również pożegnać z płatnościami zbliżeniowymi w znanej nam formie. Sam mechanizm oczywiście pozostaje, przy czym dyrektywa wprowadza zasadę, że po pięciu transakcjach zbliżeniowych, niezależnie od kwoty zawsze będziemy musieli podać PIN.
Niższe koszty nieautoryzowanej transakcji i krótszy okres reklamacji
Dotychczas w przypadku nieautoryzowanej transakcji płatniczej to Klient ponosił odpowiedzialność do kwoty 150 euro. PSD2 zmniejsza tą kwotę do 50 euro. Wszystko ponad to leży w odpowiedzialności instytucji, która dokonała transakcji. Jeżeli zatem dojdzie do utraty, kradzieży lub przywłaszczenia instrumentu płatniczego skutki finansowe będą dla nas niższe. W ramach nowych regulacji szybsza będzie również reakcja drugiej strony na reklamacje dotyczącą transakcji płatniczej. Dotychczasowy okres 30 dni zostaje skrócony do 14.
Nowa kategoria usługodawców, czyli tzw. Third Party Provider (TPP)
Dyrektywa stwarza możliwość powstania nowych podmiotów na rynku finansowym, którzy będą dostarczać nowy typ usług. Third Party Providers będą działać obok banków, instytucji płatniczych i świadczyć usługi w dwóch nowych kategoriach. Pierwsza z nich to tzw. AIS, czyli Account Information Service. Dzięki niej, będziemy mogli w jednym miejscu przechowywać informacje z kilku rachunków bankowych. Dyrektywa PSD2 umożliwia zatem podmiotom na rynku wymianę informacji o Kliencie np. danych z jego rachunków bankowych. Co ważne jednak, może to nastąpić tylko i wyłącznie za jego wyraźną zgodą. Drugi rodzaj nowych usług to Payment Initation Service (PIS). PIS to nic innego jak realizacja płatności z rachunku bankowego Klienta w jego imieniu. Klient będzie zatem udostępniał TPP dane do swojego rachunku, a ten zainicjuje płatności i zaraportuje jej wykonanie.
Nowy podmiot w rejestrze KNF, czyli Mała Instytucja Płatnicza
PSD2 wprowadza możliwość powstania tzw. Małej Instytucji Płatniczej. Będzie to podmiot, który świadczy usługi płatnicze na niewielką skalę. MIP będzie rejestrowany w Komisji Nadzoru Finansowego, nie będzie musiał jednak otrzymać licencji na działalność, co znacznie upraszcza procedurę rozpoczęcia świadczenia usług płatniczych. Dla MIP będą jedynie dwa wymogi: wielkość obrotów nie może przekroczyć 1,5 mln euro miesięcznie, oraz instytucja nie może przechowywać więcej niż 2 tyś euro od jednego Klienta.
Jaki wpływ na gospodarkę będzie miało PSD2?
PSD2 to celowe działanie unijnego ustawodawcy na rzecz wzrostu znaczenia e-gospodarki i e-commerce. W krótkiej perspektywie dyrektywa na pewno podniesie bezpieczeństwo transakcji, w dłuższym okresie czasu wpłynie na obniżenie kosztów transakcyjnych. Dopuszczenie do udziału w rynku nowych podmiotów na pewno podniesie konkurencyjność i będzie stymulować rozwój nowych technologii. Wprowadzone zmiany sprawią, że konsument będzie musiał wykonać więcej czynności, np. wpisać PIN, lub jakiś dodatkowy kod, ale na samym końcu jego pieniądze będą bezpieczniejsze i lepiej chronione.
