6 najważniejszych zmian w branży usług płatniczych i Open Finance – pakiet PSD3/PSR + FIDA

28 czerwca 2023 roku Komisja Europejska zaprezentowała nowy pakiet legislacyjny, który ma na celu rewolucję w sektorze usług płatniczych w Unii Europejskiej. Propozycje te obejmują trzecią wersję dyrektywy dotyczącej usług płatniczych (PSD3) oraz towarzyszące jej rozporządzenie w sprawie usług płatniczych (PSR). Nowe przepisy mają sprzyjać nie tylko ujednoliceniu i uproszczeniu transakcji płatniczych, ale również znaczącemu zwiększeniu ich bezpieczeństwa. Wprowadzenie tych regulacji, oczekiwane na 2026 rok, ma sprostać nowym wyzwaniom oraz wykorzystać pojawiające się możliwości w dynamicznie rozwijającym się sektorze finansowym.

PSD3, czyli Third Payment Services Directive, to trzecia wersja dyrektywy dotyczącej usług płatniczych. Główne cele tej dyrektywy to: ujednolicenie rynku usług płatniczych, zwiększenie bezpieczeństwa płatności oraz zwiększenie ochrony konsumentów. Ponadto PSD3 promuje innowacje technologiczne, ułatwiające wdrażanie nowych technologii płatniczych. Rozporządzenie PSR działa jako uzupełnienie dyrektywy PSD3, zapewniając bezpośrednie stosowanie jej przepisów na poziomie krajowym. Jego celem jest ustanowienie jasnych i przejrzystych zasad dotyczących wykonywania transakcji. Pakiet legislacyjny obejmuje również rozporządzenia Open Finance i Digital Euro. Rozporządzenie Open Finance wprowadza nową kategorię dostawców usług finansowych oraz reguluje zasady dostępu i wykorzystania danych przetwarzanych przez różne instytucje finansowe. Z kolei rozporządzenie Digital Euro reguluje transakcje przy użyciu cyfrowej waluty euro.

PSD3, czyli Third Payment Services Directive, to trzecia wersja dyrektywy dotyczącej usług płatniczych.
PSD3, czyli Third Payment Services Directive, to trzecia wersja dyrektywy dotyczącej usług płatniczych.
fot. canva.com

Przewiduje się, że nowe regulacje wejdą w życie w 2026 roku, po przyjęciu przez Parlament Europejski i Radę Unii Europejskiej. Państwa członkowskie będą miały dwa lata na dostosowanie swojego prawa krajowego do nowych wymogów. Dla sektora finansowego, zarówno bankowego, jak i niebankowego, oznacza to konieczność dostosowania systemów, aktualizacji infrastruktury IT i procedur operacyjnych, a także proces reautoryzacji dla instytucji płatniczych oraz likwidacji odrębnego zezwolenia dla instytucji pieniądza elektronicznego. Mimo wyzwań, jakie niesie za sobą wprowadzenie nowych regulacji, są one również szansą na wprowadzenie nowatorskich rozwiązań i dalszy rozwój rynku usług płatniczych w Europie.

Poznaj program kongresu "Business Intelligence" >>

Pakiet PSD3/PSR

Pakiet PSD3/PSR, zaproponowany przez Komisję Europejską w czerwcu 2023 roku, to zestaw regulacji mających na celu usprawnienie i zabezpieczenie usług płatniczych w Unii Europejskiej. Pakiet składa się z dwóch głównych elementów: trzeciej wersji dyrektywy o usługach płatniczych (PSD3) oraz nowego rozporządzenia w sprawie usług płatniczych (PSR).

PSD3 to kontynuacja wcześniejszych dyrektyw PSD1 i PSD2, które znacząco zmieniły sposób świadczenia i korzystania z usług płatniczych w Europie. Celem PSD3 jest ułatwienie, ujednolicenie i zwiększenie bezpieczeństwa płatności na terenie Unii Europejskiej. Dyrektywa ta wprowadza nowe regulacje dotyczące m.in.: silnego uwierzytelniania klienta (SCA), rozszerza zasady ponoszenia ryzyka przez dostawców, obejmując również tzw. spoofing oraz nakłada na dostawców obowiązek weryfikacji zgodności danych odbiorcy z danymi podanymi przez płatnika. Ponadto ułatwia instytucjom płatniczym dostęp do rachunków płatniczych w bankach i systemach płatności, co ma na celu zwiększenie konkurencji i innowacji w sektorze płatności.

Z kolei PSR, czyli Payment Services Regulation, powiela w dużej mierze regulacje zawarte w PSD2, ale wprowadza także wiele nowych rozwiązań. Rozporządzenie to ma na celu bezpośrednie stosowanie przepisów na poziomie krajowym, co zapewnia jednolitość regulacyjną w całej Unii Europejskiej. W ramach PSR planowane jest uchylenie dyrektywy o pieniądzu elektronicznym oraz wprowadzenie jednolitej licencji instytucji płatniczej, zastępującej dotychczasowe licencje instytucji płatniczych i instytucji pieniądza elektronicznego. Rozporządzenie zawiera również przepisy dotyczące wyłączeń dla niezależnych operatorów bankomatów, agentów handlowych oraz wypłat gotówki w placówkach sprzedaży detalicznej.

Jedną z istotnych zmian wprowadzonych przez pakiet PSD3/PSR jest możliwość wykonywania transakcji płatniczych w ciężar linii kredytowej dostarczanej przez inny podmiot niż dostawca wydający instrument płatniczy. To innowacyjne rozwiązanie ma na celu zwiększenie elastyczności i dostępności usług płatniczych dla konsumentów.

Jeśli pakiet PSD3/PSR zostanie przyjęty przez Parlament Europejski i Radę Unii Europejskiej, to nowe przepisy wejdą w życie w 2026 roku. Państwa członkowskie będą miały dwa lata na dostosowanie swojego prawa krajowego do nowych wymogów. Wprowadzenie tych regulacji będzie wymagało od instytucji finansowych, takich jak: instytucje płatnicze, małe instytucje płatnicze, biura usług płatniczych oraz dostawcy świadczący usługi dostępu do rachunków, dostosowania swojej działalności do nowych zasad. Oznacza to konieczność wprowadzenia zmian w strukturze prawno-operacyjnej oraz zakresie posiadanego zezwolenia lub rejestracji.

Pakiet przewiduje również proces reautoryzacji dla instytucji płatniczych, co oznacza, że będą one musiały przedstawić organom nadzorczym (w Polsce: Komisja Nadzoru Finansowego – KNF), dokumentację potwierdzającą dostosowanie do wymogów PSD3. Proces ten ma być zakończony w ciągu 24 miesięcy od dnia wejścia w życie nowych przepisów. W tym czasie instytucje płatnicze będą mogły działać na podstawie dotychczas posiadanych zezwoleń. Wprowadzenie pakietu PSD3/PSR oznacza więc znaczące zmiany i wyzwania dla sektora finansowego, ale także szansę na rozwój i wprowadzenie innowacyjnych rozwiązań na rynku usług płatniczych.

Rozporządzenie Open Finance – Fida

Drugim kluczowym obszarem regulacji jest projekt rozporządzenia w sprawie dostępu do danych finansowych, znany jako FIDA (Financial Information Data Access). Celem tej regulacji jest stworzenie nowego systemu, który umożliwi pozyskiwanie i wykorzystywanie danych finansowych przechowywanych przez różne podmioty za zgodą klienta. System ten ma być rozwinięciem idei Open Banking wprowadzonej wraz z PSD2 i ma na celu jeszcze większą integrację danych finansowych.

Wprowadzenie systemu dzielenia danych w ramach Open Finance ma charakter rewolucyjny, gdyż obejmuje szerszy zakres podmiotów zobowiązanych do udostępniania danych oraz większy zakres danych niż Open Banking. Nowością w ramach FIDA jest również wprowadzenie opłat za pozyskiwanie informacji, co stanowi zasadniczą różnicę w porównaniu do systemu Open Banking, gdzie takie opłaty nie są przewidziane.

Obowiązki wynikające z rozporządzenia FIDA będą dotyczyły wielu podmiotów. Wśród nich znajdują się: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego (chyba że zostaną zastąpione instytucjami płatniczymi zgodnie z transpozycją PSD3), firmy inwestycyjne, dostawcy usług związanych z kryptoaktywami i wydawcy tokenów powiązanych z aktywami. Ponadto obowiązki będą dotyczyły: zarządzających alternatywnymi funduszami inwestycyjnymi, spółek zarządzających przedsiębiorstwami wspólnego inwestowania w zbywalne papiery wartościowe, zakładów ubezpieczeń i towarzystw reasekuracji, instytucji pracowniczych programów emerytalnych, agencji ratingowych, dostawców usług crowdfundingowych, dostawców ogólnoeuropejskich indywidualnych projektów emerytalnych oraz dostawców usług informacji finansowej.

Rozporządzenie Open Finance – FIDA ma na celu nie tylko zwiększenie dostępności i przejrzystości danych finansowych, ale także promowanie innowacji i konkurencji w sektorze finansowym. Dzięki szerszemu dostępowi do danych nowe podmioty będą mogły oferować bardziej zaawansowane i spersonalizowane usługi finansowe, co ostatecznie przyniesie korzyści konsumentom.

Co więc się zmieni w branży usług płatniczych i Open Finance?

Wprowadzenie pakietu PSD3/PSR oraz rozporządzenia FIDA przyniesie szereg istotnych zmian w branży usług płatniczych i Open Finance. Oto sześć moim zdaniem najważniejszych z nich.

Ujednolicenie licencji instytucji płatniczych

Obecna dyrektywa o pieniądzu elektronicznym zostanie uchylona, a instytucje pieniądza elektronicznego będą musiały uzyskać nowe licencje pozwalające im na funkcjonowanie w roli instytucji płatniczych. To oznacza, że wszystkie instytucje świadczące usługi płatnicze w UE będą musiały spełniać te same standardy i wymogi regulacyjne.

Wprowadzenie jednolitej licencji dla instytucji płatniczych ma na celu stworzenie spójnych warunków operacyjnych w całej UE. Dzięki temu instytucje płatnicze będą mogły działać na tych samych zasadach niezależnie od kraju członkowskiego, co zmniejszy bariery regulacyjne i ułatwi ekspansję transgraniczną.

Instytucje płatnicze będą musiały przejść proces reautoryzacji w ciągu 24 miesięcy od dnia wejścia w życie nowych przepisów. Oznacza to, że będą musiały przedstawić organom nadzorczym, takim jak Komisja Nadzoru Finansowego (KNF), dokumentację potwierdzającą dostosowanie do wymogów PSD3. W tym okresie instytucje będą mogły kontynuować działalność na podstawie już posiadanych zezwoleń.

Rozszerzone wymagania dotyczące silnego uwierzytelniania klienta (SCA)

Nowe regulacje wprowadzone w ramach PSD3 zaostrzą wymogi dotyczące SCA, podnosząc standardy bezpieczeństwa przy realizacji transakcji płatniczych. Dostawcy usług płatniczych będą musieli wdrożyć bardziej zaawansowane mechanizmy uwierzytelniania, aby zapewnić, że transakcje są dokonywane wyłącznie przez uprawnione osoby.

SCA wymaga użycia co najmniej dwóch z trzech dostępnych czynników uwierzytelniania:

  1. coś, co klient wie (np. hasło);
  2. coś, co klient posiada (np. telefon komórkowy);
  3. coś, czym klient jest (np. odcisk palca).

PSD3 wprowadzi nowe technologie i metody, które dostawcy usług będą musieli zintegrować, takie jak: biometria twarzy, czy dynamiczne hasła jednorazowe.

Podczas gdy PSD2 wprowadziła SCA głównie dla transakcji elektronicznych powyżej określonej kwoty, PSD3 poszerzy zakres transakcji objętych wymogiem silnego uwierzytelniania. Dotyczyć to będzie nie tylko płatności online, ale również innych form transakcji, w tym zbliżeniowych płatności kartą, gdy suma transakcji osiągnie określony limit.

PSD3 wymusi na dostawcach usług płatniczych przeprowadzanie bardziej szczegółowych weryfikacji tożsamości w przypadku transakcji o podwyższonym ryzyku. Będą musieli monitorować i oceniać ryzyko każdej transakcji oraz stosować odpowiednie środki zapobiegawcze – dodatkowe kroki uwierzytelniania.

Nowe przepisy będą wymagać, aby SCA była zintegrowana z innymi systemami zabezpieczeń i technologiami zapobiegającymi oszustwom, takimi jak: analizy behawioralne, sztuczna inteligencja oraz systemy monitorujące zachowania użytkowników. Te dodatkowe warstwy zabezpieczeń mają na celu jeszcze skuteczniejsze zapobieganie nieautoryzowanym transakcjom.

Organy nadzorcze będą miały zwiększone uprawnienia do kontrolowania zgodności dostawców usług płatniczych z nowymi wymogami SCA. Oznacza to, że dostawcy będą musieli regularnie przeprowadzać audyty swoich systemów bezpieczeństwa oraz raportować wyniki tych kontroli do odpowiednich organów regulacyjnych.

Nowe zasady odpowiedzialności za nieautoryzowane transakcje

W ramach PSD3 dostawcy usług płatniczych będą ponosić większą odpowiedzialność za nieautoryzowane transakcje. Oznacza to, że będą musieli zwrócić konsumentom pełną kwotę nieautoryzowanej transakcji w krótszym czasie niż dotychczas. Celem jest szybkie przywrócenie środków na konto poszkodowanego klienta, aby zminimalizować negatywne skutki finansowe.

PSD3 wprowadza nowe regulacje, które rozszerzają odpowiedzialność dostawców na przypadki spoofingu, czyli sytuacje, w których oszuści podszywają się pod inne osoby lub instytucje w celu dokonania nieautoryzowanej transakcji. Dostawcy usług będą musieli wprowadzić bardziej zaawansowane mechanizmy wykrywania i zapobiegania takim oszustwom.

Nowe przepisy wymagają od dostawców usług płatniczych bardziej rygorystycznych procedur weryfikacji transakcji, zwłaszcza w przypadku wykrycia podejrzanych działań. Dostawcy będą musieli stosować dodatkowe środki bezpieczeństwa oraz weryfikacje tożsamości przy transakcjach o wysokim ryzyku, co ma na celu zmniejszenie liczby nieautoryzowanych operacji.

PSD3 określa nowe standardy dotyczące procedur zgłaszania nieautoryzowanych transakcji oraz rozpatrywania reklamacji. Konsumenci będą mieli prawo do szybkiego i sprawiedliwego rozpatrzenia swoich zgłoszeń, a dostawcy usług będą zobowiązani do udzielania odpowiedzi w określonych terminach. Procedury te mają być bardziej przejrzyste i przyjazne dla użytkowników.

Nowe regulacje przewidują obniżenie limitów odpowiedzialności finansowej konsumenta za nieautoryzowane transakcje przed zgłoszeniem straty. Dotychczasowy limit może zostać zredukowany, co oznacza, że konsument poniesie mniejsze koszty w przypadku, gdy jego środki zostaną użyte bez jego zgody.

PSD3 nakłada na dostawców usług płatniczych obowiązek prowadzenia działań edukacyjnych mających na celu zwiększenie świadomości konsumentów na temat bezpieczeństwa transakcji płatniczych. Dostawcy będą musieli informować swoich klientów o potencjalnych zagrożeniach oraz sposobach ochrony przed oszustwami, co ma na celu zmniejszenie liczby przypadków nieautoryzowanych transakcji.

Weryfikacja danych odbiorcy przelewu (name matching verification)

Nowe przepisy wymagają od dostawców usług płatniczych weryfikacji, czy dane odbiorcy przelewu – imię i nazwisko, są zgodne z informacjami w systemie bankowym. Weryfikacja ta ma na celu zminimalizowanie liczby błędnych transakcji oraz zapobieganie oszustwom, w których oszuści podszywają się pod prawdziwych odbiorców płatności.

W ramach PSD3 dostawcy usług płatniczych będą zobowiązani do przeprowadzania weryfikacji danych odbiorcy w czasie rzeczywistym, co oznacza, że każda transakcja będzie sprawdzana pod kątem zgodności danych przed jej finalizacją. Jeśli system wykryje rozbieżności między danymi podanymi przez płatnika a danymi posiadanymi przez bank, transakcja może zostać zatrzymana lub wymagać dodatkowego potwierdzenia.

Nowe regulacje wymagają więc ścisłej współpracy między bankami a dostawcami usług płatniczych, aby zapewnić skuteczne przeprowadzanie weryfikacji danych. Banki będą musiały udostępniać aktualne dane o swoich klientach, a dostawcy usług płatniczych będą musieli zintegrować swoje systemy z systemami bankowymi, aby umożliwić sprawną i efektywną weryfikację.

Rozszerzenie zakresu danych udostępnianych w ramach Open Finance (FIDA)

Rozporządzenie FIDA rozszerza obowiązki dotyczące udostępniania danych finansowych na szerszą grupę podmiotów niż tylko banki. Obejmuje to: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług związanych z kryptoaktywami, zarządzających alternatywnymi funduszami inwestycyjnymi, spółki zarządzające przedsiębiorstwami wspólnego inwestowania w zbywalne papiery wartościowe, zakłady ubezpieczeń i towarzystwa reasekuracji, instytucje pracowniczych programów emerytalnych, agencje ratingowe, dostawców usług crowdfundingowych, dostawców ogólnoeuropejskich indywidualnych projektów emerytalnych oraz dostawców usług informacji finansowej.

W ramach FIDA zakres danych, które muszą być udostępniane, obejmuje nie tylko podstawowe informacje o rachunkach i transakcjach, jak w przypadku Open Banking, ale także bardziej szczegółowe dane finansowe. Mogą to być: informacje dotyczące kredytów, inwestycji, ubezpieczeń, programów emerytalnych oraz innych produktów finansowych. Dzięki temu, podmioty trzecie będą miały możliwość tworzenia bardziej zaawansowanych i spersonalizowanych usług finansowych dla konsumentów.

FIDA przewiduje możliwość pobierania opłat za dostęp do danych finansowych. Te opłaty mają na celu stworzenie zrównoważonego modelu biznesowego dla dostawców danych oraz zapewnienie, że koszty udostępniania informacji są pokrywane przez podmioty trzecie, które z nich korzystają.

Udostępnianie danych w ramach FIDA będzie możliwe tylko za wyraźną zgodą klienta. Klienci będą mieli pełną kontrolę nad tym, jakie dane są udostępniane i komu. Będą mogli w każdej chwili wycofać swoją zgodę, co zapewni wysoki poziom ochrony prywatności i danych osobowych.

Wprowadzenie opłat za pozyskiwanie informacji w ramach Open Finance

Nowe przepisy FIDA wprowadzają możliwość pobierania opłat za udostępnianie danych finansowych. Podmioty, które gromadzą i przechowują dane, takie jak: banki, instytucje kredytowe, firmy inwestycyjne, zakłady ubezpieczeń i inne instytucje finansowe, będą mogły pobierać opłaty od stron trzecich za dostęp do tych danych. Opłaty te będą miały na celu pokrycie kosztów związanych z infrastrukturą technologiczną, zarządzaniem danymi oraz zapewnieniem bezpieczeństwa.

Choć wprowadzenie opłat ma głównie na celu zrównoważenie kosztów i korzyści dla podmiotów finansowych, ważne jest, aby opłaty te nie były przerzucane bezpośrednio na konsumentów w sposób, który ograniczyłby ich dostęp do usług finansowych. Regulacje będą musiały zapewnić, że opłaty są ustalane w sposób uczciwy i transparentny, bez nadmiernego obciążania końcowych użytkowników.

Podsumowanie najważniejszych informacji

Pakiet PSD3/PSR oraz rozporządzenie FIDA, zaproponowane przez Komisję Europejską, mają na celu rewolucjonizację sektora usług płatniczych i finansowych w Unii Europejskiej. Wprowadzenie trzeciej wersji dyrektywy dotyczącej usług płatniczych (PSD3) oraz nowego rozporządzenia w sprawie usług płatniczych (PSR) ma na celu ujednolicenie, uproszczenie i zwiększenie bezpieczeństwa płatności. Kluczowe zmiany obejmują ujednolicenie licencji instytucji płatniczych, rozszerzone wymagania dotyczące silnego uwierzytelniania klienta (SCA), nowe zasady odpowiedzialności za nieautoryzowane transakcje oraz weryfikację danych odbiorcy przelewu (name matching verification).

Rozporządzenie FIDA rozszerza zakres danych udostępnianych w ramach Open Finance, obejmując różne instytucje finansowe i umożliwiając tworzenie bardziej zaawansowanych usług. Wprowadza również opłaty za dostęp do danych, co ma na celu stworzenie zrównoważonego modelu biznesowego. Te regulacje mają na celu zwiększenie innowacji, konkurencji i ochrony konsumentów w sektorze finansowym, tworząc bardziej zintegrowany i bezpieczny rynek usług płatniczych w całej Unii Europejskiej.

Autorka: Justyna Redzik, Redaktor, Bankier.pl

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.