Wszystko o nowej dyrektywie PSD2

dr Krzysztof Korus, Radca Prawny, dLK Legal
aktualizacja: 13-02-2018, 10:03

Druga dyrektywa o usługach płatniczych nr 2015/2366 (PSD2), ogłoszona w styczniu 2016 r., przenosi regulacje pierwszej dyrektywy PSD z 2007 r. do przodu o 10 lat. Odpowiada na postępującą cyfryzację podstawowych usług płatniczych: uprawianie finansów na małych ekranach komórek zamiast dużych ekranów PC, wszechobecnej komunikacji serwisów internetowych poprzez API, odważne rzucanie rękawicy przez jednopokojowe start-up’y wielopiętrowym bankom.

Więcej na temat dyrektywy PSD2 dowiesz się podczas konferencji organizowanej przez Puls Biznesu >>

Ochrona konsumenta
PSD2 rozszerza zastosowanie wielu narzędzi ochrony konsumenta na transakcje wychodzące poza Europejski Obszar Gospodarczy i w walucie krajów spoza EOG. Konsumenci szczególnie odnotują prawo otrzymania zwrotu kwoty reklamowanej transakcji następnego dnia roboczego po złożeniu reklamacji, jeśli po stronie konsumenta nie ma podstaw do podejrzewania oszustwa. Jednocześnie odpowiedzialność  konsumenta za nieautoryzowane transakcje obniża się z dzisiejszych EUR 150 do EUR 50.

Dostawcy usług płatniczych
PSD2, podobnie jak PSD1, umożliwia każdemu państwu członkowskiemu zwolnienie z licencjonowania i nadzoru dostawców działających na małą skalę. Projekt polskiej ustawy implementującej PSD2 przewiduje wprowadzenie – obok ugruntowanej już na rynku formuły biura usług płatniczych – tzw. małej instytucji płatniczej. MIP może prowadzić działalność na podstawie wpisu do rejestru KNF. Nie musi posiadać kapitałów założycielskich i funduszy własnych wymaganych przez ustawę o usługach płatniczych, ale za to nie może przekroczyć średniomiesięcznie limitu transakcji EUR 1 500 000. MIP może świadczyć wszystkie usługi płatnicze, w tym przyjmować środki klientów do EUR 2000. Nie może świadczyć usług opartych na dostępie do rachunku oraz nie może świadczyć usług za granicą. W razie przekroczenia limitów MIP może kontynuować działalność jeśli złoży wniosek do Komisji Nadzoru Finansowego o pełną licencję.

PSD2 umożliwia przedsiębiorcom telekomunikacyjnym obsługę płatności nie tylko - jak dotychczas - za aplikacje i inne dobra cyfrowe, ale także za bilety, w tym parkowanie, transport, koncerty. Dla wszystkich płatności obowiązuje jednak limit EUR 50 dla jednorazowej transakcji płatniczej (co wyklucza przykładowo zakup „na rachunek telefoniczny” biletu kolejowego w pierwszej klasie na niektórych trasach) oraz 300 EUR miesięcznie. W razie przekroczenia limitów niezbędne jest wystąpienie do KNF o zezwolenie.

PSD2 daje instytucjom płatniczym oraz innym niebankowym dostawcom usług płatniczych prawo żądania od banków i innych instytucji kredytowych prowadzenia dla nich rachunków na niedyskryminujących zasadach.

Weryfikacja klienta
Większość transakcji i elektroniczny dostęp do rachunku wymagać będzie podania przez klienta jednorazowego hasła albo innej formy tzw. silnego uwierzytelnienia użytkownika (także w postaci biometrii czy aplikacji do generowania kodów uwierzytelniających). Dotyczy to między innymi logowania do rachunku gdy od ostatniego logowania minęło 90 dni lub gdy użytkownik pobiera historię za ponad 90 dni. Dostawca konta (głównie bank, SKOK, ale także inne podmioty uprawnione do prowadzenia rachunku) może wymagać częściej podania hasła przy przeglądaniu rachunku.

Hasło jednorazowe będzie pojawiało się częściej niż dziś przy transakcjach kartami w internecie czy aplikacjach. Dotyczy to nie tylko płatności pojedynczych, ale także stałego obciążania karty (np. abonament usługi internetowej), czy obciążania wcześniej podanej karty (np. obciążanie karty przez Uber). Wprawdzie wydawcom kart pozostawiono możliwość nieżądania hasła, ale obwarowano to spełnieniem bardzo restrykcyjnych warunków. Warunki te zostaną określone w przyszłym Delegowanym Rozporządzeniu Komisji Europejskiej wydanym na podstawie tzw. regulacyjnych standardów technicznych (tzw. RTS). Nie wszyscy wydawcy będą w stanie spełnić te warunki. Warunki te są na tyle restrykcyjne, że bardzo utrudniają oferowanie w Unii Europejskiej tzw. conversational banking, w szczególności z wykorzystaniem bardzo popularnych w USA inteligentnych głośników typu Amazon Alexa czy Google Home.

W transakcjach zbliżeniowych kod PIN musi być podany albo co EUR 150 albo co 5 transakcji (wybór jednej z tych opcji należy do wydawcy karty). Transakcje kartą w samoobsługowych automatach parkingowych i transportowych (autostrady, bilety autobusowe, kolejowe, etc.) są zwolnione z obowiązku podawania kodu PIN.

Dostęp do rachunku klienta przez Third Party Providers
Najgłębszą ingerencją PSD2 w działalność dostawców rachunków (głównie banków) jest wprowadzenie obowiązku udostępnienia przez nie rachunków płatniczych klientów w internecie przez tzw. API lub inny interfejs (tzw. open – banking). Dyrektywa odgrywa w tym zakresie rolę katalizatora powszechnej, głębokiej cyfryzacji podstawowych, codziennych usług płatniczych. Wprowadzając obowiązek open - banking PSD2 wymaga od każdego dostawcy rachunku z dostępem elektronicznym, aby przyjął model działania znany z usług e-mail. Praktycznie każdy dostawca serwera poczty elektronicznej udostępnia możliwość odczytania poczty przez stronę www tego dostawcy. Równlegle pozwala, bez żadnej dyskryminacji, aby poczta obsługiwana przez jego serwer, ale jednocześnie była odczytywana i zarządzana przez aplikacje lub usługi innych dostawców (np. program Microsoft Outlook), jeśli posiadacz skrzynki woli korzystać w ten sposób ze swojej skrzynki. W tym celu dostawca – równolegle do możliwości odczytu poczty ze strony internetowej lub aplikacji tego dostawcy -  udostepnia specjalistyczny interfejs (zazwyczaj POP3 lub IMAP), z którym komunikuje się aplikacja innego dostawcy, z której korzysta klient, po uprzednim podaniu w tej aplikacji danych do logowania do skrzynki.

W modelu open - banking PSD2 dane z rachunku posiadacza – wyłącznie za zgodą posiadacza – może uzyskać bezpośrednio z rachunku inny podmiot, tzw. TPP – third party provider. TPP może być w myśl PSD2 zarówno klasyczna instytucja finansowa jak i usługodawca znany bardziej z cyfrowej gospodarki niż z usług finansowych (np. Google czy Amazon). Podstawowym zastosowaniem open - banking jest dostarczenie posiadaczowi przez TPP informacje o stanie finansów posiadacza na podstawie odczytu wszystkich rachunków, w tym monitorowania i zarządzania wydatkami. Równolegle open - banking PSD2 umożliwia uruchomienie przez TPP – na żądanie posiadacza rachunku - transakcji z tego rachunku, przykładowo przelewu.

Przed PSD2 usługi takie częściowo już były dostępne, zarówno w Polsce jak i innych krajach Unii Europejskiej. Posiadacz rachunku już dziś może podać dane do logowania do swojego rachunku w swoim profilu w aplikacji agregatora informacji finansowych. W przeszłości mechanizm ten był oferowany przez kilka polskich banków przy udzielaniu kredytów. Do dziś mechanizm ten funkcjonuje na rynku tzw. chwilówek.  Podobnie w niektórych usługach i sklepach internetowych już dziś płatność następuje w ten sposób, że kupujący podaje dane do logowania do rachunku i hasło jednorazowe nie na stronie swojego banku, ale na stronie sprzedawcy lub jego tzw. acquirera. Na dziś usługi powyższe funkcjonują w mechanizmie tzw. screen scraping. Ponieważ status tych usług był na gruncie PSD1 niejasny, a jednocześnie PSD1 zakazywała podawania danych do logowania osobom nieuprawnionym, niektóre banki blokowały korzystanie z tych usług przez posiadaczy rachunków. Niektóre organy nadzoru były przeciwne tego rodzaju usługom (Komisja Nadzoru Finansowego wydała w tym duchu rekomendację w 2015 r.).

PSD2 przecina te wątpliwości i wskazuje podstawowe zasady takich usług w EOG. Do zasad tych zaliczają się obowiązek posiadania przez TPP zezwolenia lub wpisu do właściwego rejestru, obowiązek posiadania ubezpieczenia lub innego zabezpieczenia jeśli usługę taką świadczy podmiot inny niż instytucja kredytowa, obowiązek udostępnienia przez dostawcę rachunku interfejsu dla każdego licencjonowanego TPP w celu pobierania danych i uruchamiania transakcji bez żądania wynagrodzenia lub zawarcia umowy przez TPP, ograniczenie dostępu TPP wyłącznie do z rachunku płatniczego (dziś TPP ma dostęp do wszystkich informacji dostępnych w bankowości elektronicznej), obowiązek TPP zidentyfikowania się wobec dostawcy rachunku, zakaz dyskryminowania przez dostawcę rachunku korzystania z usług TPP przez posiadacza rachunku, zakaz utrudniania świadczenia takich usług między innymi (co obejmuje zakaz żądania, aby posiadacz rachunku korzystający z usługi TPP był przekierowany na stronę lub do aplikacji dostawcy rachunku w celu podania danych do logowania). Spodziewane jest szerokie zainteresowanie usługami TPP. Największe polskie banki zakomunikowały publicznie wstępny zamiar świadczenia usług TPP (mBank, PKO BP). Wykorzystaniem możliwości dostępnych TPP zainteresowani są również ubezpieczyciele, dostawcy leasingu, factoringu. Nie ma żadnych przeszkód, aby usługi takie świadczył Google czy Amazon – większość podmiotów sektora tzw. Big-Tech posiada od dawna zezwolenie na świadczenie usług płatniczych w Europejskim Obszarze Gospodarczym. Polskie banki, podobnie jak brytyjskie, słowackie oraz francuskie wspólnie pracują nad stworzenie wspólnego interfejsu TPP w ramach inicjatywy o roboczej nazwie Polish API.

Implementacja
Termin implementacji PSD2 do prawa polskiej minął 13 stycznia 2018 r. Przepisy implementujące PSD2 są aktualnie procedowane w Parlamencie RP. Oczekuje się uchwalenia ustawy w drugim kwartale 2018 r. z zachowaniem co najmniej 6 miesięcznego okresu przejściowego do wdrożenia zmian przez polskie instytucje finansowe. Z mocy samej PSD2 udostępnienie interfejsu dla TPP i silne uwierzytelnienie klienta ma nastąpić w terminie 18 miesięcy od wejścia w życie Delegowanego Rozporządzenia Komisji Europejskiej. Oczekuje się, że rozporządzenie to zostanie opublikowane w marcu 2018 r. Do czasu upływu tego 18 miesięcznego terminu dotychczasowi TPP mogą świadczyć usługi na zasadach dotychczasowych. W grudniu 2017 Europejski Urząd Nadzoru Bankowego (EBA) skierował do krajów organów nadzoru opinię, w której przyjmuje, że prawo świadczenia usług na zasadach dotychczasowych obejmuje uprawnienie do świadczenia usług w mechanizmie screen scraping bez obowiązku identyfikowania się TPP wobec dostawcy rachunku do upływu 18 miesięcznego okresu przejściowego.

Ze względu na nowatorskość i obszerność PSD2 implementacja w wielu krajach jest opóźniona. Na dzień 13.01.2018 jedynie 8 państw zawiadomiło o pełnej implementacji (Czechy, Dania, Estonia, Finlandia, Francja, Niemcy, Słowacja, Wielka Brytania).

Wdrożenie PSD2 bez wątpienia przyniesie duże i bardzo odczuwalne przez wszystkich zmiany. Codzienne usługi finansowe (daily banking) zbliżą się do usług stricte internetowych. Tymczasem już w 13 stycznia 2021 r. Komisja Europejska jest zobowiązana przedstawić raport z przeglądu dyrektywy PSD2 i zaproponować PSD3 jeśli przegląd ujawni nieadekwatność rozwiązań PSD2 do zmian zaszłych na rynku. Oznacza to, że za pod koniec 2019 rozpoczną się prace w tym kierunku. Jeśli aktualne światowe trendy regulacyjne utrzymają się, niewątpliwie w ramach przeglądu rozważone zostanie umożliwienie dostawcom niebankowym w ograniczonym zakresie przyjmowania depozytów (tak między innymi ostatnio Szwajcaria) oraz otwarcie systemów płatności na uczestnictwo tych podmiotów (tak ostatnio Wielka Brytania i Litwa). Otworzy to drogę do pełnoprawnego konkurowania niebankowego Fintech z bankami o daily banking, pozostawiając bankom monopol na life-long banking (depozyty wysokokwotowe, hipoteki).

Autor artykułu będzie prelegentem organizowanej przez „Puls Biznesu” konferencji „Dyrektywa PSD 2”, która odbędzie się 14-15 marca 2018 r.


© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: dr Krzysztof Korus, Radca Prawny, dLK Legal

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Wszystko o nowej dyrektywie PSD2