Skorzystaj z pomocy jednego z 200 naszych Konsultantów.
Finanse
Pracujemy:
pn. - pt. 8:00 - 19:00
Zadzwoń 22 417 11 63

Zewnętrzne firmy z dostępem do naszych rachunków bankowych — dyrektywa PSD2

Głównym celem unijnej dyrektywy PSD2 jest poprawa bezpieczeństwa konsumentów. Nowe prawo ma też pobudzać rozwój technologii usług płatniczych i zwiększyć konkurencję na rynku finansowym poprzez otwarcie się np. na FinTechy. Sprawdziliśmy, jakie zmiany wprowadziła PSD2.

mężczyzna w garniturze naciskający symbol dolara
Źródło obrazka: depositphotos
OBLICZ ZDOLNOŚĆ

 

PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Rada Unii Europejskiej zatwierdziła PSD2 już 16 listopada 2015 roku. Państwa członkowskie miały dwa lata na wdrożenie nowego prawa do własnych systemów prawnych. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku.

Dyrektywa PSD2 już obowiązuje

Wiele zapisów z dyrektywy obowiązuje tak naprawdę już od 13 stycznia 2018 roku. Istotnym elementem tej dyrektywy jest żądanie wspólnej i zabezpieczonej komunikacji (CSC), a to wymaga — przy uwierzytelnianiu stron internetowych oraz dla elektronicznych pieczęci używanych podczas komunikacji pomiędzy stronami usług finansowych — wykorzystania certyfikatów kwalifikowanych zdefiniowanych przez standard eIDAS.

Ostatecznie, w Polsce od 14 września 2019 roku, na terenie Europejskiego Obszaru Gospodarczego tj. na terytorium Unii Europejskiej, Islandii, Norwegii i Lichtensteinu obowiązują wszystkie regulacje wymienione w PSD2. Pełna treść unijnej dyrektywy PSD2 liczy 93 strony (w języku polskim) i jest dostępna na stronach Parlamentu Europejskiego.

Co PSD2 oznacza dla klientów?

To państwa i instytucje finansowe powinny przygotować i wdrożyć dyrektywę PSD2, jednak nowe prawo będzie też realnie oddziaływać na klientów:

Logowanie do konta bankowego – zanim PSD2 weszła w życie, do zalogowania się na konto bankowe zwykle wystarczyły login i hasło. Teraz wymagana jest dodatkowa autoryzacja przy logowaniu, np. podanie kodu otrzymanego w SMS lub autoryzacja za pomocą aplikacji mobilnej banku. Została też skrócona sesja logowania w bankowości internetowej — z 10 do 5 minut.

Płatności kartą – od 14 września 2019 roku może się zdarzyć, że zostaniemy poproszeni o podanie PIN nawet przy płatnościach o mniejszej wartości niż 50 zł — dzieje się tak w przypadku średnio co piątej transakcji.

Płatności internetowe – od chwili wprowadzenia PSD2 do płatności internetowych nie wystarczy już podanie numeru karty, daty jej ważności oraz trzycyfrowego kodu znajdującego się na jej odwrocie, transakcję trzeba też potwierdzić kodem z SMS, hasłem lub autoryzować za pomocą aplikacji mobilnej.

 

PSD2 w praktyce

Logowanie do konta:

- weryfikacja dwuetapowa
- czas sesji w serwisie internetowym skrócony z 10 do 5 minut
Płatności kartą:

- potwierdzenie PIN-em niektórych płatności zbliżeniowych dla kwot poniżej 50 zł
Płatności internetowe:

- dodatkowe zabezpieczenia przy płatnościach kartami
Wprowadzenie TPP:

- nowy rodzaj instytucji finansowych
Nieautoryzowane transakcje:

- banki ponoszą większą odpowiedzialność
Reklamacje:

- bank ma 15, a nie 30 dni na rozpatrzenie reklamacji

Procedura silnego uwierzytelnienia

Procedura silnego uwierzytelnienia (SCA, z ang. Strong Customer Authentication) to po prostu dwuetapowy proces weryfikacji tożsamości klienta banku. Twórcy PSD2 uznali, że SCA musi być zastosowana, kiedy klient:

  • loguje się do swojego rachunku płatniczego online,
  • inicjuje elektroniczną transakcję płatniczą,
  • przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Instytucje finansowe, są w powyższych przypadkach zobowiązane, do zastosowania co najmniej dwóch z trzech elementów, aby zweryfikować tożsamość klienta:

  • wiedzy, czyli czymś, co wie tylko właściciel konta,
  • posiadania, czyli czymś, co posiada tylko właściciel konta,
  • nieodłącznych cechach właściciela konta (metody behawioralne albo biometryczne).

Nieautoryzowana transakcja? Płacisz mniej

Zastosowanie dodatkowych zabezpieczeń skutkuje tym, że teraz to instytucje finansowe odpowiadają za nieautoryzowane transakcje. Jeśli konsument zauważy, że ktoś ukradł mu pieniądze, bank ponosi pełną odpowiedzialność i — po zgłoszeniu kradzieży — powinien niezwłocznie oddać pieniądze.

Jeżeli konsument nie zgłosi tego typu transakcji odpowiedzialność za nieautoryzowane transakcje do równowartości 50 euro (wcześniej była to kwota 150 euro), przechodzi na niego.

Dyrektywa PSD2 skraca też czas rozpatrywania reklamacji przez instytucję finansową. Wcześniej klient musiał czekać na odpowiedź banku nawet 30 dni, a teraz ten czas skrócił się do 15 dni.

Nowi gracze na rynku finansowym

Dyrektywa PSD2 umożliwiła tworzenie nowych rodzajów instytucji finansowych, tzw. Third Party Providers (TPP). To one mają świadczyć innowacyjne usługi finansowe, co podniesie konkurencyjność, ale też zmusi banki do unowocześniania własnych produktów i usług. Powołanie TPP ma też ułatwić przeprowadzanie transakcji oraz kontrolę stanu finansów każdego, kto korzysta z płatności elektronicznych.

TPP dzielą się na dwa typy:

  • PISP (Payment Initiation Service Provider) — te podmioty mogą inicjować transakcje w imieniu konsumentów (za ich zgodą) i działać w roli pośredników płatności.
  • AISP (Account Information Service Providers) — jeśli klient ma kilka kont, te instytucje mogą mu udostępnić w jednym miejscu dane z każdego z nich.

W praktyce oznacza to, że FinTechy będą mieć dostęp do danych na rachunku. Będą też mogły inicjować transakcje, np. przelew z rachunku lub sprawdzać dostępność środków na rachunku. Banki nie będą mogły odmówić współpracy z TPP, ale to klienci muszą zezwolić na dostęp do swoich danych zewnętrznym usługodawcom.

Wpuszczenie FinTechów do banków — czy to bezpieczne?

Entuzjaści PSD2 twierdzą, że to właśnie wprowadzenie TPP jest największą zaletą tej dyrektywy. Dlaczego? Banki bardzo niechętnie wprowadzają zmiany i ich usługi często nie są dopasowane do współczesnych realiów. Tymczasem FinTechy mają to zmienić. Przykład? Możemy mieć jedną aplikację, w której umieścimy nasze wszystkie rachunki bankowe i z poziomu tej aplikacji będziemy nimi zarządzać.

Pojawia się pytanie, czy PSD2 nie jest wewnętrznie niespójna, bo z jednej strony wprowadza nowe zabezpieczenia i poprawia bezpieczeństwo, a z drugiej wpuszcza na nasze konta bankowe firmy technologiczne?

Przykład Revoluta pokazuje, że firma technologiczna, która na początku nie była bankiem, może świadczyć wysokiej jakości i bezpieczne usługi finansowe. Z całą pewnością TPP będą musiały zapracować na zaufanie klientów. Pamiętajmy też, że nic nie dzieje się bez naszej zgody i to od nas zależy, kto i jakie informacje o naszych finansach otrzyma.

 

 

Czytaj też: Bogaci czy biedni — siła nabywcza Polaków

Czytaj też: Likwidacja OFE — wybrać ZUS czy IKE?

 

PORÓWNAJ KREDYTY

Powiązane tematy

Komentarze:

Dodaj komentarz

avatar
  Subscribe  
Powiadom o