Głównym celem unijnej dyrektywy PSD2 jest poprawa bezpieczeństwa konsumentów. Nowe prawo ma też pobudzać rozwój technologii usług płatniczych i zwiększyć konkurencję na rynku finansowym poprzez otwarcie się np. na FinTechy. Sprawdziliśmy, jakie zmiany wprowadziła PSD2.
Czym jest dyrektywa PSD2?
PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Rada Unii Europejskiej zatwierdziła PSD2 już 16 listopada 2015 roku. Państwa członkowskie miały dwa lata na wdrożenie nowego prawa do własnych systemów prawnych. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku.
Dyrektywa PSD2 już obowiązuje
Wiele zapisów z dyrektywy obowiązuje tak naprawdę już od 13 stycznia 2018 roku. Istotnym elementem tej dyrektywy jest żądanie wspólnej i zabezpieczonej komunikacji (CSC), a to wymaga — przy uwierzytelnianiu stron internetowych oraz dla elektronicznych pieczęci używanych podczas komunikacji pomiędzy stronami usług finansowych — wykorzystania certyfikatów kwalifikowanych zdefiniowanych przez standard eIDAS.
Ostatecznie, w Polsce od 14 września 2019 roku, na terenie Europejskiego Obszaru Gospodarczego tj. na terytorium Unii Europejskiej, Islandii, Norwegii i Lichtensteinu obowiązują wszystkie regulacje wymienione w PSD2. Pełna treść unijnej dyrektywy PSD2 liczy 93 strony (w języku polskim) i jest dostępna na stronach Parlamentu Europejskiego.
Co PSD2 oznacza dla klientów?
To państwa i instytucje finansowe powinny przygotować i wdrożyć dyrektywę PSD2, jednak nowe prawo będzie też realnie oddziaływać na klientów:
Logowanie do konta bankowego – zanim PSD2 weszła w życie, do zalogowania się na konto bankowe zwykle wystarczyły login i hasło. Teraz wymagana jest dodatkowa autoryzacja przy logowaniu, np. podanie kodu otrzymanego w SMS lub autoryzacja za pomocą aplikacji mobilnej banku. Została też skrócona sesja logowania w bankowości internetowej — z 10 do 5 minut.
Płatności kartą – od 14 września 2019 roku może się zdarzyć, że zostaniemy poproszeni o podanie PIN nawet przy płatnościach o mniejszej wartości niż 50 zł — dzieje się tak w przypadku średnio co piątej transakcji.
Płatności internetowe – od chwili wprowadzenia PSD2 do płatności internetowych nie wystarczy już podanie numeru karty, daty jej ważności oraz trzycyfrowego kodu znajdującego się na jej odwrocie, transakcję trzeba też potwierdzić kodem z SMS, hasłem lub autoryzować za pomocą aplikacji mobilnej.
| Logowanie do konta: - weryfikacja dwuetapowa - czas sesji w serwisie internetowym skrócony z 10 do 5 minut | Płatności kartą: - potwierdzenie PIN-em niektórych płatności zbliżeniowych dla kwot poniżej 50 zł | Płatności internetowe: - dodatkowe zabezpieczenia przy płatnościach kartami |
| Wprowadzenie TPP: - nowy rodzaj instytucji finansowych | Nieautoryzowane transakcje: - banki ponoszą większą odpowiedzialność | Reklamacje: - bank ma 15, a nie 30 dni na rozpatrzenie reklamacji |
Procedura silnego uwierzytelnienia
Procedura silnego uwierzytelnienia (SCA, z ang. Strong Customer Authentication) to po prostu dwuetapowy proces weryfikacji tożsamości klienta banku. Twórcy PSD2 uznali, że SCA musi być zastosowana, kiedy klient:
- loguje się do swojego rachunku płatniczego online,
- inicjuje elektroniczną transakcję płatniczą,
- przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Instytucje finansowe, są w powyższych przypadkach zobowiązane, do zastosowania co najmniej dwóch z trzech elementów, aby zweryfikować tożsamość klienta:
- wiedzy, czyli czymś, co wie tylko właściciel konta,
- posiadania, czyli czymś, co posiada tylko właściciel konta,
- nieodłącznych cechach właściciela konta (metody behawioralne albo biometryczne).
Nieautoryzowana transakcja? Płacisz mniej
Zastosowanie dodatkowych zabezpieczeń skutkuje tym, że teraz to instytucje finansowe odpowiadają za nieautoryzowane transakcje. Jeśli konsument zauważy, że ktoś ukradł mu pieniądze, bank ponosi pełną odpowiedzialność i — po zgłoszeniu kradzieży — powinien niezwłocznie oddać pieniądze.
Jeżeli konsument nie zgłosi tego typu transakcji odpowiedzialność za nieautoryzowane transakcje do równowartości 50 euro (wcześniej była to kwota 150 euro), przechodzi na niego.
Dyrektywa PSD2 skraca też czas rozpatrywania reklamacji przez instytucję finansową. Wcześniej klient musiał czekać na odpowiedź banku nawet 30 dni, a teraz ten czas skrócił się do 15 dni.
Nowi gracze na rynku finansowym
Dyrektywa PSD2 umożliwiła tworzenie nowych rodzajów instytucji finansowych, tzw. Third Party Providers (TPP). To one mają świadczyć innowacyjne usługi finansowe, co podniesie konkurencyjność, ale też zmusi banki do unowocześniania własnych produktów i usług. Powołanie TPP ma też ułatwić przeprowadzanie transakcji oraz kontrolę stanu finansów każdego, kto korzysta z płatności elektronicznych.
TPP dzielą się na dwa typy:
- PISP (Payment Initiation Service Provider) — te podmioty mogą inicjować transakcje w imieniu konsumentów (za ich zgodą) i działać w roli pośredników płatności.
- AISP (Account Information Service Providers) — jeśli klient ma kilka kont, te instytucje mogą mu udostępnić w jednym miejscu dane z każdego z nich.
W praktyce oznacza to, że FinTechy będą mieć dostęp do danych na rachunku. Będą też mogły inicjować transakcje, np. przelew z rachunku lub sprawdzać dostępność środków na rachunku. Banki nie będą mogły odmówić współpracy z TPP, ale to klienci muszą zezwolić na dostęp do swoich danych zewnętrznym usługodawcom.
Wpuszczenie FinTechów do banków — czy to bezpieczne?
Entuzjaści PSD2 twierdzą, że to właśnie wprowadzenie TPP jest największą zaletą tej dyrektywy. Dlaczego? Banki bardzo niechętnie wprowadzają zmiany i ich usługi często nie są dopasowane do współczesnych realiów. Tymczasem FinTechy mają to zmienić. Przykład? Możemy mieć jedną aplikację, w której umieścimy nasze wszystkie rachunki bankowe i z poziomu tej aplikacji będziemy nimi zarządzać.
Pojawia się pytanie, czy PSD2 nie jest wewnętrznie niespójna, bo z jednej strony wprowadza nowe zabezpieczenia i poprawia bezpieczeństwo, a z drugiej wpuszcza na nasze konta bankowe firmy technologiczne?
Przykład Revoluta pokazuje, że firma technologiczna, która na początku nie była bankiem, może świadczyć wysokiej jakości i bezpieczne usługi finansowe. Z całą pewnością TPP będą musiały zapracować na zaufanie klientów. Pamiętajmy też, że nic nie dzieje się bez naszej zgody i to od nas zależy, kto i jakie informacje o naszych finansach otrzyma.
Czytaj też: Bogaci czy biedni — siła nabywcza Polaków
Czytaj też: Likwidacja OFE — wybrać ZUS czy IKE?
Najczęściej zadawane pytania:
Jakie są główne cele PSD2?
PSD2, czyli Druga Dyrektywa w sprawie Usług Płatniczych, to przepis prawny przyjęty przez Unię Europejską, który wprowadza nowe ramy regulacyjne dla instytucji finansowych działających w UE. Główne cele PSD2 to:
Wzrost konkurencji – poprzez umożliwienie firmom trzecim dostępu do kont bankowych klientów (z ich zgodą), PSD2 ma na celu stworzenie bardziej konkurencyjnego rynku usług finansowych.
Zwiększenie innowacyjności – dzięki otwarciu rynku na nowe podmioty, takie jak inicjatorzy płatności (PIS) i dostawcy usług informacji o rachunku (AIS), PSD2 ma na celu zachęcenie do tworzenia nowych i innowacyjnych produktów finansowych.
Poprawa bezpieczeństwa płatności – wprowadzenie silnego uwierzytelniania klienta (SCA) ma na celu zwiększenie poziomu bezpieczeństwa transakcji online.
Rozszerzenie ochrony konsumenta – PSD2 wprowadza szereg środków mających na celu wzmocnienie ochrony konsumenta, w tym szybsze rozpatrywanie reklamacji i ograniczenie odpowiedzialności klienta za nieautoryzowane transakcje.
Integracja rynków płatniczych w UE – poprzez standaryzację i harmonizację przepisów dotyczących usług płatniczych w całej Unii Europejskiej, PSD2 ma na celu stworzenie bardziej jednolitego rynku płatniczego.
Promocja płatności elektronicznych – poprzez zachęcanie do korzystania z nowoczesnych i bezpiecznych metod płatności, PSD2 dąży do zwiększenia liczby transakcji elektronicznych w UE.
