Co zawiera projekt nowelizacji ustawy o usługach płatniczych?
Zacznijmy od tego, że niewielkie zmiany dotyczyć mają definicji. Przykładowo doprecyzowania doczekał się instrument płatniczy, który zgodnie z propozycją ma być rozumiany jako zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zindywidualizowany zbiór procedur, wykorzystywany w celu zainicjowania zlecenia płatniczego.
W dotychczasowym brzmieniu mowa było o „złożeniu” zlecenia płatniczego. Zmiany w pojęciach dotyczą także „jednostki dominującej” oraz „wydawania instrumentów płatniczych”.
Kolejna zmiana dotyczy rozszerzenia katalogu informacji przekazywanych przez poszczególne podmioty do Narodowego Banku Polskiego. Ciekawy jest w tym zakresie nowo dodawany art. 14aa, zgodnie z którym dostawca usług płatniczych oraz podmiot świadczący usługi na rzecz dostawcy usług płatniczych wydającego instrument płatniczy (…) będą zobowiązani do przekazywania kwartalnych informacji obejmujących m.in. liczbę posiadanych bankomatów i wpłatomatów czy liczby transakcji nieautoryzowanych.
Czytaj także: ZBP o zmianie przepisów dotyczących autoryzacji transakcji>>>
Zmiany obejmują także inne podmioty, jak dostawcy prowadzący rachunek, w tym dostawcy świadczący usługi płatnicze na terytorium Rzeczypospolitej Polskiej w ramach działalności transgranicznej przez oddział lub za pośrednictwem agenta czy dostawców świadczących usługę inicjowania płatności.
Autoryzacja transakcji płatniczych
Interesujące są zmiany dotyczące m.in. art. 40, który dotyczy autoryzacji transakcji płatniczych. Zmiana niepozorna, ale mogąca mieć istotne konsekwencje, ale rodzić też wątpliwości interpretacyjne. Po pierwsze art. 40 ust. 1 wskazuje, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Kropka.
Nowe brzmienie ust. 1 przewiduje z kolei, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik osobiście wyraził zgodę na jej wykonanie. Dodatkowo ust. 2 doznaje zmiany polegającej na tym, że otrzymuje on brzmienie: „[w]yrażenie zgody przez płatnika na dokonanie transakcji płatniczej, o której mowa w ust. 1, odbywa się w sposób uzgodniony pomiędzy płatnikiem a dostawcą usług płatniczych. Zgoda może dotyczyć także kolejnych transakcji płatniczych”.
Ustawodawca poszedł jednak jeszcze dalej, bowiem zaproponowano usunięcie art. 40 ust. 3 i 4, dotyczących możliwości wycofania zgody na dokonanie transakcji płatniczej. Jak rozumiem oznacza to, że płatnik nie będzie mógł wycofać takiej zgody w ogóle. Istotna zmiana, która może usunąć wiele wątpliwości interpretacyjnych oraz usprawnić wiele procesów operacyjnych po stronie dostawców usług płatniczych.
Płatnik nie będzie mógł wycofać takiej zgody (na dokonanie transakcji) w ogóle
Wróćmy jednak na chwilę do wspomnianego art. 40 ust. 1, który wprowadza nowe rozumienie autoryzowanej transakcji płatniczej, wymagającej osobistego wyrażenia zgody na jej wykonanie. Oznacza to ni mniej, ni więcej, że każdorazowo w przypadku podejrzenia, że transakcja była nieautoryzowana konieczne będzie weryfikowanie czy zgoda była złożona osobiście i co właściwie będzie oznaczało „osobiste wyrażenie zgody”, w szczególności w kontekście płatności dokonywanych w kanałach cyfrowych.
Warto na to zwrócić uwagę na etapie dalszych prac legislacyjnych, bowiem konsekwencje wprowadzenia takiej zmiany mogą mieć doniosłe znaczenie.
Uwierzytelnienie i autoryzacja
Ciekawe zmiany (i pożądane w związku z błędną implementacją dyrektywy) pojawiają się w kontekście art. 45 ust. 1 i 1a, bowiem ustawodawca zaproponował, aby wyrazy „autoryzowana” zastąpić wyrazem „uwierzytelniona”. Jakie będzie to miało konsekwencje?
Zacznijmy od przypomnienia jak rozumiemy oba pojęcia. Zgodnie ze słowniczkiem do ustawy o usługach płatniczych ‒ uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających. Uwierzytelniona oznacza więc „sprawdzona” pod kątem tego, kto posługuje się przykładowo instrumentem płatniczym. W dużym skrócie oczywiście.
Autoryzacja z kolei, zgodnie z tym co znajdziemy w art. 40 ust. 1, jest wyrażeniem zgody na przeprowadzenie transakcji po dokonaniu weryfikacji tożsamości.
Przejdźmy teraz do art. 45 ust. 1 (ust. 1 a odnosi się do usługi inicjowania transakcji, więc uwagi są zasadniczo zbieżne), który stanowi, że „[n]a dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz, że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej”.
W konsekwencji, jeżeli zmiany wejdą w życie, dostawcy usług płatniczych będą musieli jedynie udowodnić, że dokonali sprawdzenia tożsamości i przebiegu uwierzytelnienia, natomiast nie będą musieli już wykazywać, że na daną transakcję użytkownik wyraził zgodę. Zmiana, na którą czekała znaczna część dostawców usług płatniczych.
Rezultatem wprowadzenia – poprawienia – ustawy o usługach płatniczych w tym zakresie będzie znaczne usprawnienie procesów reklamacyjnych, przynajmniej od strony operacyjnej, w przypadku transakcji nieautoryzowanych.
Dostawcy usług płatniczych będą musieli jedynie udowodnić, że dokonali sprawdzenia tożsamości i przebiegu uwierzytelnienia, natomiast nie będą musieli już wykazywać, że na daną transakcję użytkownik wyraził zgodę
Oczywiście powoduje to inne wyzwania, w szczególności po stronie samego płatnika, który zasadniczo będzie musiał wykazać, że transakcje nie była przez niego autoryzowana, choć jednocześnie pamiętać należy o proponowanej zmianie w zakresie „osobistego” wyrażenia zgody na transakcję. Wymagać to będzie także edukacji klientów, ale zmiana jest pożądana.
Czytaj także: Credit Agricole: w nowej aplikacji mobilna autoryzacja i umawianie spotkań z doradcą
Usługi inicjowania płatności
Przejdźmy jednak dalej, bo zmian jest więcej. W art. 59r odnoszącym się do zasad dotyczących usługi inicjowania płatności zaproponowano nowy ust. 4a zgodnie z którym „[d]ostawca wykonujący transakcję płatniczą zainicjowaną za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej jest obowiązany stosować wobec płatnika, odbiorcy, dostawcy świadczącego usługę inicjowania płatności i dostawcy odbiorcy niedyskryminujące zasady w stosunku do zleceń płatniczych przekazanych bezpośrednio przez samego płatnika, w szczególności co do czasu wykonania lub wysokości pobieranych opłat”.
Jest to wyrazem konieczności zapewniania równych zasad dla różnych kategorii dostawców usług płatniczych, w szczególności tych niebankowych, a także niestwarzania dodatkowych przeszkód w realizacji koncepcji otwartej bankowości, o czym mowa także w Rozporządzeniu 2018/389.
Zabezpieczenie roszczeń użytkowników
Ważna zmiana – na której dzisiaj zakończę analizę – dotyczy dodania art. 78 ust. 11, który stanowi, że „[k]rajowa instytucja płatnicza uprawniona do świadczenia usługi inicjowania transakcji płatniczej lub usługi dostępu do informacji o rachunku jest obowiązana do zabezpieczenia roszczeń użytkownika w sposób określony w art. 61b.”.
Oznacza to, że umowa ubezpieczenia czy gwarancji (lub inny środek określony w art. 61b) powinien zostać „rozszerzony” w przypadku, gdy KIP otrzymuje – w związku ze złożonym wnioskiem – uprawnienie do świadczenia usługi inicjowania transakcji płatniczej lub usługi dostępu do informacji o rachunku. Jest to wyraźne doprecyzowanie obowiązku w tym zakresie, bowiem dotychczas o obowiązku tym mowa jest w kontekście samego procesu licencyjnego.
Tyle na dzisiaj, choć pozostało nam jeszcze kilka zmian, którymi zajmiemy się jednak przy innej okazji. Jak widać nie są to zmiany wyłącznie kosmetyczne, co powoduje, że ich ostateczny kształt nie jest przesądzony. Wiele kontrowersji będzie z pewnością budziła kwestia związana z odpowiedzialnością za nieautoryzowane transakcje, jednakże zaproponowane modyfikacje należy uznać za pożądane.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.