Miesięcznik Finansowy BANK 2025/10

Duże zmiany w usługach płatniczych na horyzoncie, ale to jeszcze nie rewolucja

Michał Mostowik | Deloitte
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Duże zmiany w usługach płatniczych na horyzoncie, ale to jeszcze nie rewolucja
Karta bankowa Fot. stock.adobe.com/agcreativelab
Jeżeli cofnęlibyśmy się w czasie o jakieś 10 lat, z pewnością jeszcze raz odczulibyśmy entuzjazm związany z dyrektywą PSD2. Już wkrótce poprawi ona bezpieczeństwo płatności, a nadchodząca era otwartej bankowości zrewolucjonizuje usługi finansowe. Może nawet odczujemy obawę o przyszłość sektora finansowego – podobno już wkrótce banki zostaną tylko źródłem pieniądza, a ich klientów szturmem przejmą big techy… […]

Michał Mostowik
Dr Michał Mostowik
Adwokat, Deloitte Legal

Lekcja z PSD2, czyli poczekajmy na owoce

Jeżeli cofnęlibyśmy się w czasie o jakieś 10 lat, z pewnością jeszcze raz odczulibyśmy entuzjazm związany z dyrektywą PSD2. Już wkrótce poprawi ona bezpieczeństwo płatności, a nadchodząca era otwartej bankowości zrewolucjonizuje usługi finansowe. Może nawet odczujemy obawę o przyszłość sektora finansowego – podobno już wkrótce banki zostaną tylko źródłem pieniądza, a ich klientów szturmem przejmą big techy… I jeszcze to całe RODO!

Ile z tych wizji sprawdziło się? Chyba trudno dziś podpisać się choćby pod jedną z nich bez zawahania. Rozwiązania portfelowe faktycznie zyskały dużą popularność na rynku, ale dzisiaj w polskim e-commerce niepodzielnie króluje BLIK, a nie big techy. Otwarta bankowość rozczarowała, a jej zastosowanie ograniczyło się do kilku przewidywalnych scenariuszy (zastąpienie PBL, wsparcie oceny zdolności kredytowej i KYC). Najtrafniejsze okazały się oczekiwania dotyczące silnego uwierzytelniania klienta (SCA) i zarządzania ryzykiem operacyjnym. Nacisk na bezpieczeństwo usług finansowych w ostatniej dekadzie był jednak na tyle silny, że ostatecznie PSD2 była raczej katalizatorem niż zapalnikiem tej zmiany.

Oczywiście powyższa diagnoza jest uproszczeniem, ale warto z zachowaniem proporcji spojrzeć na (powoli) dobiegające końca prace nad nowym pakietem. W czerwcu polska prezydencja w UE przyjęła kompromisowe teksty Rady dla projektów dyrektywy PSD3 i rozporządzenia PSR. Otworzyło to drogę do tzw. trilogów, czyli nieformalnych uzgodnień ostatecznego tekstu tych regulacji pomiędzy Komisją, Radą oraz Parlamentem Europejskim. Dopiero wówczas poznamy ostateczny kształt nowej regulacji.

Odpowiedzialność w centrum uwagi

Nowe rozporządzenie kładzie duży nacisk na odpowiedzialność banków za transakcje. Jej zakres zostanie rozszerzony i obejmie zarówno transakcje nieautoryzowane, jak i niektóre transakcje autoryzowane. Chodzi m.in. o płatności zlecone przez klienta banku wskutek manipulacji ze strony oszusta podszywającego się pod pracownika banku lub błędnie przeprowadzonej weryfikacji danych odbiorcy (o usłudze weryfikacji danych odbiorcy będzie jeszcze kilka słów w dalszej części artykułu).

Największy wpływ na banki będą miały zmienione przepisy dotyczące odpowiedzialności za transakcje wykonane na skutek wprowadzenia użytkownika w błąd, np. przez rzekomego „pracownika banku”. Nowe przepisy zakładają prawo klienta do otrzymania zwrotu autoryzowanej transakcji płatniczej, jeśli do jej wykonania doszło wskutek manipulacji ze strony osoby trzeciej udającej pracownika banku.

Warunkiem takiej odpowiedzialności banku będzie korzystanie przez oszusta z kanałów komunikacji przypisanych do banku. Czy to ograniczenie zabezpiecza interes banków, biorąc pod uwagę możliwość podmiany przez oszusta (bez wiedzy banku) ID numeru dzwoniącego lub nagłówków wiadomości email? Dostawcy usług komunikacji elektronicznej, tacy jak przedsiębiorstwa telekomunikacyjne, będą zobowiązani podejmować „wszelkie rozsądne środki organizacyjne i techniczne”, żeby takim oszustwom przeciwdziałać. Rozporządzenie nie przesądza jednak, czy banki będą mogły uzyskać odszkodowanie za środki zwrócone klientom.

Odpowiedzialność za transakcje nieautoryzowane

Projektowane rozporządzenie zmienia też zasady odpowiedzialności za transakcje nieautoryzowane. Jedną z najbardziej krytycznie ocenianych zmian jest rozszerzenie ciężaru dowodu po stronie banków. Dzisiaj dyrektywa  PSD2 wymaga, aby bank udowodnił uwierzytelnienie, prawidłowe zapisanie i ujęcie transakcji w księgach oraz brak wpływu awarii lub usterek na przeprowadzoną transakcję. Zgodnie z aktualnym projektem w przepisie tym „uwierzytelnienie” zostanie zastąpione „autoryzacją”. Jest to analogiczna konstrukcja, którą już wiele lat temu – zresztą wskutek nieprawidłowej implementacji dyrektywy PSD2 – wprowadzono do polskiej ustawy.

Efekt? Lawina sporów i wątpliwości interpretacyjnych. Choćby tych najbardziej oczywistych: jeżeli bank odpowiada za transakcję nieautoryzowaną (czyli wykonaną bez autoryzacji), dlaczego przepis nie ogranicza się do wymogu wykazania autoryzacji? Co dalej, jeśli bank wykaże, że transakcja została prawidłowo autoryzowana (czyli nie była nieautoryzowana), ale nie przedstawi dowodów na brak awarii lub usterki?

Projekt PSR utrzymuje także ogólną regułę zwrotu kwoty nieautoryzowanej transakcji następnego dnia roboczego po otrzymaniu reklamacji (reguła D+1). Nieco korzystniejsze dla banków będzie natomiast wydłużenie czasu na reakcję w przypadku, w którym istnieją rozsądne powody, by zakładać oszustwo ze strony użytkownika. PSR nie zwolni banków z obowiązku zawiadomienia organów ścigania, ale przyznaje dodatkowe 15 dni na decyzję o dokonaniu lub odmowie dokonania zwrotu.

PSR utrzymuje też zasadę, że klient banku powinien zgłosić roszczenia z tytułu nieautoryzowanej transakcji niezwłocznie, nie później niż 13 miesięcy od jej wystąpienia. W tym zakresie zachowuje aktualność jeden z najnowszych wyroków Trybunału Sprawiedliwości UE, zgodnie z którym już brak niezwłoczności tego zgłoszenia (pomimo dochowania terminu 13-miesięcznego) skutkuje wygaśnięciem roszczeń klienta.

Naturalnie nie sposób analizować projektowanych regulacji w oderwaniu od dotychczasowych działań Prezesa UOKiK w obszarze transakcji nieautoryzowanych. Nie chodzi tylko o zarzuty postawione poszczególnym bankom w postępowaniach o naruszenie zbiorowych interesów konsumentów, ale również m.in. o stanowisko z 16 listopada 2022 r. czy dwa lata późniejsze zalecenia dla dostawców usług płatniczych. Czas pokaże, czy nowe przepisy wpłyną na podejście UOKiK.

Usługa weryfikacji danych odbiorcy

Projekt PSR przewiduje obowiązek wdrożenia przez banki usługi weryfikacji danych odbiorcy, tzn. sprawdzenia, czy podane dane odbiorcy zgadzają się z informacjami przypisanymi do wprowadzonego numeru rachunku. Ma to zabezpieczać użytkowników przed zleceniem przelewu na błędny rachunek – zarówno wskutek omyłki, jak też manipulacji (np. podrobionej faktury ze zmienionym numerem konta). O ile w teorii sama usługa jest relatywnie prosta, w praktyce rodzi co najmniej dwa duże wyzwania.

Po pierwsze, polskie banki powinny zapewnić gotowość infrastruktury do wymiany danych w zakresie składanych zapytań. W teorii jej wdrożenie powinno nastąpić już wcześniej, ponieważ podobny wymóg wprowadza rozporządzenie IPR (Instant Payment Regulation), które zostało uchwalone w zeszłym roku i zacznie obowiązywać polskie banki zasadniczo od 2027 r.

Po drugie, logika regulacji wskazuje, że dane odbiorcy mogą zostać ocenione jako zgodne, niezgodne i… prawie zgodne. W tym ostatnim przypadku bank powinien wskazać płatnikowi prawidłową nazwę odbiorcy. Jak duże niezgodności mogą uzasadniać „prawie zgodność”, a kiedy należy stwierdzić, że dane się po prostu nie zgadzają? Nowa usługa rodzi wiele pytań pozostających (jeszcze) bez odpowiedzi. Jest jednak i dobra wiadomość: usługę tę w 2020 r. wprowadziły również banki w Wielkiej Brytanii i dotychczas była ona oceniana raczej korzystnie.

Silne uwierzytelnianie klienta (SCA)

Zmiany dotkną również wymogi związane z SCA. Prawodawca planuje dopuszczenie możliwości korzystania z dwóch elementów uwierzytelnienia należących do tej samej kategorii (wiedza, posiadanie, cechy klienta), jeżeli zachowują one niezależność. Obligatoryjne będzie również zapewnienie wymogów dostępności dla procesu SCA (np. dla osób o niższych kompetencjach cyfrowych) i zawarcie umów outsourcingowych pomiędzy bankami a operatorami rozwiązań portfelowych (typu Apple Pay lub Google Pay).

Duży wpływ na proces SCA będzie miało również rozporządzenie eIDAS 2.0, które wprowadza obowiązek udostępnienia przez każde państwo UE przynajmniej jednego Europejskiego Portfela Tożsamości Cyfrowej (EDIW). Na banki z kolei nałoży ono obowiązek każdorazowego honorowania EDIW na potrzeby uwierzytelnienia klienta przynajmniej we wszystkich przypadkach, w których obligatoryjne pozostaje stosowanie SCA. Nadal jednak – zgodnie z aktualnym brzmieniem projektu PSR – to bank pozostanie odpowiedzialny za błędy popełnione przez wydawcę EDIW.

Podsumowanie

Na koniec warto przypomnieć, że w polskich bankach nieustannie wydłuża się też kolejka regulacji oczekujących na wdrożenie. Warto wymienić choćby wspomniane już rozporządzenie IPR, dyrektywę CCD2, pakiet AML czy AI Act. Tymczasem bezpośrednio po uchwaleniu i publikacji PSR ruszy odliczanie dwuletniego (z wyjątkami) okresu na dostosowanie się banków do nowej regulacji. „Zwyczajowe” opóźnienia w przyjęciu polskiej ustawy pozostaną bez wpływu na ten termin, ponieważ prawodawca unijny zdecydował, że gros nowych rozwiązań przybierze kształt rozporządzenia – aktu prawnego niewymagającego implementacji do polskiej ustawy. Czy będzie to czas wystarczający? Wiele zależy od tego, czy nadzorcy pomogą w wyjaśnianiu głównych rozbieżności interpretacyjnych, a także czy procesy wdrożenia zostaną rozpoczęte dostatecznie wcześnie.

Warto jednak poszukać też pozytywnych skutków zmian. Rosnąca szczegółowość przepisów oraz orzecznictwo Trybunału Sprawiedliwości UE w zakresie odpowiedzialności banków mogą pomóc w uspójnieniu oczekiwań poszczególnych organów ochrony konsumenta w zakresie odpowiedzialności banków. A sektor bankowy z pewnością potrzebuje dzisiaj stabilizacji otoczenia prawnego i do tego powinien dążyć unijny prawodawca.

Artykuł sponsorowany

Źródło: Miesięcznik Finansowy BANK