Dostęp do informacji o naszych kontach w pozabankowych rękach. Co z bezpieczeństwem danych?
Dyrektywę PSD2 wdraża do polskiego porządku prawnego nowelizacja ustawy o usługach płatniczych, którą w poniedziałek, wraz z 39. poprawkami, przyjął Senat.
Zdaniem Wojciecha Pantkowskiego, dyrektora Zespołu Systemów Płatniczych i Bankowości Elektronicznej w Związku Banków Polskich, dyrektywa PSD2 oznacza nową sytuację dla banków i ich klientów.
– W jej efekcie tzw. podmioty trzecie będą mogły inicjować płatności z konta klienta za jego uprzednią zgodą, a także otrzymają dostęp do informacji o rachunku klienta. Dostawcy usług prowadzenia rachunków płatniczych zostali zobowiązani do posiadania interfejsu komunikacji z tzw. podmiotami trzecimi. Pod auspicjami Związku Banków Polskich opracowywany jest Standard Polish API określający standard komunikacji w ramach otwartej bankowości przy zapewnieniu odpowiedniego poziomu bezpieczeństwa wymiany danych udostępnianych podmiotom trzecim – wyjaśnia Wojciech Pantkowski.
Czytaj także: Znamy już wyniki publicznych konsultacji Polish API >>>
Do gry wkroczą TPP
Jak widzimy zatem, wdrożenie dyrektywy PSD2 do polskiego porządku prawnego oznacza zmianę reguł gry na rynku finansowym. Do gry wejdą bowiem wspomniane już podmioty trzecie, tzw. TPP (Third Party Provider), które obok banków, instytucji płatniczych, operatorów pocztowych i innych, również będą mogły działać na rynku usług płatniczych.
Takie podmioty w Polsce już właściwie są obecne, np. realizują płatności w sklepach internetowych.
Dwa typy nowych usług
Zgodnie z nowymi przepisami TPP będą mogły świadczyć dwa typy nowych usług:
– Payment Initiation Service (PIS), czyli usługę inicjowania transakcji płatniczej, polegającą na udzieleniu dostawcy takiej usługi zdalnego dostępu do rachunku klienta, płatnika, umożliwiającego sprawdzenie dostępności środków na danym koncie, oraz na zainicjowaniu płatności, a następnie na przekazaniu klientowi informacji o dokonaniu takiej płatności; przy czym dostawca takiej usługi (podobnie jak AIS) nie wchodzi na żadnym etapie jej realizacji w posiadanie środków klienta, a odpowiada jedynie za przelew od klienta do osoby trzeciej;
– Account Information Service (AIS), czyli usługę dostępu do informacji o rachunku; jej dostawca będzie dostarczać online swoim klientom zagregowane informacje o jednym lub kilku rachunkach płatniczych. Dzięki temu klient będzie miał możliwość uzyskania kompletnego obrazu swojej sytuacji finansowej w danym momencie.
Pojawią się tzw. małe instytucje płatnicze
Po zmianie przepisów w Polsce usługi płatnicze będą mogły świadczyć tzw. MIP-y, czyli małe instytucje płatnicze. Ich status będą mogły posiadać podmioty, które będą zdolne do prowadzenia rachunków płatniczych klientów, obsługiwania ich transakcji (do 1,5 mln euro miesięcznie) oraz wydawania instrumentów płatniczych, takich jak karty, ale też do dostarczania płatności mobilnych.
MIP-y będą wpisywane do rejestru Komisji Nadzoru Finansowego i będą również miały prawo do przyjmowania środków klientów (maksymalnie 2 tys. euro).
Nowe podmioty z dostępem do naszych danych
Banki zaś, czyli dotychczasowi „monopoliści” na rynku usług płatniczych, będą zobowiązane do współpracy z nowymi podmiotami. Będą musiały bowiem udostępniać TTP niezbędne do dostarczania nowych usług dane, oczywiście tylko i wyłącznie, jeśli wyrazimy na to zgodę.
Odbywać się to będzie za pośrednictwem API, czyli bezpiecznego interfejsu komunikacyjnego.
Poprawa konkurencyjności na rynku
Jednym z głównych celów dyrektywy PSD2 jest poprawa konkurencyjności na rynku usług płatniczych. Ma to się odbyć z korzyścią dla klientów, bowiem większa konkurencja na rynku powinna skutkować ciekawszą ofertą, również nowych podmiotów dopuszczonych do gry, a także obniżeniem kosztów dokonywania płatności. Co jednak z bezpieczeństwem naszych danych?
Silne uwierzytelnianie
Ta kwestia również znalazła swoje miejsce w nowelizacji ustawy o usługach płatniczych, która wprowadza tzw. silne uwierzytelnienie użytkownika. Zgodnie z nią zainicjowanie płatności nie będzie możliwe bez identyfikacji zlecającego ją klienta za pomocą co najmniej dwóch różnych metod uwierzytelnia, czyli np. kodu SMS, ale i rozwiązania biometrycznego, np. przyłożenia kciuka do czytnika linii papilarnych na telefonie. W Polsce takie rozwiązania funkcjonują już od jakiegoś czasu. Teraz, gdy dostawca usługi nie wywiąże się jednak z obowiązku silnego uwierzytelnienie, poniesie całkowite koszty nieautoryzowanej transakcji.
Za nieautoryzowane transakcji odpowie usługodawca
Nowelizacja zawiera również zapis dotyczący przypadków nieautoryzowanej transakcji, w których to dostawca usług płatniczych będzie zobowiązany do niezwłocznego zwrotu płatnikowi kwoty transakcji. W takiej sytuacji płatnik będzie zwolniony z odpowiedzialności, gdy „nie mógł sobie zdawać sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego”. Do tej pory często „wina” w takiej sytuacji przerzucana była na klienta i to on ponosił koszty transakcji.
Wysokość progu transakcji, za którą odpowiada instytucja płatnicza, również zmieni się na korzyść klientów. W przypadku nieautoryzowanej transakcji płatniczej, płatnik będzie musiał zapłacić „tylko” 50 euro, a nie tak jak obecnie 150 euro.
Można spodziewać się, że nowe regulacje rzeczywiście, zgodnie z założeniami, przyczynią się do wzrostu konkurencji na rynku. Banki, instytucje płatnicze i fintechy będą zabiegać o klientów, oferując im zapewne coraz to ciekawsze, wygodniejsze i miejmy nadzieję, że również bezpieczniejsze rozwiązania oparte o najnowsze technologie. Najważniejsze jednak, żeby nie ucierpiało na tym bezpieczeństwo klientów, żeby nie doszło, odwrotnie do zamierzeń i celów nowych przepisów, do wzrostu liczby cyberoszustw, co mogłoby z kolei przełożyć się na spadek zaufania, a co za tym idzie i popularności płatności internetowych.
