PSD3 już na horyzoncie?

PSD3 już na horyzoncie?
Fot. Stock.Adobe.com/semisatch
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
11 marca 2020 r. Emerging Payments Association opublikowała ciekawy dokument "The Future of Payments Regulation. Voices of the EPA". Ciekawy, bo to interesująca propozycja co do zakresu PSD3, które być może jest już za rogiem.

#MichałNowakowski: Jest koncepcja, by sprzedawca, głównie przy transakcjach e-commerce, mógł decydować o tym, czy silne uwierzytelnienie jest niezbędne dla danej transakcji #SilneUwierzytelnienie #PSD2 #Autentykacja #PSD3 #RaportEPA @FinregtechPL

11 marca 2020 r. Emerging Payments Association opublikowała ciekawy dokument „The Future of Payments Regulation. Voices of the EPA”.

Ciekawy, bo to interesująca propozycja co do zakresu PSD3, które być może jest już za rogiem.

Wśród analizowanych zagadnień jest złagodzenie silnego uwierzytelnienia klientów czy bardziej klarowne rozwiązania w zakresie wykorzystywania danych klientów (m.in. w kontekście usługi dostępu do informacji o rachunku).

„Przeszedłem” przez raport i wybrałem kilka zagadnień, którym warto przyjrzeć się w kontekście zmian jakie być może czekają nas w niedługim czasie ‒ przegląd PSD2 powinien nastąpić do 13 stycznia 2021 roku. Zaczynamy więc „szybkie tourne” po propozycjach. Na początek pieniądz elektroniczny i silne uwierzytelnianie klienta.

Więcej informacji na temat dyrektywy PSD2>>>

Zachęcam do przemyśleń nt. PSD2 i tego czy pakiet można nazwać game changerem, bo pół roku doświadczeń już za nami i chyba gołym okiem widać, że na razie jesteśmy we wczesnej fazie open bankingu i trudno oceniać rzeczywisty wpływ PSD2 na rynek i konsumentów. A tych głównie „dotyka” dyrektywa i Rozporządzenie 2018/389.

PSD3 musi powstać

Co do tego nie ma wątpliwości, czego przykładem były/są trudności ze wdrożeniem SCA dla kart (plany migracji) czy wykorzystaniem biometrii. W raporcie znajdujemy słuszne stwierdzenie, że wiele z technologicznie neutralnych zapisów Rozporządzenia 2018/389 się po prostu nie sprawdziło ze względu na duży poziom ogólności.

Czytaj także: Otwarta bankowość i wykorzystanie API na świecie − w ocenie Banku Rozliczeń Międzynarodowych

To spowodowało, że wiele z podmiotów nie miało, nie ma dość odwagi i pewności, aby wdrażać nowe rozwiązania, a wyjaśnienia unijnego nadzorcy pojawiały się jednak z dużym opóźnieniem. Większa precyzja jest więc zdaniem autorów potrzebna. Pamiętać należy jednak o rozsądku. I co do tego nie mam żadnych wątpliwości.

Pieniądz elektroniczny – czas na zmiany

Autorzy rekomendują zmiany w zakresie definicji pieniądza elektronicznego, aby była ona bardziej dopasowana do dzisiejszych realiów. Rzeczywiście, patrząc przez pryzmat „naszej” definicji z ustawy o usługach płatniczych (wartość pieniężną przechowywaną elektronicznie, w tym magnetycznie, wydawaną, z obowiązkiem jej wykupu, w celu dokonywania transakcji płatniczych, akceptowaną przez podmioty inne niż wyłącznie wydawca pieniądza elektronicznego) ‒ można dojść do wniosku, że nie jest ona zbyt „świeża”.

Sama koncepcja e-money jest też chyba mało atrakcyjna ze względu na ograniczenia oraz wymogi, znacznie wyższe wymogi kapitałowe niż klasyczna krajowa instytucja płatnicza. Z tego względu znajdziemy tutaj – sensowną – rekomendację, aby spróbować zrównać wymogi w zakresie świadczenia usług opartych o pieniądz elektroniczny z tymi dla „klasycznych” usług płatniczych.

Czytaj także: Czego potrzeba do stworzenia nowoczesnej bankowości 2.0?

Ale z drugiej strony może nie być już tak różowo. Pieniądz elektroniczny jest szczególną formą płatności, która jest dużo bardziej „anonimowa” i oderwana od tożsamości niż tradycyjne płatności.

Jest też dużo bardziej ryzykowna. I z tego względu podlega innym, wyższym wymaganiom niż pozostali dostawcy usług płatniczych. Pozostaje jeszcze kwestia wykorzystania i uregulowania crypto-assets, które mogą podlegać, w pewnych warunkach temu reżimowi. Rozwaga i przemyślane działania są tutaj więc kluczowe.

Mniej silnego uwierzytelniania?

O tym, czym jest silne uwierzytelnianie klienta (SCA) pisałem już. Dość powiedzieć, że to sposób na zwiększenie bezpieczeństwa użytkowników usług płatniczych poprzez wprowadzenie dwuskładnikowego uwierzytelniania: wiedza, posiadanie i cecha.

O ile w przypadku bankowości elektronicznej zmiana nie była aż tak „uciążliwa” dla klientów, to w przypadku kart płatniczych pojawiło się wiele trudności, co skutkowało komunikatami EBA oraz KNF i koniecznością opracowania planów migracji do pełnego SCA przez wydawców oraz acquirerów i merchantów (pośrednio).

Tutaj pojawia się ciekawa, choć potencjalnie niebezpieczna, koncepcja. Sprzedawca, czyli rzeczony merchant (głównie przy transakcjach e-commerce) mógłby decydować o tym, czy silne uwierzytelnienie jest niezbędne dla danej transakcji. Towarzyszyć temu musiałby odpowiednio ukształtowany sposób przenoszenia odpowiedzialności. W dokumencie znajdujemy nawet propozycję stworzenia systemu chargeback, opartego o współpracę wszystkich aktorów płatności kartowych.

Brzmi atrakcyjnie? Takie rozwiązanie na pewno zwiększyłoby pozytywne odczucia klientów (Customer Experience), ale zbudowanie sensownego schematu odpowiedzialności, w którym występuje podmiot nieregulowany (merchant) ‒ to raczej trudne zadanie.

Czytaj także: RODO a PSD2. Wyzwania dla TPP oraz banków w kontekście otwartej bankowości

W przypadku SCA najważniejsze jest bezpieczeństwo środków klientów, a co w przypadku masowych fraudów? Nie każdy merchant będzie miał capacity do zwrotu środków. No i co z ewentualną odpowiedzialnością regresową? I w jaki sposób wyznaczyć kryteria, kiedy można, a kiedy nie można wyłączyć SCA?

Podobne rozwiązanie jeden z autorów sugeruje w odniesieniu do dostawców usługi inicjowania płatności. Problemy pozostają zasadniczo te same, choć tutaj pojawia się jeszcze kwestia reputacyjnej odpowiedzialności banków, a w przypadku dostawcy PIS mamy jednak podmiot regulowany.

Digital ID na ratunek?

Tożsamość cyfrowa to jedno z tych rozwiązań, na które czekam z niecierpliwością. Jednym z pomysłów jest zastąpienie SCA właśnie Digital ID. Pomysł sensowny, ale wymaga zmian systemowych. Samo wprowadzenie takiego wymogu w PSD3 na pewno nie wystarczy.

Konieczne byłoby stworzenie odpowiednich ram prawnych, infrastruktury i świadomości wśród użytkowników. To także duże wyzwania w kontekście ochrony danych osobowych. Jest to rozwiązanie, które pewnie wejdzie na stałe do naszego życie, ale raczej nie w PSD3. Chyba, że w jakiejś okrojonej formie.

Czytaj także: Digital ID: przyszłość sektora płatności elektronicznych ?

SCA więc na tym etapie pozostanie. Tak przynajmniej zakładam. Na dzisiaj kończę więc stwierdzeniem, że pomysły z dokumentu EPA to niekiedy po prostu życzenia, które chyba nie do końca ujmują złożoność zależności pomiędzy różnymi aktorami transakcji płatniczych.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl