PSD2 już obowiązuje. Jak zmieniają się płatności?

Przeczytaj także: Uwaga zmiany! Zobacz, jak płatność kartą będzie wyglądać po 14 września

Co tak naprawdę zmienia PSD2?

Za sprawą dyrektywy PSD2 będziemy mieć do czynienia z dwoma, kluczowymi zmianami na rynku płatności. Po pierwsze, na mocy nowych przepisów wprowadzone zostało tzw. silne uwierzytelnianie. Dotyczy ono w głównej mierze metod autoryzowania płatności oraz sposobów logowania się do systemów bankowości internetowej. Po drugie, PSD2 wprowadza dwie nowe usługi płatnicze, dzięki którym bank lub dostawca usług płatniczych ma możliwość otrzymania dostępu do rachunku prowadzonego przez inny bank.

Silne uwierzytelnianie – czyli logowanie po nowemu

Wprowadzenie silnego uwierzytelniania oznacza, że bank, autoryzując użytkownika, ma wymagać od niego podania minimum dwóch z trzech kategorii danych uwierzytelniających. Dotychczas podczas logowania do bankowości internetowej najczęściej proszono nas o podanie loginu, a więc np. numeru klienta oraz hasła. Od dziś jest jeszcze bezpieczniej, ponieważ musimy podać bankowi przynajmniej jeszcze jedną dodatkową informację uwierzytelniającą – z innej kategorii danych.

PSD2, a w zasadzie przepisy wykonawcze do Dyrektywy, tzw. RTS, wskazują, że należy posłużyć się dwoma różnymi kategoriami danych uwierzytelniających. Te kategorie to: coś co tylko użytkownik wie, coś co tylko użytkownik ma oraz coś czym tylko użytkownik niejako jest. W praktyce ostatnia kategoria to tzw. biometria, czyli odcisk palca lub wizerunek twarzy, głos. Hasło to pierwsza z tych kategorii, dlatego bank musi dodać jeszcze jedno pytanie, np. o kod SMS czy potwierdzenie w aplikacji – wyjaśnia Tomasz Klecor, prawnik i partner zarządzający w kancelarii Legal Geek, specjalizującej się w obsłudze sektora finansowego.

W ramach kanałów internetowych większość podmiotów finansowych zdecydowała się na łączenie właśnie kryterium wiedzy (haseł, kodów PIN) z kryterium posiadania (czyli kodów generowanych w aplikacji czy przekazywanych na zaufane urządzenie). Dodatkowo w aplikacjach mobilnych możemy spodziewać się kryteriów biometrycznych. Może się więc okazać, że logowanie do banku będzie trudniejsze niż dotychczas.

Musimy pamiętać, że silne uwierzytelnianie będzie wymagane nie tylko przy logowaniu się do banku, ale również przy zlecaniu transakcji czy dodawaniu tzw. zaufanych odbiorców. Niemniej w tym obszarze jesteśmy raczej przyzwyczajeni, że sam login i hasło nie wystarczą, aby zlecić przelew – dodaje Tomasz Klecor.

Zbliżeniowo częściej z PINem

Silne uwierzytelnianie klienta to nie tylko płatności w Internecie. Ponieważ nowe wymogi odnoszą się do wszystkich kanałów płatności narażonych na nadużycia, objęły również płatności kartą w terminalach i innych punktach. Co prawda płatności niskokwotowe i zbliżeniowe nadal będą mogły być realizowane w sposób uproszczony, tj. bez podania kodu PIN, ale tylko w ograniczonym zakresie.

Zgodnie z nową regulacją zasadą będzie wymuszenie silnego uwierzytelniania po przekroczeniu określonej liczby lub kwoty transakcji kartowych. W przypadku płatności zbliżeniowych bank nie musi wymagać silnego uwierzytelniania poniżej kwoty 50 euro, pod warunkiem, że klient nie wykonał więcej niż 5 transakcji lub nie przekroczył 150 euro od ostatniego zastosowania silnego uwierzytelniania.

Stosowanie tzw. koszyków, czyli wolumenów transakcji, po których przekroczeniu bank musi wymusić silne uwierzytelnianie, ma chronić klientów, którzy utracili swoje karty, np. zgubili je lub zostały one skradzione. W praktyce chroni jednak wydawcę karty, gdyż Dyrektywa PSD2 rozszerzyła jego odpowiedzialność – precyzuje Tomasz Klecor z Legal Geek.

Mniejsza odpowiedzialność klienta, bank zwróci więcej

Dyrektywa PSD2 doprowadziła również do zmniejszenia kwoty odpowiedzialności klienta, któremu skradziono kartę lub który kartę zgubił. Do tej pory klienta obciążały nieautoryzowane transakcje do kwoty 150 euro. Jeśli więc skradziono nam kartę i ktoś dokonał nią zakupów, bank zwracał nam niejako kwotę skradzioną pomniejszoną o 150 euro. Oczywiście istniały pewne wyjątki od tej zasady – nie odpowiadaliśmy np. za transakcje dokonane po zgłoszeniu do banku utraty karty. PSD2 zmniejsza tę kwotę do 50 euro. Dodatkowo bank odpowiada za wszystkie transakcje, które powinny być dokonane z zastosowaniem silnego uwierzytelniania, a nie były.

Jest to dobra wiadomość dla klientów banków, zwłaszcza tych, którym zdarza się gubić portfele z kartami. Taka strata będzie teraz dla nich znacznie mniej kosztowna.

Uwaga na wiadomości z banku!

Wprowadzenie nowych zabezpieczeń to również dobry powód dla oszustów, aby rozpocząć wyłudzanie danych do logowania. Wykorzystują oni fakt, że klienci otrzymują więcej wiadomości od swoich dostawców i wysyłają im odpowiednio spreparowane linki do fałszywych stron internetowych, do złudzenia przypominających strony banków. Klient podaje tam swoje dane dostępowe do banku, a czasem wręcz może być poproszony o podanie kodu SMS i zupełnie nieświadomie opróżnia w ten sposób swoje konto.

Przed tzw. phishingiem, czyli podszywaniem się np. pod nasze banki ostrzega m.in. Komisja Nadzoru Finansowego. Kiedy dostajemy wiadomość od kogoś, kto podaje się za nasz bank – powinniśmy dokładnie zweryfikować jej pochodzenie. Wprowadzenie nowych zabezpieczeń raczej nie będzie wymagać od nas klikania w linki w mailach – radzą prawnicy z Legal Geek.

Czy będzie łatwiej o raty?

Na rynku e-commerce coraz bardziej powszechne stają się płatności odroczone. Pojawiają się kolejne firmy oferujące raty na zakupy w sklepach internetowych. Nowe, wprowadzone dyrektywą PSD2 usługi m.in. ułatwią dokonywanie oceny zdolności kredytowej w oparciu o historię rachunku bankowego. Już teraz takimi usługami mocno zainteresowały się firmy pożyczkowe. Dzięki dostępowi do rachunku osoby wnioskującej o raty pożyczkodawca może ustalić, ile faktycznie zarabia i na co wydaje pieniądze klient. Taka ocena zdolności jest znacznie bardziej wiarygodna od oceny opartej wyłącznie na deklaracjach składanych wraz z wnioskiem o raty. Wbrew pozorom może być dzięki temu łatwiej o pożyczkę, bo nawet jeśli ktoś zarabia mniej, ale racjonalnie zarządza wydatkami, to taki scoring kredytowy może wypaść pozytywnie.

Łatwiejsze zarządzanie wieloma kontami

Usługi wprowadzone Dyrektywą PSD2 pozwalają m.in. na dostęp przez podmiot zewnętrzny do historii naszego rachunku bankowego, ale również na inicjowanie z niego płatności. Dzięki temu w ramach jednej bankowości elektronicznej niebawem możemy mieć zintegrowane konta z kilku banków. Z pewnością ułatwi to życie nie tylko konsumentom, lecz także firmom. Dostęp do rachunku z pewnością będzie wykorzystywany również przez dostawców aplikacji do prowadzenia księgowości. Dzięki niemu w programie do fakturowania będziemy mogli od razu zobaczyć, czy dana faktura została już opłacona.

Nowe rodzaje płatności online

Kolejną nowością wynikającą z PSD2 jest możliwość inicjowania płatności z rachunku bankowego prowadzonego przez inny podmiot, przykładowo operator bramki płatniczej w sklepie internetowym może automatycznie dostać się na nasze konto i na nasze żądanie przelać pieniądze bezpośrednio na rachunek sklepu. Środki trafią do sklepu z pominięciem rachunku bankowego pośrednika. Dodatkowo – ze względu na fakt, iż każdy bank musi udostępnić mechanizm dostępu do prowadzonych przez siebie rachunków – możliwość sprawnego zlecania płatności obejmie wszystkich użytkowników e‑commerce, którzy posiadają rachunki bankowe.

Co istotne, w trakcie całego procesu pośrednik inicjujący transakcję nie ma dostępu do naszych danych dostępowych do bankowości elektronicznej. Nie ma więc ryzyka, że dane zostaną przez niego zapisane i np. wykorzystane w przyszłości – precyzuje Tomasz Klecor.

Dostęp do rachunków tylko dla firm z licencją

Oczywiście otworzenie rachunków bankowych dla innych podmiotów nie ma charakteru absolutnego. Głównym wymogiem, jaki trzeba spełnić jest posiadanie odpowiedniej licencji, wydanej przez organ zajmujący się nadzorowaniem rynku finansowego w danym państwie członkowskim. W Polsce za wydawanie odpowiednich zezwoleń czy wpisy do rejestru dostawców odpowiada Komisja Nadzoru Finansowego. W tej chwili krajowe spółki mają dwie możliwości – albo świadczyć wyłącznie usługi dostępu do informacji z rachunku bankowego, co jest rozwiązaniem prostszym, albo starać się o zezwolenie obejmujące obie usługi wprowadzone przez PSD2. Ta druga opcja jest jednak zdecydowanie bardziej czasochłonna i kosztowna.

Widzimy bardzo duże zainteresowanie możliwością świadczenia usług dostępu do historii rachunków bankowych. Pytają o to zarówno firmy w związane w jakiś sposób z sektorem finansowym, np. instytucje pożyczkowe, jak i podmioty, które z FinTechem wcześniej nie wiele miały wspólnego, np. software house’y czy dostawcy oprogramowania do prowadzenia księgowości online – mówi Tomasz Klecor, który w kancelarii Legal Geek odpowiada m.in. za prowadzenie postępowań licencyjnych.

Licencja jest konieczna, aby uzyskać dostęp do tzw. API. Cały mechanizm dostępu do rachunków skonstruowany jest tak, że podmiot, który licencji nie posiada, nie ma technicznej możliwości zrealizowania usługi opartej o dostęp do rachunku. Co więcej, aby móc dostać się do naszego konta, taki dostawca będzie potrzebował naszej wyraźnej zgody. Tym samym nie powinniśmy się obawiać, że nagle np. instytucje pożyczkowe zaczną odpytywać losowo dowolne rachunki bankowe w celu sprawdzenia, czy przypadkiem nie zaproponować nam pożyczki.

Przepisy są tutaj bardzo konkretne. Dostać się do czyjegoś rachunku będzie można tylko po uzyskaniu zgody. Naruszenie tego obowiązku może skutkować nawet pozbawieniem licencji – wyjaśnia Tomasz Klecor.

Czy faktycznie 14 września czeka nas rewolucja?

Z pewnością od dziś będziemy inaczej się logować i autoryzować transakcje, zwłaszcza w przypadku banków, które dopiero teraz rezygnują z tzw. zdrapek, czyli kart z kodami jednorazowymi, na rzecz np. aplikacji mobilnych. Niemniej jednak, choć od 14 września faktycznie banki muszą „otworzyć” prowadzone przez siebie rachunki i udostępnić podmiotom trzecim dostęp do nich za pośrednictwem tzw. API, to w Polsce zapewne jeszcze trochę na to poczekamy. Wynika to z faktu, iż formalnie jeszcze żaden dostawca inny niż bank nie uzyskał odpowiedniej licencji. Tym samym krajowe FinTechy nie są w stanie rozpocząć świadczenia usług opartych o PSD2.

Aby uzyskać dostęp do rachunku użytkownika, nie wystarczy sama jego zgoda – przede wszystkim niezbędna jest odpowiednia licencja. W Polsce jeszcze żaden FinTech takiej nie uzyskał. Przyczyn z pewnością jest kilka, jednak w głównej mierze jest to spore opóźnienie we wprowadzeniu odpowiednich przepisów. Stąd też dostawcy z Wielkiej Brytanii czy Litwy, gdzie takie licencje są wydawane już od dawna, będą mieli pewną przewagę konkurencyjną nad dostawcami polskimi. Niektóre podmioty wręcz zrezygnowały z ubiegania się z licencji w Polsce na rzecz licencji litewskich – wyjaśnia Tomasz Klecor, partner zarządzający w kancelarii Legal Geek.