Choć unijna dyrektywa w sprawie usług płatniczych (dyrektywa parlamentu europejskiego i rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zwana PSD2) obowiązuje od 1.01.2016 r., znajomość praw i obowiązków jakie nakłada na konsumentów jest szczególnie istotna w związku z koniecznością jej implementacji do przepisów krajowych. Uchwalenie PSD2 stanowi odpowiedź na dynamiczny rozwój rynku e-commerce, a tym samym oferowanych usług płatniczych.
Pokaż więcej

Na czym polegała unijna dyrektywa PSD1

Poprzednia regulacja w tym zakresie (dyrektywa 2007/64/WE – PSD1) była niewystarczająca i nie odpowiadała potrzebom zabezpieczenia płatności dokonywanych za pośrednictwem kart płatniczych, internetu, czy urządzeń mobilnych. Dyrektywa PSD2 nakłada na instytucje płatnicze (dostawców usług) szereg obowiązków, którym jednocześnie odpowiadają uprawnienia użytkowników tych usług (płatników lub odbiorców).

Co zmienia się w PDS2?

Zwrot nieautoryzowanej transakcji

Wydaje się, że najistotniejszym z uprawnień użytkowników jest prawo do żądania od dostawcy zwrotu kwoty transakcji, która nie została przez niego autoryzowana. Zwrot uzależniony jest m.in. od zachowania przez użytkownika warunków korzystania z instrumentu finansowego (np. zabezpieczenia danych dostępu do karty płatniczej) oraz niezwłocznego zgłoszenia dostawcy faktu jego utraty lub nieuprawnionego użycia. Znacznym ułatwieniem dla użytkownika jest jednak okoliczność, że to do dostawcy usług płatniczych należy udowodnienie, że transakcja ta została faktycznie uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka. Warto przy tym wskazać, że użycie instrumentu płatniczego (np. karty) zarejestrowane przez dostawcę usług, samo w sobie może nie być wystarczające do udowodnienia, że dana transakcja płatnicza została przez płatnika autoryzowana. Dostawca jest zobowiązany do zwrotu kwoty nieautoryzowanej transakcji niezwłocznie, nie później niż do końca dnia roboczego, w którym nastąpiło odnotowanie lub zgłoszenie dokonania nieautoryzowanej transakcji. Dostawca może jednak wstrzymać się ze zwrotem, jeśli ma uzasadnione podstawy, by podejrzewać oszustwo i poinformuje na piśmie o tych podstawach odpowiedni organ.

Ograniczenie prawa do blokowania środków na rachunku płatnika

Dyrektywa ogranicza również prawo dostawcy do zablokowania środków pieniężnych na rachunku płatniczym płatnika w sytuacji, gdy transakcja kartą płatniczą jest inicjowana przez odbiorcę środków pieniężnych, a jej dokładna kwota nie jest znana w momencie wyrażenia przez płatnika zgody na wykonanie tej transakcji. W takim przypadku, dostawca usług płatniczych może zablokować środki pieniężne płatnika tylko wtedy, jeżeli płatnik wyraził zgodę na zablokowanie dokładnej kwoty środków pieniężnych. W konsekwencji, jeżeli autoryzacja nie określała dokładnej kwoty transakcji płatniczej lub kwota transakcji była wyższa niż płatnik obiektywnie mógł się spodziewać, płatnik może domagać się od dostawcy zwrotu kwoty autoryzowanej w ten sposób transakcji. Tym razem jednak, to płatnik, a nie dostawca, zobowiązany jest udowodnić ww. okoliczności.

Obowiązek zabezpieczenia transakcji płatniczej

Ochronę użytkowników wzmaga także ciążący na dostawcach usług płatniczych obowiązek zabezpieczenia transakcji. Na potrzeby uzyskania zezwolenia, instytucje płatnicze będą musiały udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności. Środkami tymi są przykładowo objęcie otrzymanych od użytkowników środków pieniężnych polisą ubezpieczeniową, czy niedokonywanie łączenia tych środków ze środkami innych osób fizycznych lub prawnych. Do wykonywania usług płatniczych konieczne jest zatem wdrożenie strategii bezpieczeństwa, łącznie ze szczegółową oceną ryzyka w odniesieniu do świadczonych usług płatniczych oraz opisem środków kontroli. Niezbędne jest także wprowadzenie procedury włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych. Biorąc pod uwagę specyfikę działalności instytucji płatniczych, zastosowanie rozwiązań zapewniających ciągłość działania instytucji, w tym jasne określenie krytycznych operacji, czy skutecznych planów awaryjnych również jest nieodzowne.   

Obowiązek informacyjny wynikający z dyrektywy PSD2

Na koniec, warto również wspomnieć o nałożonym na dostawców usług obowiązku informacyjnym, dotyczącym świadczonych przezeń usług, obejmującym w szczególności:

  • informacje lub unikatowy identyfikator użytkownika, którego podanie konieczne jest do realizacji zlecenia płatniczego,
  • maksymalny czas realizacji usługi,
  • wszelkie opłaty należne dostawcy od użytkownika,
  • faktyczny lub referencyjny kurs walutowy transakcji.

Informacje powinny być podane zrozumiale, przejrzyście i czytelnie, w języku urzędowym państwa członkowskiego, w którym usługa płatnicza jest oferowana, lub w innym uzgodnionym przez strony. Na wniosek użytkownika dostawca zobowiązany jest dostarczyć ww. informacje użytkownikowi w formie papierowej lub na innym trwałym nośniku informacji. Jeżeli dostawcę lub użytkownika łączy umowa ramowa świadczenia usług płatniczych, obowiązek informacyjny może być ograniczony w stosunku do jednorazowych transakcji płatniczych:

  • na kwotę nieprzekraczającą 30 EUR, lub
  • z limitem wydatków do 150 EUR, albo
  • służących do przechowywania środków pieniężnych w kwocie do 150 EUR.

Nasi Partnerzy

logo
logo