PSD2 to skrót od Payment Services Directive 2, czyli drugiej dyrektywy o usługach płatniczych uchwalonej przez Parlament Europejski. Wprowadza ona istotne zmiany dla klientów banków i dostawców usług płatniczych. Dokument został opracowany, by zwiększyć bezpieczeństwo płatności elektronicznych. Co naprawdę zmienia?
Pokaż więcej

PSD2 została uchwalona w 2015 roku. Polskie instytucje finansowe dostosowały do jej zapisów już w 2018 r., ale część jej regulacji wejdzie w życie 14 września 2019 r. Wśród najważniejszych zmian wprowadzonych nowym dokumentem było m.in. utworzenie tzw. małych instytucji płatniczych, ułatwienie dostępu do rachunków podmiotom trzecim (TTP), obniżenie limitu odpowiedzialności klienta za nieautoryzowane transakcje kartą i wprowadzenie zasady silnego uwierzytelniania transakcji.

PSD2 i nowe podmioty na rynku

Dzięki dyrektywie PSD 2 na rynku pojawiły się małe instytucje płatnicze (MIP). Są to podmioty, które mogą dostarczać usługi finansowe konsumentom, ale działają na mniejszą skalę niż „standardowe” instytucje płatnicze. Uzyskanie licencji jest dla nich prostsze, nie wiąże się z koniecznością posiadania kapitałów założycielskich, a procedura wpisu do rejestru jest szybsza i mniej skomplikowana. Z drugiej strony pojawiają się jednak pewne ograniczenia. MIP-y nie mogą przyjmować środków klientów powyżej limitu 2000 euro, a obrót firmy nie może przekraczać 1,5 mln euro miesięcznie. Małe instytucje płatnicze nie mogą też świadczyć usług opartych na dostępie do rachunku klienta, w tym inicjować transakcji z rachunku. Definiując MIP-y, PSD2 stworzyło furtkę dla działalności w obszarze finansowym mniejszym firmom, głównie z obszaru fintech.

Drugą ważną zmianą wprowadzoną przez PSD2 jest powołanie nowych instytucji finansowych - Third Party Providers (TTP), czyli tzw. podmiotów trzecich. TTP dzielą się na dwie kategorie, które dostarczają różnego typu usługi:

  • PIS (Payment Initiation Service). To podmioty, które mogą inicjować transakcje w imieniu klientów (za ich zgodą) i działać jako pośrednicy płatności.
  • AIS (Account Information Service). To podmioty, które mogą agregować informacje z kilku rachunków klienta w jednym miejscu.

Podmioty trzecie mogą więc uzyskać dostęp do rachunków klienta i w jego imieniu świadczyć różne usługi finansowe. Banki mają obowiązek udostępnić swoje systemy dla TTP za pomocą specjalnych wtyczek – API. W praktyce nowe podmioty mogą na przykład udostępniać aplikację płatniczą, która w procesie płatności pobiera i przekazuje dalej środki bezpośrednio z bankowego konta klienta lub w jednym miejscu zbierać informacje o jego finansach z różnych banków i prezentować je w formie wykresów lub statystyk. Co ważne, rolę TTP może też pełnić bank.

Niższa odpowiedzialność klienta za nieautoryzowane transakcje kartą

Kolejną zmianą istotną z punktu widzenia klienta jest obniżenie odpowiedzialności za nieautoryzowane transakcje kartą do 50 euro. Do tej pory klientów banków obowiązywał limit w wysokości 150 euro, czyli równowartości około 600 zł. Zasada ta dotyczy przypadków, gdy klient zgubi kartę i osoba nieupoważniona dokona za jej pomocą transakcji zanim karta zostanie zastrzeżona. Zgodnie z nowymi przepisami, odpowiedzialność klienta w takiej sytuacji wynosi tylko 50 euro.

Silne uwierzytelnianie klienta

14 września 2019 roku wejdą w życie regulacje dotyczące tzw. silnego uwierzytelniania. W widoczny sposób dotyczyć one będą sposobu w jaki korzystamy z kart płatniczych i systemów bankowości elektronicznej. Silne uwierzytelnianie polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii:

  • czegoś co klient wie, na przykład hasło czy kod PIN,
  • czegoś co klient posiada, na przykład telefon,
  • czegoś, czym klient jest, np. element biometryczny – odcisk palca czy siatkówka oka.

Obecnie mechanizm ten stosowany jest na przykład w bankowości elektronicznej podczas zlecania przelewów. Klient oprócz loginu i hasła (czyli czegoś co wie, musi też podać kod z SMS lub zatwierdzić przelew mobilną autoryzacją (użyć czegoś , co posiada – telefon). Po 14 września 2019 r. procedura taka będzie stosowana także podczas logowania do systemów bankowości internetowej lub przy sprawdzaniu historii operacji starszej niż 90 dni. Banki będą jednak mogły stosować w tym przypadku wyjątki. Na przykład klient będzie mógł dodać swój komputer do „zaufanych urządzeń”, dzięki czemu odpytywanie o dodatkowy element zabezpieczający będzie następowało tylko od czasu do czasu.

Zmiany w płatnościach zbliżeniowych i mobilnych

Silne uwierzytelnianie obejmie też proces płatności zbliżeniowych z użyciem karty debetowej lub telefonu. W praktyce przełoży się to na konieczność częstszego wprowadzania kodu PIN, także przy płatnościach poniżej 50 zł. Obecnie klient banku może w zasadzie dokonać dowolną liczbę transakcji niskokwotowych (do 50 zł) bez wprowadzania kodu PIN. Po 14 września będzie można dokonać tylko pięciu pod rząd transakcji do 50 zł bez podawania kodu PIN. Przy szóstej transakcji terminal poprosi o wprowadzenie kodu. Następnie licznik się zresetuje i ponownie będzie można dokonać pięciu transakcji bez PIN. Wprowadzony zostanie też limit kwotowy – kod PIN zostanie wymuszony, jeżeli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro.

Zasada ta będzie dotyczyć także zbliżeniowych płatności mobilnych opartych o technologię HCE lub cyfrowe portfele takie jak Google Pay. Wyjątek będą stanowiły płatności dokonane za pomocą Apple Pay, które już teraz stosują silne uwierzytelnianie oparte o biometrię. Nowe zasady dotyczące wprowadzania kodu PIN przy transakcjach niskokwotowych nie będą dotyczyły jednak transakcji w samoobsługowych biletomatach, parkometrach i na bramkach autostradowych. Nie będą też działać poza terenem Europejskiego Obszaru Gospodarczego.

Zmiany w płatnościach internetowych

Silne uwierzytelnianie znajdzie też zastosowanie przy płatnościach kartą w internecie. W trakcie dokonywania płatności użytkownik zostanie poproszony o dodatkową autoryzację dyspozycji za pomocą aplikacji mobilnej. Będzie musiał podać kod SMS (tak jest już obecnie w sklepach wykorzystujących zabezpieczenia 3D-Secure) lub potwierdzić transakcję w aplikacji mobilnej. W tym drugim przypadku klient dostanie powiadomienie push z prośbą o wprowadzenie mobilnego kodu mPIN lub zatwierdzenie operacji odciskiem palca. Także tu możliwe będzie zastosowanie wyjątków od tej zasady. Stanie się tak na przykład, gdy klient regularnie kupuje w jednym sklepie internetowym. Wówczas dostawca usług płatniczych będzie mógł zdefiniować ten sklep jako „ulubiony” i nie wymuszać dodatkowej autoryzacji za pomocą telefonu.

Nowe zabezpieczenia zwiększą bezpieczeństwo klientów w trakcie dokonywania zakupów kartami. Dostawcy usług płatniczych nie oczekują, że płatności staną się przez to bardziej czasochłonne niż obecnie. Praktyka pokazuje, że większość klientów i tak regularnie wykonuje transakcje z kodem, bo są to zakupy powyżej kwoty 50 zł. Dla takich osób zmieni się niewiele, bo kod PIN będzie resetował licznik transakcji. Z kolei w przypadku zakupów internetowych już teraz wiele banków prosi klienta o wprowadzenie kodu z SMS-a. Po 14 września stanie się to jedynie regułą.

Nasi Partnerzy

logo
logo