Implementacja dyrektywy PSD2, czyli o podwójnej weryfikacji w zakresie bankowości słów kilka

W obecnej chwili rozwój nowoczesnych technologii następuje bardzo szybko i towarzyszy nam na każdym kroku, nie tylko w pracy, ale także w sprawach życia codziennego. Pojawienie się na rynku nowych rodzajów usług płatniczych, wzrost znaczenia e-gospodarki oraz gwałtowny popularyzacja płatności dokonywanych za pomocą urządzeń elektronicznych to czynniki, które przyczyniły się do przyjęcia nowej Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego PSD2 (Payment Services Directive 2), implementowanej do polskiego porządku prawnego poprzez nowelizację ustawy z dnia 22 lutego 2019 r. o usługach płatniczych (Dz.U. z 2019 r. poz. 659).

Dyrektywa za cele stawia przede wszystkim standaryzację rynku usług płatniczych, która może wpłynąć na funkcjonowanie takich podmiotów jak banki czy instytucje płatnicze oraz to, co z punktu widzenia użytkownika najważniejsze – podniesienie bezpieczeństwa transakcji oraz obniżenie ich kosztów. Mocą nowych przepisów, obecni oraz przyszli uczestnicy transakcji płatniczych mają mieć zagwarantowane równorzędne warunki działania przez równomierne upowszechnienie innowacyjnych oraz bezpiecznych sposobów płatności w całej UE. Co istotne, jednym z założeń PSD2 jest podniesienie konkurencyjności przez dopuszczenie na rynek nowych podmiotów i regulację ich działalności. O jakich nowych podmiotach jest mowa? TPP (Third Party Provider) będą mogły świadczyć dwa typy nowych usług:
1. usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS) polegającą na udzieleniu jej dostawcy dostępu do rachunku online płatnika w celu sprawdzenia dostępności środków pieniężnych, a następnie zainicjowania płatności,
2. usługę dostępu do informacji o rachunku (Account Information Service, AIS), przy czym dostawca świadczący tę usługę zapewni klientowi zagregowane informacje online o co najmniej jednym lub kilku rachunkach płatniczych.

Najważniejszym elementem dyrektywy z puntu widzenia konsumenta jest wprowadzenie tzw. silnego uwierzytelnienia klienta (strong customer authentication) – polegającego na tym, że aby zainicjować płatność drogą elektroniczną konieczna jest identyfikacja klienta za pomocą co najmniej 2 niezależnych metod uwierzytelnienia – np. jednocześnie za pomocą kodu SMS i rozwiązań biometrycznych. Dodatkowo, straty spowodowane nieautoryzowanymi transakcjami pokrywać ma dostawca usług płatniczych, a klient maksymalnie do wartości 50 Euro (do tej pory próg ten wynosił 150 Euro). Konsument nie będzie ponosił odpowiedzialności w sytuacji, gdy nie mógł sobie zdawać sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. Co więcej, skróceniu z 30 dni kalendarzowych do 15 dni roboczych ulegnie termin na odpowiedź w sprawie reklamacji dotyczących transakcji płatniczych. Jeżeli zajdą wyjątkowe okoliczności, o których bank nas poinformuje – można ten czas wydłużyć do 35 dni.

Uwierzytelnienie ma nastąpić na podstawie dwóch z trzech kroków, do których należą:

• wiedza o czymś, co wie wyłącznie użytkownik (coś, co wie → hasła, kody pin, loginy),
• posiadanie czegoś, co posiada wyłącznie użytkownik (coś, co ma → kody SMS,karta płatnicza, komunikaty typu push),
• cechy charakterystyczne użytkownika (coś, czym jest → odcisk linii papilarnych, obraz tęczówki, skanowanie twarzy).

Silnego uwierzytelnienia nie stosuje się w przypadku płatności zbliżeniowych, zdalnych transakcji nisko kwotowych, transakcji na rzecz osób zaufanych, rekurencji (płatności cyklicznych).​

Banki w celu podwójnej weryfikacji dopuszczają jednorazowy kod sms, aplikacje mobilną, ale wycofują powoli z użytku hasła z papierowej listy kodów oraz tokenów. Wybór drugiej autoryzacji obok tej podstawowej (dotychczasowej) należy do klientów. Instytucje bankowe prowadzą na szeroką skale kampanie informacyjną, powiadamiając użytkowników o nowej formie zabezpieczenia. Pomimo, że dotychczas płatności zbliżeniowe kartą do wartości 50 zł nie wymagały uwierzytelnienia w postaci kodu PIN, może nastąpić zmiana w tej materii.  Podanie kodu PIN będzie wymagane po przekroczeniu danej ilości transakcji zbliżeniowych (np. 5)  lub zsumowanej ich kwoty (100-150 euro – ok. 430-650 zł). Zmiany na stałe wchodzą 14 września 2019 r.  

W 2019 r. Narodowy Bank Polski opublikował raport, w którym wskazał, że w drugim półroczu 2018 r. liczba kradzieży z wykorzystaniem kart kredytowych wzrosła w Polsce o 20 procent. Dodatkowo, osiem na sto wniosków kierowanych do instytucji finansowych o kredyty to wnioski wykorzystujące fałszywą tożsamość.

Polska ustawa  z dnia 22 lutego 2019 r. o usługach płatniczych (Dz.U. z 2019 r. poz. 659) w ślad za europejską dyrektywą sprzyjającą rozwojowi obrotu bezgotówkowego, wprowadziła tz. Małą Instytucję Płatniczą (MIP). To nowy rodzaj podmiotu uprawnionego do świadczenia usług płatniczych na małą skalę. MIP mogą być osoby fizyczne, prawne lub jednostki organizacyjne niebędące osobą prawną, ale mające zdolność prawną. Mała Instytucja Płatnicza działa na podobnej zasadzie jak Krajowa Instytucja Płatnicza (KIP), ale wymogi regulacyjne w stosunku do MIP są mniej rygorystyczne, gdyż będą mogły one działać po wpisie do rejestru przez Komisję Nadzoru Finansowego, bez konieczności uzyskania licencji. MIP będą musiały jednak spełniać dwa wymogi:

• wielkość obrotu MIP nie może przekroczyć 1,5 mln euro miesięcznie.
• nie może przechowywać więcej niż 2 tys. euro od jednego klienta.

W swojej działalności MIP może przyjmować płatności instrumentami płatniczymi dla innych podmiotów, wymieniać waluty na potrzeby transakcji oraz udzielać kredytów płatniczych.

Podsumowanie

Pomimo, że obowiązek podwójnej autoryzacji dotyczy usług płatniczych, warto zastosować podwójne zabezpieczenie także przy logowanie się na popularne portale społecznościowe, aplikacje lub pocztę. Najcenniejszą informacją w sieci są nasze dane, a przez nieuwagę i brak ostrożności możemy paść ofiarą hakerów. W pierwszych tygodniach po wejściu w życie nowych przepisów warto zachować czujność.