PSD2 – Jakie zmiany dla dostawców usług płatniczych weszły w życie 14 września 2019 r.?

Od dnia 14 września 2019 r. zastosowanie znajdują regulacyjne standardy techniczne (RTS), dotyczące silnego uwierzytelniania^[1], uzupełniające postanowienia Dyrektywy PSD2. Zmieniają one sposób uwierzytelniania transakcji płatniczych, wprowadzając standard tzw. silnego (dwustopniowego) uwierzytelniania.

Silne uwierzytelnianie (Strong Customer Authentication) oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

• wiedza - coś, co wie wyłącznie użytkownik (np. kod, hasło);
• posiadanie - coś, co posiada wyłącznie użytkownik (np. aplikacja w telefonie);
• cechy klienta - coś, czym jest użytkownik (np. biometria w postaci odcisku palca);

niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych oraz które jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.
 

Dostawcy usług płatniczych powinni stosować silne uwierzytelnianie klienta w sytuacji:

• uzyskiwania przez niego dostępu do swojego rachunku płatniczego w trybie online;
• inicjowania elektronicznej transakcji płatniczej;
• przeprowadzania czynności za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

W rezultacie, banki dokonały modyfikacji swoich sposobów logowania do systemów bankowości elektronicznej, aby dostosować się do nowych wymogów.
 

Należy zwrócić uwagę, iż dostawcy usług płatniczych mogą co do zasady nie stosować silnego uwierzytelniania, w przypadku gdy płatnik inicjuje zbliżeniową elektroniczną transakcję płatniczą i jeżeli spełnione zostały następujące warunki:

a) pojedyncza kwota zbliżeniowej elektronicznej transakcji płatniczej nie przekracza 50 EUR; oraz

b)  łączna kwota poprzednich zbliżeniowych elektronicznych transakcji płatniczych zainicjowanych za pomocą instrumentu płatniczego posiadającego funkcję płatności zbliżeniowej od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza 150 EUR; lub

c)  liczba następujących po sobie zbliżeniowych elektronicznych transakcji płatniczych zainicjowanych za pomocą instrumentu płatniczego posiadającego funkcję płatności zbliżeniowej od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza pięciu.

W tym miejscu należy wskazać, iż w dniu 18 sierpnia 2019 r. Komisja Nadzoru Finansowego ogłosiła, iż zamierza umożliwić nadzorowanym dostawcom usług płatniczych niestosowanie wymogów SCA, w odniesieniu do:

• płatności internetowych przy wykorzystaniu karty płatniczej, oraz
• płatności zbliżeniowych realizowanych w terminalach płatniczych.

KNF dołączyła tym samym do grona europejskich regulatorów (między innymi z Wielkiej Brytanii, Niemiec, Francji i Włoch), którzy zdecydowali się na podobny krok. Podstawą do zwolnienia niektórych dostawców ze stosowania silnego uwierzytelniania jest opinia European Banking Authority (EBA; Europejski Urząd Nadzoru Bankowego) z 21 czerwca, w której - oceniając stan przygotowania europejskiego rynku do nowych wymogów – EBA zezwoliła krajowym organom nadzoru na warunkowe wydłużenie czasu na dostosowanie się niektórych dostawców usług do nowych przepisów. Warunkiem skorzystania z wyłączenia jest zgłoszenie chęci skorzystania z wyłączenia Komisji wraz z planem migracji. W takim przypadku – wobec tych dostawców nie będą stosowane inne środki nadzorcze związane z niestosowaniem silnego uwierzytelniania klienta. Nie jest to jednak rozwiązanie idealne. Nawet w takim przypadku bowiem - ryzyko związane z niestosowaniem po 13 września 2019 r. silnego uwierzytelniania klienta zgodnego z przepisami PSD2 oraz RTS w pełni obciążać będzie zobowiązanych do tego dostawców usług płatniczych.

1. Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji.