Dyrektywa płatnicza PSD2

10 maja 2018 r. weszła w życie ustawa dostosowująca polskie prawo do dyrektywy Unii Europejskiej PSD2 z listopada 2015 r. Zmiany dotyczą usług płatniczych i wprowadzają nowe formy działalności w tej dziedzinie oraz dodatkowe zabezpieczenia konsumentów przed wyłudzeniami. Jakie dokładnie regulacje zawiera nowe prawo?

Nowe zasady uwierzytelniania

Dyrektywa PSD2 wprowadza zasady dotyczące procedury silnego uwierzytelniania użytkownika przez dostawcę usług płatniczych. Dotyczy to sytuacji, gdy płatnik loguje się do bankowości elektronicznej, przeprowadza elektronicznie transakcję płatniczą lub korzysta z innego kanału zdalnego. Celem regulacji jest ochrona użytkowników przed przestępstwami związanymi z transakcjami elektronicznymi. Co to oznacza w praktyce?

  • jeśli użytkownik nie logował się do swojego rachunku przez 90 dni, będzie musiał podać w systemie jednorazowe hasło lub skorzystać z innej formy silnego uwierzytelniania. Przy uwierzytelnieniu usługodawca powinien odwoływać się do dwóch z trzech elementów określanych jako: 1. Coś, co wiesz (jak hasło), 2. Coś, co masz (np. telefon komórkowy lub lista kodów jednorazowych) i 3. Coś, czym jesteś (jak odcisk palca),
  • konieczność podawania haseł jednorazowych może występować częściej, także np. przy płatnościach cyklicznych. Oznacza to, że mimo faktu wyrażenia zgody na regularne obciążanie karty lub podpięcie jej do usługi online (np. aplikacji), użytkownik może być zmuszony do uwierzytelniania,
  • co 5 transakcji lub 150 EUR kwoty transakcji użytkownik będzie musiał podać kod PIN. Nie będzie to miało zastosowania przy drobnych transakcjach związanych z transportem, jak automaty parkingowe, bilety autobusowe czy autostrady,
  • przy płatności kartą w przypadku, gdy konsument nie zna ostatecznej kwoty transakcji, jego rachunek zostanie obciążony dopiero gdy klient autoryzuje transakcję (czyli pozna kwotę i zgodzi się na płatność).

Dodatkowa ochrona konsumenta

Dyrektywa PSD2 zwiększa także zakres praw konsumenta. Jeżeli dokona on reklamacji transakcji online, usługodawca będzie musiał zwrócić mu kwotę transakcji najpóźniej następnego dnia roboczego. To również usługodawca będzie musiał udowodnić ewentualną bezzasadność reklamacji. PSD2 zobowiązuje go także do rozpatrzenia reklamacji w ciągu 15 dni.

Konsument stanie się także lepiej chroniony w przypadku kradzieży karty płatniczej. Gdy stwierdzi, że dokonana została nieautoryzowana przez niego transakcja, dostawca usługi płatniczej ma czas jedynie do końca następnego dnia roboczego od zgłoszenia na zwrot kwoty transakcji.

Czas na zgłoszenie nieautoryzowanej transakcji wynosi 13 miesięcy, jeśli jednak konsument jej nie zgłosi, będzie odpowiadał jedynie za transakcje do kwoty 50 euro. Poprzednio kwota ta wynosiła 150 euro.

Mała instytucja płatnicza (MIP)

Unijna dyrektywa to także krok w kierunku osłabienia monopolu banków na usługi bankowe i płatnicze. Wprowadzony zostaje podmiot Mała Instytucja Płatnicza, który nie jest zobowiązany do występowania o licencję (wystarczy wpis do rejestru MIP dokonany przez Komisję Nadzoru Finansowego).

Sprawia to, że także mniejsi przedsiębiorcy będą mogli świadczyć takie usługi jak prowadzenie rachunków płatniczych, obsługiwanie transakcji czy wydawanie kart płatniczych i umożliwianie przeprowadzania płatności mobilnych.

MIP posłużą przede wszystkim do drobnych transakcji, ponieważ konsument nie może w ten sposób jednorazowo zapłacić więcej niż 50 euro i 300 euro miesięcznie. Ograniczeniem dla usługodawców jest średni miesięczny limit transakcji wynoszący 1,5 mln euro. Nie mogą oni również umożliwiać dostępu do rachunku oraz deponowania środków większych niż 2000 euro.

Open banking i Third Party Providers

Bardzo daleko idącą zmianą wprowadzoną przez PSD2 jest nałożenie na podmioty prowadzące rachunek (czyli przede wszystkim banki) obowiązku udostępnienia dostępu do rachunków poprzez API lub innego rodzaju interfejs. Pozwala to konsumentom na obsługę rachunków za pomocą zewnętrznych aplikacji i usług innych dostawców, czyli nie tylko przy użyciu oferowanego przez usługodawcę kanału dostępu (czyli strony www).

Konsekwencją tego zapisu jest powstanie nowych podmiotów – Third Party Provider (TPP). Oznacza to, że dzięki open banking zewnętrzny usługodawca uzyska możliwość odczytywania rachunków ich posiadacza (AIS – account information service). Będzie także w stanie monitorować wydatki konsumenta i zarządzać nimi. Posiadaczowi rachunku da to możliwość zlecenia TPP transakcji ze swojego rachunku (PIS – payment initiation service).

Nowy przepis zwiększa możliwości działania m.in. firm technologicznych, które nie specjalizują się w usługach finansowych (np. Google). By mogły one jednak wykorzystać prawa wynikające z PSD2, muszą uzyskać odpowiednie zezwolenie lub wpis do właściwego rejestru, a także posiadać ubezpieczenie czy innego rodzaju zabezpieczenie. Obowiązują je także inne regulacje.

Krok w dobrą stronę

Dzięki PSD2 konsumenci zyskują większą kontrolę nad swoimi rachunkami oraz są lepiej chronieni przed przestępstwami. Dyrektywa to także otwarcie rynku dla nowych podmiotów, co przełoży się nie tylko na zwiększenie dynamiki tego sektora, ale także umożliwi konsumentom korzystanie z nowych usług. Wszystko to sprawia, że PSD2 warto potraktować jako przejaw pozytywnych zmian w prawie, które dostosowują rynek usług finansowych do współczesnych realiów.

Powiązane artykuły

Masz pytania?
Potrzebujesz więcej informacji?

Zadzwoń teraz, aby porozmawiać o najlepszym rozwiązaniu płatniczym dla Twojej firmy.

Skontaktuj się z nami