Payment Services Directive

dyrektywa Unii Europejskiej w sprawie usług płatniczych w ramach rynku wewnętrznego (zmiana 4 dyrektyw, uchylenie 1 dyrektywy; 2007)

Payment Services Directive (w skrócie: PSD[1]) – dyrektywa 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniająca dyrektywy: 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylająca dyrektywę 97/5/WE.

Główne założenia dyrektywy

edytuj

Dyrektywa PSD2 zawiera przepisy odnoszące się do płatności elektronicznych realizowanych wewnątrz Unii Europejskiej. Dyrektywa została opracowana po to, by zwiększyć bezpieczeństwo płatności elektronicznych. Jej celem jest także zapewnienie ochrony danych osób korzystających z usług podmiotów finansowych. PSD2 ma też ułatwić przeprowadzanie płatności międzynarodowych wewnątrz UE i sprawić, by stały się lepiej zintegrowane.

Ważnym celem dyrektywy PSD2 jest również wprowadzenie zmian na rynku płatności poprzez powołanie nowych podmiotów finansowych. Rezultatem powinno być zwiększenie konkurencyjności, poszerzenie oferty dostępnej dla konsumentów i zmiana cen usług[2].

Poprawiona dyrektywa w sprawie usług płatniczych (PSD2)

edytuj

8 października 2015 roku Parlament Europejski przyjął propozycję Komisji Europejskiej stworzenia bezpieczniejszych i bardziej innowacyjnych płatności europejskich (PSD2, dyrektywa (EU) 2015/2366). Celem nowych zasad miała być lepsza ochrona konsumentów podczas wykonywania przez nich płatności internetowych, działanie na rzecz rozwoju, zastosowanie nowatorskich płatności online i mobilnych, np. poprzez otwartą bankowość, a także zapewnienie bezpieczniejszych płatniczych usług transgranicznych na terenie Europy[3].

Komisarz Jonathan Hill, odpowiedzialny za stabilność finansową, usługi finansowe i unii rynków kapitałowych, stwierdził: „prawodawstwo jest krokiem w stronę jednolitego rynku cyfrowego; będzie korzystne dla konsumentów i prowadzenia działalności oraz ma wspomóc ekonomiczny rozwój”[3].

 
Znak zaufania UE dla kwalifikowanych usług zaufania

16 listopada 2015 roku Rada Unii Europejskiej zatwierdziła PSD2. Państwa członkowskie dostały dwa lata na wdrożenie dyrektywy do ich prawa krajowego i regulacji[4]. 27 listopada 2017 roku Komisja Europejska przekazała rozporządzenie (EU) 2018/389 uzupełnione o PSD2 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelnienia klienta oraz bezpiecznych otwartych standardów komunikacji[5].

Dyrektywa PSD2 weszła w życie 12 stycznia 2016, natomiast jej zasady obowiązują od 13 stycznia 2018. Do tego dnia kraje członkowskie Unii Europejskiej miały obowiązek wdrożyć je do prawa krajowego[6].

Ważnym elementem tej dyrektywy jest żądanie wspólnej i bezpiecznej komunikacji (CSC), a to wymaga – przy uwierzytelnianiu witryn internetowych oraz dla elektronicznych pieczęci używanych podczas komunikacji pomiędzy stronami usług finansowych – wykorzystania certyfikatów kwalifikowanych zdefiniowanych przez standard eIDAS(inne języki). Standard dla implementowania tych wymagań definiuje specyfikacja techniczna ETSI TS 119 495[7].

W pełni w życie dyrektywa PSD2 weszła w całej Unii Europejskiej 14 września 2019 roku[8][9].

PSD2 w praktyce

edytuj
Logowanie do konta bankowego

Przed zmianami by zalogować się na konto bankowe najczęściej wystarczył login i hasło, natomiast regulacje podyktowane dyrektywą PSD2 wymuszą w takiej sytuacji dodatkową autoryzację: podanie kodu otrzymanego poprzez usługę SMS lub kodu pochodzącego z aplikacji bankowej zainstalowanej na telefonie komórkowym właściciela rachunku bankowego. Dyrektywa wymusiła też podanie dodatkowego hasła, gdy właściciel konta chce sprawdzić historię rachunku (szczególnie starszą niż 90 dni). Od września 2019 roku przy korzystaniu z banku internetowego sesja logowania użytkownika została skrócona. Wcześniej system banku internetowego wylogowywał klienta po 10 minutach bezczynności z jego strony, a po wprowadzeniu nowych regulacji czas skrócono do 5 minut (po upływie określonego czasu konieczne jest ponowne logowanie)[10].

Płatność kartą

Przed wprowadzeniem zmian, jeśli właściciel karty płacił nią za towar lub usługę zbliżeniowo, to przy zakupach o wartości niższej niż 50 PLN nie było konieczne podanie PIN-u. Począwszy od dnia, w którym dyrektywa weszła w życie klient musi potwierdzać PIN-em średnio co piątą tego typu transakcję[10].

Płatność internetowa

Przed wprowadzeniem dyrektywy przy płaceniu w Internecie kartą wymagane były: numer karty, data jej ważności oraz 3-cyfrowy kod znajdujący się na jej odwrocie. Po wprowadzeniu zmian wymagane jest również podanie hasła lub kodu otrzymanego SMS-em bądź poprzez aplikację na smartfonie[10].

Nowe podmioty finansowe (TPP)

edytuj

Dyrektywa PSD2 umożliwiła powoływanie nowych instytucji finansowych, tzw. Third Party Providers (TPP). Mogą one dostarczać innowacyjne usługi – wcześniej nie było to możliwe ze względu na brak odpowiednich uprawnień. TPP dzielą się na dwa typy:

  • PISP (Payment Initiation Service Provider) – te podmioty mogą inicjować transakcje w imieniu konsumentów (za ich zgodą) i działać w roli pośredników płatności
  • AISP (Account Information Service Providers) – jeśli klient ma kilka kont, te instytucje mogą mu udostępnić w jednym miejscu dane z każdego z nich

Powołanie TPP ma m.in. ułatwić przeprowadzanie transakcji oraz kontrolę stanu finansów każdego, kto korzysta z płatności elektronicznych.

Obowiązek udostępnienia interfejsu PSD2

edytuj

W rozporządzeniu delegowanym wydanym do dyrektywy w oparciu o regulacyjne standardy techniczne opracowane przez Europejskiego Urzędu Nadzoru Bankowego zawarto wymogi, jakie muszą spełniać dostawcy (w tym banki). Zostały one opracowane po to, by zwiększyć bezpieczeństwo procesu przekazywania danych o kontach oraz środków płatniczych. Dyrektywa PSD2 nakłada na banki obowiązek przekazywania informacji TPP i dołożenia wszelkich starań, by były one dobrze zabezpieczone. Z tego powodu banki są zobligowane do dostosowania jednego z interfejsów udostępnionych użytkownikowi lub udostępnienia specjalnego API, które służy do komunikacji pomiędzy bazami danych, programami i serwisami. Niezależnie od tego, jaki interfejs zostanie wybrany przez bank, powinien on spełniać wymogi określone w RTS i zapewnić pełną ochronę danych[11].

Silne uwierzytelnienie

edytuj

W celu zapewnienia bezpieczeństwa, PSD2 wymaga stosowania silnego uwierzytelnienia klienta (czyli uwierzytelnienia dwuskładnikowego wraz ze spełnieniem dodatkowych wymogów, m.in. niezależności elementów uwierzytelnienia i wygenerowania kodu uwierzytelniającego), również kiedy użytkownik zechce skorzystać z usług TPP. Bazuje on na poniższych elementach:

  • wiedzy, czyli czymś, co wie tylko właściciel konta
  • posiadaniu, czyli czymś, co posiada tylko właściciel konta
  • nieodłącznych cechach właściciela konta (metody behawioralne albo biometryczne).

Zgodnie z wymogami RTS, każdy z tych czynników musi być niezależny od pozostałych. Dzięki temu może zostać ograniczone ryzyko kradzieży środków płatniczych[12].

Przypisy

edytuj
  1. Directive on Payment Services (PSD)
  2. Zmiana przepisów dotyczących usług płatniczych w UE. eur-lex.europa.eu. [dostęp 2018-09-11]. [zarchiwizowane z tego adresu (2019-09-14)].
  3. a b European Parliament adopts European Commission proposal to create safer and more innovative European payments. Komisja Europejska, 2015-10-08. [zarchiwizowane z tego adresu (2019-09-14)]. (ang. • niem. • fr.).
  4. Electronic payment services: Council adopts updated rules. Rada Unii Europejskiej, 2015-11-16. [dostęp 2015-11-16]. (ang.).
  5. Rozporządzenie delegowane Komisji (UE) 2018/389. eur-lex.europa.eu, 2018-03-13. [zarchiwizowane z tego adresu (2019-09-14)].
  6. Law details. ec.europa.eu. [dostęp 2018-09-11]. [zarchiwizowane z tego adresu (2019-09-14)]. (ang.).
  7. How PSD2 affects payment service providers – and how Nexus can help with compliance. nexusgroup.com, 2019-04-26. [dostęp 2019-05-09]. [zarchiwizowane z tego adresu (2019-09-14)]. (ang.).
  8. Natalia Szewczak: Rewolucja w bankowości. Wielkie zmiany dla klientów. businessinsider.com.pl, 2019-09-14. [dostęp 2019-09-14]. [zarchiwizowane z tego adresu (2019-09-14)].
  9. Adam Żądło: Implementacja dyrektywy PSD2. Wpływ regulacji na systemy motywacyjne stosowane przez przedsiębiorców. parp.gov.pl, 2019-05-17. [dostęp 2019-09-14]. [zarchiwizowane z tego adresu (2019-09-14)].
  10. a b c Krzysztof Berenda (autor), Edyta Bieńczak (opracowanie): Rewolucja w bankowości. Będziemy musieli częściej podawać PIN-y i hasła. rmf24.pl, 2019-09-13. [dostęp 2019-09-14]. [zarchiwizowane z tego adresu (2019-09-14)].
  11. Dyrektywa PSD2 - PSD 2 dyrektywa unijna | Apilogic.pro, „Apilogic”, 10 lipca 2017 [dostęp 2018-09-11].
  12. twojecentrum.pl: Ochrona danych w PSD2. Co trzeba wiedzieć o metodach weryfikacji użytkownika?. [dostęp 2018-09-11].

Linki zewnętrzne

edytuj