Dyrektywa o usługach płatniczych PSD II


Geneza regulacji PSD II

W 2015 r. Komisja Europejska uchwaliła zmianę obowiązującej dyrektywy o usługach płatniczych PSD I (Directive on Payment Services I). Celem nowelizacji przepisów było ich dostosowanie do zmian związanych z rozwojem rynku usług płatniczych, wynikających głównie z szybkiego rozwoju technologicznego w obszarze płatności elektronicznych i mobilnych.

Wraz z dyrektywą PSD II przyjęto szereg aktów prawnych regulujących działalność banków i innych dostawców usług płatniczych, które dotyczyły m.in. relacji z organami nadzoru, zasad konkurencji na rynku usług płatniczych, przeciwdziałania praniu pieniędzy, ochrony danych osobowych i ochrony konsumenta.

Należy dodać, że dyrektywa PSD II wchodzi w skład przedstawionego w 2013 r. przez Komisję Europejską pakietu regulacji płatnościowych. W 2014 r. przyjęto dyrektywę o rachunkach płatniczych (Payment Accounts Directive), która zmieniła funkcjonowanie instytucji prowadzących rachunki, takich jak banki, Spółdzielcze Kasy Oszczędnościowo-Kredytowe, operatorzy portmonetek elektronicznych. Ponadto dyrektywę PSD II uzupełniać będą przepisy wydawane przez Europejski Urząd Nadzoru Bankowego (European Banking Authority).

Dwuletni okres na implementację PSD II przez 28 państw członkowskich UE upłynie 13 stycznia 2018 r. Do tego czasu konieczne jest pełne dostosowanie przepisów krajowych do nowej regulacji.

Cel uchwalenia dyrektywy PSD II

Wdrożenie nowych przepisów ma na celu wzmocnienie i ustandaryzowanie procesów płatniczych poprzez:

  • podniesienie bezpieczeństwa transakcji,
  • standaryzację płatności, zwłaszcza w wymiarze międzynarodowym,
  • zabezpieczenie interesu konsumentów (uregulowanie i objęcie nadzorem nowych usług płatniczych),
  • obniżenie kosztów transakcyjnych operacji,
  • podniesienie konkurencyjności przez dopuszczenie nowych podmiotów i regulację ich działalności

Zakres terytorialny i walutowy dyrektywy

Wdrożenie regulacji PSD II rozszerzy zakres istniejących przepisów zarówno pod względem terytorialnym, jak i walutowym. Dotyczy to zwłaszcza transparentności świadczonych usług płatniczych i wymogów informacyjnych, którym będą podlegać dostawcy tych usług. Dotychczas wymogi związane z przejrzystością, obowiązkami informacyjnymi i świadczeniem usług były związane z transakcjami, gdy na terytorium Unii znajduje się zarówno dostawca usług płatniczych płatnika, jak i dostawca usług płatniczych odbiorcy lub jedyny dostawca usług płatniczych w danej transakcji płatniczej, w odniesieniu do tych części danej transakcji płatniczej, które są realizowane w Unii.

Po wdrożeniu przepisów PSD II, regulacja będzie dotyczyła także transakcji realizowanych w walutach nie obowiązujących w Europejskim Obszarze Gospodarczym (np. USD czy JPY).

Nowe usługi płatnicze

Zgodnie z dyrektywą PSD II, do nowego katalogu usług płatniczych należą:

  1. Usługi umożliwiające złożenie gotówki na rachunku płatniczym oraz wszelkie działania niezbędne do prowadzenia rachunku płatniczego,
  2. Usługi umożliwiające wypłatę gotówki z rachunku płatniczego oraz wszelkie działania niezbędne do prowadzenia rachunku płatniczego,
  3. Realizacja transakcji płatniczych, w tym transfery środków pieniężnych na rachunek płatniczy u dostawcy usług płatniczych użytkownika lub u innego dostawcy usług płatniczych:
    a. realizacja poleceń zapłaty, w tym jednorazowych poleceń zapłaty,
    b. realizacja transakcji płatniczych przy użyciu karty płatniczej lub podobnego urządzenia,
    c. realizacja poleceń przelewu, w tym zleceń stałych,
  4. Realizacja transakcji płatniczych, jeżeli środki pieniężne mają pokrycie w linii kredytowej przyznanej użytkownikowi usług płatniczych:
    a. realizacja poleceń zapłaty, w tym jednorazowych poleceń zapłaty,
    b. realizacja transakcji płatniczych przy użyciu karty płatniczej lub podobnego urządzenia,
    c. realizacja poleceń przelewu, w tym zleceń stałych,
  5. Wydawanie instrumentów płatniczych lub usługi acquiringu transakcji płatniczych,
  6. Usługi przekazu pieniężnego,
  7. Usługi inicjowania płatności,
  8. Usługi dostępu do informacji o rachunku.

Istotną zmianą jest rozciagnięcie zakresu regulacji na usługi inicjacji płatności (Payment Initiation Services – PIS) i usługi dostępu do rachunku (Account Information Services – AIS). W konsekwencji oznacza to objęcie nadzorem podmiotów świadczących te usługi (Third Party Providers – TPP). W dyrektywie przewidzioano szereg wymogów prawnych mających na celu zapewnienie możliwości swobodnego korzystania z PIS i AIS oraz odpowiedniego poziomu ochrony użytkowników tych usług.

Usługi wyłączone z regulacji

Do najważniejszych usług wyłączonych z regulacji PSD II należą:

  1. Usługi wykonywane za pośrednictwem agenta handlowego uprawnionego do prowadzenia negocjacji lub zawierania transakcji sprzedaży lub zakupu towarów lub świadczenia usług w imieniu płatnika lub odbiorcy.
  2. Usługi świadczone przez dostawców usług technicznych wspierających świadczenie usług płatniczych, którzy na żadnym etapie nie wchodzili w posiadanie środków pieniężnych Są to na przykład: usługi przetwarzania i przechowywania danych, usługi powiernicze i ochrony prywatności, uwierzytelnianie danych i podmiotów, usługi IT, dostarczanie sieci teleinformatycznych, a także dostarczanie i konserwację terminali i urządzeń do wykonywania usług płatniczych).
  3. Instrumenty ograniczonej akceptacji, które można wykorzystywać jedynie w ograniczony sposób i są to jedne z poniższych instrumentów:
    a. Instrumenty pozwalające posiadaczowi nabywać towary lub usługi wyłącznie w pomieszczeniach wydawcy lub w ramach ograniczonej sieci dostawców usług, na podstawie umowy handlowej zawartej bezpośrednio z profesjonalnym wydawcą. Przykładem może być tutaj karta prezentowa wydana przez sklep sieciowy, którą można wykorzystac wyłacznie w sklepie,
    b. Instrumenty, których można używać wyłącznie w celu nabycia bardzo ograniczonego asortymentu towarów lub usług. Na przykład może to być karta paliwowa wydana przez sieć stacji benzynowych,
    c. Instrumenty ważne wyłącznie w jednym państwie członkowskim, dostarczane na wniosek przedsiębiorstwa lub na wniosek podmiotu sektora publicznego, regulowane ze względu na określone cele społeczne lub podatkowe przez krajowy lub regionalny organ publiczny i służące do nabycia określonych towarów lub usług od dostawców, którzy zawarli umowę handlową z wydawcą. Należa tu bony płatnicze i karty podarunkowe przeznaczone na zakup określonych towarów i usług.
  4. Usługi dostarczane w formie cyfrowej, które mogą zostać użyte lub z których można korzystać wyłącznie za pomocą urządzenia technicznego i które w żaden sposób nie obejmują użycia ani konsumcji fizycznych towarów lub usług. Przykładem są tu transakcje płatnicze świadczone w celu realizacji mikropłatności za treści cyfrowe i usługi głosowe, zakup biletów elektronicznych oraz darowizny przekazywane na cele charytatywne, o ile spełnione zostaną warunki określone dyrektywą PSD II.
  5. Usługi w ramach grupy kapitałowej między jednostką dominującą a jej jednostką zależną lub między jednostkami zależnymi tej samej jednostki dominującej.
  6. Usługi bankomatowe za pośrednictwem niezależnych sieci bankomatów. Usługodawca musi w tym przypadku działać w imieniu co najmniej jednego wydawcy kart i nie może posiadać umowy ramowej z klientem wypłacającym gotówkę z rachunku płatniczego. Dostawca tych usług nie może także świadczyć innych usług płatniczych wymienionych w załączniku do dyrektywy PSD II oraz ma obowiązek informowania klienta odnośnie ewentualnych opłat pobieranych za wypłacenie gotówki, zarówno przed dokonaniem wypłaty, a także w momencie otrzymania gotówki po dokonaniu wypłaty.

Wyzwanie technologiczne – Wymogi związane z bezpieczeństwem płatności

Jednym z istotnych celów dyrektywy była konieczność zaadresowania problemu bezpieczeństwa transakcji płatniczych zagrożonego poprzez wzrastającą liczbę transakcji oszukańczych, masowymi wyciekami danych i cyberprzestępczością.
Regulacja wprowadza obowiązek stosowania przez dostawców usług płatniczych mechanizmów tzw. silnego uwierzytelniania użytkownika (Strong Customer Authenticaion), czyli uwierzytelnienia dwuczynnikowego, w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (to, kim jest użytkownik). Naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

Dyrektywa PSD II wymaga, aby dostawca stosował silne uwierzytelnianie klienta w przypadku następujących czynności:

  • inicjowania elektronicznej transakcji płatniczej,
  • uzyskiwania dostępu do rachunku płatniczego online (np. przez kanały bankowości internetowej lub mobilnej),
  • przeprowadzania za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Dyrektywa PSD II mówi, że dostawcy usług płatniczych są zobowiązani bez zbędnej zwłoki powiadamiać właściwe organy nadzorcze o poważnych incydentach operacyjnych lub incydentach związanych z bezpieczeństwem, a gdy incydent ma lub może mieć wpływ na interesy finansowe użytkowników, wymagane jest również niezwłoczne powiadomienie użytkowników danego dostawcy, wraz ze wskazaniem wszystkich dostępnych środków, które mogą oni podjąć w celu ograniczenia negatywnych skutków incydentu.
Dostawcy usług płatniczych są również zobowiązani do przekazywania co roku właściwym organom aktualnej kompleksowej oceny ryzyka bezpieczeństwa świadczonych usług płatniczych, a także oceny mechanizmów kontroli wprowadzonych w celi kontroli ryzyka.

Podsumowanie

Nowe przepisy będą dotyczyć wszystkich dostawców usług płatniczych prowadzących rachunki płatnicze z dostępem online.

Wdrożenie dyrektywy będzie skutkować koniecznością wprowadzenia przez nich wielu zmian w sposobie wykonywania działalności i to zarówno w zakresie procedur zewnętrznych (np. dokumentacji stosowanej przez dostawców, wzorów umów i regulaminów), jak i wewnętrznych oraz technologicznych (stosowania przez dostawców usług płatniczych mechanizmów tzw. silnego uwierzytelniania użytkownika przy uzyskiwaniu przez użytkownika dostępu on-line do rachunku, inicjacji elektronicznej transakcji płatniczej czy podejmowaniu innych czynności związanych z ryzykiem nadużyć z wykorzystaniem zdalnego kanału dostępu).

Ze zmianami regulacji PSD II wiążą się obawy instytucji finansowych związane w szczególności z zapewnieniem bezpieczeństwa informacji oraz właściwego poziomu ochrony danych. Rodzi to konieczność dostosowania technologicznego funkcjonujących systemów, analizy ich bezpieczeństwa i wiarygodności. Ponadto, wprowadzenie możliwości zlecania przez użytkownika wykonania operacji płatności elektronicznej podmiotom trzecim (Third Party Providers) będzie skutkować tym, że podmiot trzeci za zgodą użytkownika będzie mógł uzyskać informacje o rachunku bankowym klienta i bank będzie zobowiązany dane takie przekazać. Wdrożenie regulacji PSD II i nowych rozwiązań technologicznych (otwarte API) pozwoli na udostępnianie usług i danych podmiotom trzecim, co może pozytywnie wpłynąć na konkurencyjność rynku.