Dyrektywa PSD3 i przygotowania do planowanej nowelizacji

W ramach PSD3 proponuje się, aby ujednoliceniu uległy wymagania dotyczące kapitału zakładowego oraz wyodrębnienia własnych funduszy przez instytucje płatnicze oraz instytucje pieniądza elektronicznego (z uwzględnieniem grup kapitałowych składających z się z podmiotów rynku regulowanego i nieregulowanego, np. przedsiębiorstw IT). EBA sugeruje, aby dyrektywa nakładała większe wymagania na podmioty, które świadczą usługi płatnicze polegające na przechowywaniu środków klientów przez dłuższy czas.

Na czym miałby polegać open-finance?

Obecnie usługi open bankingu to przede wszystkim możliwość agregacji rachunków płatniczych w celu ułatwienia korzystania z bankowości oraz lepszej personalizacji usług w tym zakresie. Koncepcja open-finance idzie jednak o krok dalej.

Przede wszystkim sugeruje się zaprojektowanie jednego, wspólnego interfejsu API. Byłoby to ogromne ułatwienie dla dostawców usług płatniczych i pozwoliło na ujednolicenie standardów bankowych oraz stworzenie jednakowych procedur awaryjnych (ang. fallback mechanisms). W ramach odświeżenia dyrektywy wskazuje się też na potrzebę doprecyzowania pojęcia „dostępu do konta bankowego online”. Obecnie przepisy unijne nie wyjaśniają, czy taką definicję spełnia np. zautomatyzowana komunikacja między komputerami.

W kontekście otwartych finansów niezbędne staje się uregulowanie podziału odpowiedzialności między podmiot świadczący usługę informacji o rachunku (ASP) a firmą z sektora TPP (ang. Third Party Provider), który faktycznie realizuje połączenie między bankiem a klientem.

Sugeruje się poszerzenie zakresu otwartych finansów m.in. o produkty ubezpieczeniowe oraz inwestycyjne.

Zmiany w zakresie silnego uwierzytelniania

Proponowane zmiany dotyczą też silnego uwierzytelniania (ang. Strong Customer Authentication, SCA), czyli konieczności weryfikacji dostępu do usługi przy użyciu danych, które znajdują się wyłącznie w posiadaniu użytkownika. Obecnie kwestie związane z silnym uwierzytelnianiem reguluje dyrektywa PSD2 wraz z rozporządzeniem RTS.

W nowej dyrektywie PSD3 doprecyzowaniu miałoby ulec pojęcie elektronicznej transakcji płatniczej poprze zamieszczenie zamkniętego katalogu transakcji płatniczych wyłączonych spod SCA. Podmioty świadczące usługę informacji o rachunku (AIS) miałyby korzystać z własnego systemu SCA, a nie weryfikacji świadczonej przez ASP, np. bank.

Potrzebne jest ustalenie, w którym momencie dochodzi już do outsourcingu usług w zakresie silnego uwierzytelniania. Kwestia jest o tyle istotna, że wraz z aktualizacją outsorcingu podmiot świadczący SCA powinien dostosować się do wymagań, o których mowa w wytycznych EBA dotyczących usług płatniczych.

Na arenie międzynarodowej brakuje zgodności co do kwestii, czy SCA powinno być wykorzystywane w przypadku zwrotów na instrument płatniczy. EBA stoi na stanowisku, że procedurę należy zachować, jeżeli zwrot jest inicjowany przez sprzedającego, ale potrzebne są dalsze regulacje w tym zakresie.

Wskazuje się na potrzebę wprowadzenia systemu monitorowania płatności elektronicznych, który miałby ograniczyć liczbę operacji nieautoryzowanych lub nieuczciwych. Obecnie nie wypracowano koncepcji, jak taki nadzór miałby wyglądać, tym bardziej że uczestnicy rynku finansowego i tak w przeważającej mierze stanowią instytucje obowiązane w rozumieniu przepisów o AML. Regulacja przeciwdziałania praniu pieniędzy i finansowania terroryzmowi uwzględnia już bieżące monitorowanie transakcji pod kątem nadużyć.

Panuje zgoda, że kody jednorazowe (przesyłane do klientów banków na kartach papieru) oraz jednorazowe tokeny przesyłane za pośrednictwem kanału SMS nie spełniają bezpiecznych standardów komunikacji. Nadal sporo wątpliwości budzi biometria, czyli wykorzystanie takich metod, jak FaceID czy TouchID.

Wśród mniejszych zmian, ale takich, które dotkną większości użytkowników usług płatniczych można wymienić propozycję Komisji Europejskiej wydłużeniu okresu weryfikacji SCA z 90 do 180 dni i zwiększenie limitów płatności zbliżeniowych pozwalających na rezygnację z silnego uwierzytelniania.

Zharmonizowanie regulacji dotyczących agentów i white-labelling usług płatniczych

Na arenie międzynarodowej wskazuje się na potrzebę doprecyzowania i ujednolicenia regulacji dotyczących dystrybutorów pieniądza elektronicznego (podmioty działające na podobnej zasadzie, jak agenci MIP i KIP. EBA podnosi, że trafnym posunięciem będzie uregulowanie obu rodzajów podmiotów w sposób podobny, a nawet objęcie ich tymi samymi przepisami.

Wskazuje się też na potrzebę objęcia nowymi przepisami zjawiska white-labellingu w zakresie świadczenia usług płatniczych. Polega on na tym, że dostawca usługi white-label świadczy ją w imieniu innego podmiotu (ang. Payment Service Providera) i w praktyce przejmuje kontrolę nad świadczoną usługą oraz nawiązuje relację z użytkownikiem. Może to rodzić ryzyko natury operacyjnej, nieautoryzowanego dostępu do informacji, a także prania pieniędzy.

PSD3 powinno więc uznać firmy praktykujące white-labelling za równorzędne z agentami instytucji płatniczych. W ten sposób instytucje płatnicze ponosiłyby odpowiedzialność względem organu regulacyjnego za działania partnerów biznesowych.

Pozostałe zmiany proponowane w ramach dyrektywy PSD3

Wśród innych zmian, jakie powinny znaleźć się w PSD3 wymienia się również obszary:

• płatności natychmiastowych (w Polsce to BLIK, w Wielkiej Brytanii FPS, w Stanach Zjednoczonych Zelle, Venmo lub RTP) – sugeruje się, że sprzedający powinien poinformować kupującego o braku możliwości anulowania takiej transakcji, otrzymać na nią wyraźną zgodę, a także przekazać mu informację czy transakcja została zakończona sukcesem;

• odpowiedzialności pośredników – PSD3 ma wprowadzić obowiązek pośredników dostarczania schematów płatności i bramek płatniczych, sprzedawca może zostać pociągnięty do odpowiedzialności w sytuacji, kiedy nie wdrożył rozwiązań IT pozwalających na stosowanie odpowiednich zabezpieczeń;

• zarządzania ryzykiem przez banki – doprecyzowania wymaga możliwość odmowy założenia rachunku bankowego lub zakończenia współpracy przez bank z instytucją płatniczą lub instytucją pieniądza elektronicznego;

• edukacji odbiorców usług – uwagi wymaga fakt ograniczenia dostępności niektórych usług płatniczych dla osób bez dostępu do sieci lub użytkowników, którzy nie czują się komfortowo z nowymi technologiami (np. osoby w podeszłym wieku) oraz osób ze specjalnymi potrzebami; sugeruje się opracowanie alternatywnych sposobów korzystania z usług płatniczych oraz przeprowadzanie kampanii edukacyjnych.

Projekt dyrektywy PSD3 powstanie najprawdopodobniej w pierwszej połowie 2023 r., a sam akt prawny wejdzie w życie kilka lat później. Już teraz jednak przedsiębiorcy, którzy realizują usługi płatnicze jako KIP lub MIP albo operują w innym charakterze w branży Fintech, powinni zacząć przyglądać się zmianom, jakie zachodzą na arenie europejskiej. Działając z wyprzedzeniem, mogą wdrożyć zmiany stopniowo bez szkody dla efektywności prowadzonego biznesu.