Dlaczego należy spodziewać się nowej dyrektywy PSD?
W sierpniu 2022 r. zakończyło się zbieranie opinii podmiotów, które w codziennej praktyce mają styczność z rynkiem usług płatniczych. Zgłaszały one swoje uwagi co do obowiązujących obecnie regulacji, a tym samym tworzyły ramy dla nadchodzących modyfikacji. Choć dyrektywa PSD2 wprowadziła daleko idące zmiany w zakresie korzystania z usług płatniczych przez klientów, a także relacji między poszczególnymi podmiotami pośredniczącymi w ich świadczeniu, nie brakuje krytycznych głosów względem obowiązującej regulacji szczególnie wśród dostawcy usług płatniczych w zakresie usług płatniczych i w związku z płatnościami elektronicznymi, a także w celu usprawnienia operacji finansowych realizowanych dla klientów.
Nieco wcześniej, w czerwcu 2022 r. swoją opinię w przedmiocie zmian legislacyjnych przedstawił EBA (ang. European Banking Authority) zwracając uwagę na szereg kwestii, które wymagają poprawy. Wśród kluczowych zagadnień wymienia się potrzebę:
-
połączenia dyrektywy PSD2 oraz dyrektywy o pieniądzu elektronicznym EMD2;
-
doprecyzowania wymagań dla silnego uwierzytelniania SCA oraz złagodzenia stosowania tej metody;
-
opracowania nowego podejścia do autoryzacji użytkownika przy użyciu urządzeń smart tak, aby zapewnić równy dostęp wszystkich obywateli wspólnoty do usług płatniczych;
-
zmodyfikowania usług AIS oraz PIS tak, aby podmioty świadczące usługę dysponowały własnym systemem autoryzacji, a nie tym gwarantowanym przez banki, a konsumenci zachowali większą kontrolę nad danymi osobowymi (obowiązuje to także, jeśli chodzi o świadczenie usług klientom korporacyjnym);
-
poszerzenia koncepcji open bankingu tak, aby obejmował szerszy zakres usług bankowych;
-
doprecyzowania procedur bezpieczeństwa stosowanych przez banki oraz instytucje pieniądza elektronicznego (w celu ułatwienie konsumentom zawierania transakcji);
-
zwiększenie wymagań ostrożnościowych dla największych instytucji płatniczych w zakresie kapitału początkowego, obowiązku posiadania własnych funduszy, obowiązku posiadania ubezpieczenia oraz procedury wznawiania i zakończenia działalności, a także tworzenia grup kapitałowych.
Obecnie treść projektu dyrektywy nie jest jeszcze znana, ale mając w pamięci ogólne uwagi dotyczące obowiązującej obecnie PSD2, można szacować zakres planowanych zmian, szczególnie jeśli chodzi o te, które mogą dotyczyć silnego uwierzytelniania klienta czy przyspieszenie wymiany informacji (w tym o rachunku płatniczym czy jeśli chodzi o płatności kryptograficzne lub wykorzystanie open bankingu i nowe typy instrumentów bankowych).
Połączenie PSD2 i EMD2, zakres obowiązywania przepisów i nowe definicje
EBA wskazuje, że połączenie obu dyrektyw w jeden, spójny akt prawny pozwoli na uniknięcie praktyki określanej jako regulatory arbitrage, czyli wykorzystania obowiązujących przepisów zakreślających dopuszczalne ramy funkcjonowania organów regulacyjnych (w Polsce względem instytucji płatniczych jest nim KNF) do nadużywania prawa i obchodzenia wymagań przez uczestników rynku. W rezultacie połączenie powinno doprowadzić do uproszczenia regulacji usług płatniczej i objęcia transakcji pieniądza elektronicznego zwiększonym nadzorem instytucji finansowych na rynku płatności czy w ramach komisja europejska.
W toku konsultacji położono również nacisk na potrzebę sprecyzowania zakresu terytorialnego obowiązywania dyrektywy zwłaszcza w sytuacji, kiedy usługi są świadczone online. Dobrym przykładem jest np. acquiring, który obecnym kształcie PSD2 nie może być świadczony na rzecz firmy z UE przez podmiot z siedzibą w państwie trzecim.
Sugeruje się wyodrębnienie instytucji płatniczych oraz instytucji pieniądza elektronicznego o znaczeniu systemowym, czyli takie podmioty, których działalność ma znaczenie dla całego sektora gospodarki lub ekonomii w szerszym kontekście.
Wśród proponowanych zmian wymienia się konieczność doprecyzowania pojęcia instrumentu płatniczego. Obecnie konieczne jest odwoływanie się do rozważań doktryny, ale brakuje w dyrektywie jednoznacznego określenia, czy instrumentem płatniczym może być np. komputer, smartfon lub smartwatch. Wątpliwości budzą też usługi dokonywane w zakresie portfeli wirtualnych, które obecnie – zdaniem EBA – nie polegają na świadczeniu usług płatniczych. Podobnie wątpliwości rodzi relacja usługi BNPL do usług płatniczych.
Wymagania ostrożnościowe
W ramach PSD3 proponuje się, aby ujednoliceniu uległy wymagania dotyczące kapitału zakładowego oraz wyodrębnienia własnych funduszy przez instytucje płatnicze oraz instytucje pieniądza elektronicznego (z uwzględnieniem grup kapitałowych składających z się z podmiotów rynku regulowanego i nieregulowanego, np. przedsiębiorstw IT). EBA sugeruje, aby dyrektywa nakładała większe wymagania na podmioty, które świadczą usługi płatnicze polegające na przechowywaniu środków klientów przez dłuższy czas.
Na czym miałby polegać open-finance?
Obecnie usługi open bankingu to przede wszystkim możliwość agregacji rachunków płatniczych w celu ułatwienia korzystania z bankowości oraz lepszej personalizacji usług w tym zakresie. Koncepcja open-finance idzie jednak o krok dalej.
Przede wszystkim sugeruje się zaprojektowanie jednego, wspólnego interfejsu API. Byłoby to ogromne ułatwienie dla dostawców usług płatniczych i pozwoliło na ujednolicenie standardów bankowych oraz stworzenie jednakowych procedur awaryjnych (ang. fallback mechanisms). W ramach odświeżenia dyrektywy wskazuje się też na potrzebę doprecyzowania pojęcia „dostępu do konta bankowego online”. Obecnie przepisy unijne nie wyjaśniają, czy taką definicję spełnia np. zautomatyzowana komunikacja między komputerami.
W kontekście otwartych finansów niezbędne staje się uregulowanie podziału odpowiedzialności między podmiot świadczący usługę informacji o rachunku (ASP) a firmą z sektora TPP (ang. Third Party Provider), który faktycznie realizuje połączenie między bankiem a klientem.
Sugeruje się poszerzenie zakresu otwartych finansów m.in. o produkty ubezpieczeniowe oraz inwestycyjne.
Zmiany w zakresie silnego uwierzytelniania
Proponowane zmiany dotyczą też silnego uwierzytelniania (ang. Strong Customer Authentication, SCA), czyli konieczności weryfikacji dostępu do usługi przy użyciu danych, które znajdują się wyłącznie w posiadaniu użytkownika. Obecnie kwestie związane z silnym uwierzytelnianiem reguluje dyrektywa PSD2 wraz z rozporządzeniem RTS.
W nowej dyrektywie PSD3 doprecyzowaniu miałoby ulec pojęcie elektronicznej transakcji płatniczej poprze zamieszczenie zamkniętego katalogu transakcji płatniczych wyłączonych spod SCA. Podmioty świadczące usługę informacji o rachunku (AIS) miałyby korzystać z własnego systemu SCA, a nie weryfikacji świadczonej przez ASP, np. bank.
Potrzebne jest ustalenie, w którym momencie dochodzi już do outsourcingu usług w zakresie silnego uwierzytelniania. Kwestia jest o tyle istotna, że wraz z aktualizacją outsorcingu podmiot świadczący SCA powinien dostosować się do wymagań, o których mowa w wytycznych EBA dotyczących usług płatniczych.
Na arenie międzynarodowej brakuje zgodności co do kwestii, czy SCA powinno być wykorzystywane w przypadku zwrotów na instrument płatniczy. EBA stoi na stanowisku, że procedurę należy zachować, jeżeli zwrot jest inicjowany przez sprzedającego, ale potrzebne są dalsze regulacje w tym zakresie.
Wskazuje się na potrzebę wprowadzenia systemu monitorowania płatności elektronicznych, który miałby ograniczyć liczbę operacji nieautoryzowanych lub nieuczciwych. Obecnie nie wypracowano koncepcji, jak taki nadzór miałby wyglądać, tym bardziej że uczestnicy rynku finansowego i tak w przeważającej mierze stanowią instytucje obowiązane w rozumieniu przepisów o AML. Regulacja przeciwdziałania praniu pieniędzy i finansowania terroryzmowi uwzględnia już bieżące monitorowanie transakcji pod kątem nadużyć.
Panuje zgoda, że kody jednorazowe (przesyłane do klientów banków na kartach papieru) oraz jednorazowe tokeny przesyłane za pośrednictwem kanału SMS nie spełniają bezpiecznych standardów komunikacji. Nadal sporo wątpliwości budzi biometria, czyli wykorzystanie takich metod, jak FaceID czy TouchID.
Wśród mniejszych zmian, ale takich, które dotkną większości użytkowników usług płatniczych można wymienić propozycję Komisji Europejskiej wydłużeniu okresu weryfikacji SCA z 90 do 180 dni i zwiększenie limitów płatności zbliżeniowych pozwalających na rezygnację z silnego uwierzytelniania.
Zharmonizowanie regulacji dotyczących agentów i white-labelling usług płatniczych
Na arenie międzynarodowej wskazuje się na potrzebę doprecyzowania i ujednolicenia regulacji dotyczących dystrybutorów pieniądza elektronicznego (podmioty działające na podobnej zasadzie, jak agenci MIP i KIP. EBA podnosi, że trafnym posunięciem będzie uregulowanie obu rodzajów podmiotów w sposób podobny, a nawet objęcie ich tymi samymi przepisami.
Wskazuje się też na potrzebę objęcia nowymi przepisami zjawiska white-labellingu w zakresie świadczenia usług płatniczych. Polega on na tym, że dostawca usługi white-label świadczy ją w imieniu innego podmiotu (ang. Payment Service Providera) i w praktyce przejmuje kontrolę nad świadczoną usługą oraz nawiązuje relację z użytkownikiem. Może to rodzić ryzyko natury operacyjnej, nieautoryzowanego dostępu do informacji, a także prania pieniędzy.
PSD3 powinno więc uznać firmy praktykujące white-labelling za równorzędne z agentami instytucji płatniczych. W ten sposób instytucje płatnicze ponosiłyby odpowiedzialność względem organu regulacyjnego za działania partnerów biznesowych.
Pozostałe zmiany proponowane w ramach dyrektywy PSD3
Wśród innych zmian, jakie powinny znaleźć się w PSD3 wymienia się również obszary:
-
płatności natychmiastowych (w Polsce to BLIK, w Wielkiej Brytanii FPS, w Stanach Zjednoczonych Zelle, Venmo lub RTP) – sugeruje się, że sprzedający powinien poinformować kupującego o braku możliwości anulowania takiej transakcji, otrzymać na nią wyraźną zgodę, a także przekazać mu informację czy transakcja została zakończona sukcesem;
-
odpowiedzialności pośredników – PSD3 ma wprowadzić obowiązek pośredników dostarczania schematów płatności i bramek płatniczych, sprzedawca może zostać pociągnięty do odpowiedzialności w sytuacji, kiedy nie wdrożył rozwiązań IT pozwalających na stosowanie odpowiednich zabezpieczeń;
-
zarządzania ryzykiem przez banki – doprecyzowania wymaga możliwość odmowy założenia rachunku bankowego lub zakończenia współpracy przez bank z instytucją płatniczą lub instytucją pieniądza elektronicznego;
-
edukacji odbiorców usług – uwagi wymaga fakt ograniczenia dostępności niektórych usług płatniczych dla osób bez dostępu do sieci lub użytkowników, którzy nie czują się komfortowo z nowymi technologiami (np. osoby w podeszłym wieku) oraz osób ze specjalnymi potrzebami; sugeruje się opracowanie alternatywnych sposobów korzystania z usług płatniczych oraz przeprowadzanie kampanii edukacyjnych.
Projekt dyrektywy PSD3 powstanie najprawdopodobniej w pierwszej połowie 2023 r., a sam akt prawny wejdzie w życie kilka lat później. Już teraz jednak przedsiębiorcy, którzy realizują usługi płatnicze jako KIP lub MIP albo operują w innym charakterze w branży Fintech, powinni zacząć przyglądać się zmianom, jakie zachodzą na arenie europejskiej. Działając z wyprzedzeniem, mogą wdrożyć zmiany stopniowo bez szkody dla efektywności prowadzonego biznesu.
Pytania i odpowiedzi
Dostawca usługi może odstąpić od SCA w sytuacji, kiedy kwota transakcji nie przekracza 50 euro (w Polsce 50 zł), łączna wartość wszystkich operacji niepotwierdzonych SCA nie przekracza 150 euro, a ich liczba nie przekracza 5.
Zgodnie z art. 88 ustawy o usługach płatniczych krajowa instytucja płatnicza ponosi działalność wobec użytkowników lub posiadaczy pieniądza elektronicznego za działania jej agentów lub innych pośredników, jak za swoje własne działania. Odpowiedzialności tej nie można wyłączyć ani ograniczyć.
Zaufali nam: