Usługa inicjowania płatności (PISP)

Usługa inicjowania płatności

Payment Initiation Service polega na zainicjowaniu przez podmiot uprawniony do świadczenia tej usługi, na polecenie i w imieniu użytkownika, zlecenia płatniczego z rachunku płatniczego użytkownika dostępnego online.

Mówiąc prościej – usługa PIS wykorzystywana jest w handlu elektronicznym, gdzie TPP jako dostawca świadczący PIS wspomaga użytkownika w procesie wykonywania płatności w Internecie, nie wchodząc jednocześnie w posiadanie środków pieniężnych.

Użytkownik PIS (płatnik) po złożeniu zamówienia w sklepie internetowym zostaje przekierowany na stronę PISP, gdzie poproszony jest o wskazanie ASPSP (dostawcy prowadzącego jego rachunek), z którego będzie inicjowana płatność. Następnie PISP, za wyraźną zgodą użytkownika, uzyskuje dostęp do konta bankowości elektronicznej, gdzie uzupełnia wszystkie dane niezbędne do zlecenia płatności, po czym prosi użytkownika o zatwierdzenie dyspozycji wykonania przelewu.

Po zatwierdzeniu realizacji transakcji przez bank płatnika PISP informuje niezwłocznie akceptanta, że płatność została zainicjowana, po czym akceptant rozpoczyna proces realizacji zamówienia chronionych danych dotyczących sąd okręgowy podlegających czasowemu wyłączeniu.

Jakie korzyści płyną z usługi inicjowania transakcji płatniczej?

Dla kupującego / uiszczającego zapłatę:

1. Szybkość i wygoda – płatności online są bardziej intuicyjne oraz eliminują zbędne etapy procesu płatności, jakie pojawiają się przy tradycyjnych przelewach bankowych

2. Bezpieczeństwo – PISP posiadają solidne środki bezpieczeństwa, takie jak tokeny, pozwalające zmniejszyć liczbę oszustw płatniczych. Konsument nie musi podawać także danych swojej karty płatniczej. Co więcej – wykonując przelew bankowy istnieje większe prawdopodobieństwo pomyłki (np. przy podawaniu numeru konta odbiorcy), niż w przypadku korzystania z usługi inicjowania płatności.

Dla sprzedawcy / dla przyjmującego zapłatę:

1. Niższe ceny – sprzedawcy nie muszą ponosić opłat za przetwarzanie kart, ponieważ kupujący płacą za pośrednictwem swoich kont bankowych. Ponadto – rosnąca liczba PISP na rynku tworzy konkurencyjne środowisko, ponieważ niektórzy dostawcy oferują lepszą cenę dla sprzedawców, zachęcają ich do wyboru ich usługi.

2. Szeroki zasięg – PISP mogą umożliwić sprzedawcom akceptowanie płatności z banków z różnych krajów – np. platforma kevin obsługuje banki we wszystkich krajach UE, więc sprzedawcy mogą akceptować płatności od klientów z różnych lokalizacji bez dodatkowych kosztów.

3. Szybsze rozpoczęcie działalności – firmy dzięki integracji z PISP mogą działać na rynku europejskim, ponieważ nie muszą nawiązywać relacji z każdym bankiem oraz akceptantem kart.

Nieautoryzowana transakcja

W przypadku nieautoryzowanej transakcji wykonanej w ramach usługi PIS – odpowiedzialnym za zwrot użytkownikowi kwoty tej transakcji jest ASPSP, który powinien to zrobić niezwłocznie, a w każdym razie nie później niż następnego dnia roboczego i przywrócić obciążony rachunek bankowy do stanu, jaki istniałby, gdyby nie miała nieautoryzowana transakcja płatnicza.

Jeżeli PISP jest odpowiedzialny za nieautoryzowaną transakcję, niezwłocznie powinien zrekompensować ASPSP, na jego wniosek, straty poniesione lub sumy zapłacone w wyniku dokonania zwrotu na rzecz płatnika, łącznie z kwotą nieautoryzowanej transakcji. Zgodnie z PSD2/UUP na PISP spoczywa ciężar udowodnienia, że transakcja została autoryzowana, prawidłowo zapisana w systemie i na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą, za którą dostawca odpowiada.

Warunki świadczenia usługi PIS przez krajową instytucję płatniczą

Na usługę PIS, traktowaną jako usługę płatniczą wymagane jest posiadanie zezwolenia Komisji Nadzoru Finansowego na prowadzenie działalności w charakterze krajowej instytucji płatniczej.

Krajowa Instytucja Płatnicza (KIP), w zależności od zakresu uzyskanego zezwolenia, może podejmować szereg czynności dodatkowych ściśle powiązanych ze świadczeniem usług płatniczych (np. wymianę walut, usługi bezpiecznego przechowywania środków pieniężnych przekazanych w celu wykonania transakcji, usługi przechowywania i przetwarzania danych, wydawanie pieniądza elektronicznego).

Dużą zaletą wynikającą z prowadzenia działalności w formie KIP jest możliwość notyfikowania świadczonych usług w innych krajach członkowskich UE w ramach tzw. jednolitego paszportu europejskiego.

Jak uzyskać zezwolenie Komisji Nadzoru Finansowego na prowadzenie działalności w charakterze KIP?

Należy:

· wprowadzić system zarządzania ryzykiem i kontroli wewnętrznej, odpowiedni do

· rodzaju, skali i stopnia złożoności świadczonych usług płatniczych, wraz z odpowiednimi procedurami wewnętrznymi;

· przedstawić program działalności i plan finansowy na okres co najmniej 3-letni;

· stosować wymagane prawem zasady ochrony środków pieniężnych przyjętych na poczet wykonania transakcji płatniczej;

· wypełniać obowiązki instytucji obowiązanych, wynikające z przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;

· wprowadzić procedury rozpatrywania skarg użytkowników;

· wykazać, że osoby zarządzające KIP posiadają odpowiednie doświadczenie zawodowe, wiedzę oraz wykształcenie w celu zarządzania działalnością w zakresie usług płatniczych;

· posiadać ubezpieczenie odpowiedzialności cywilnej, gwarancję bankową, gwarancję ubezpieczeniową lub inne zabezpieczenie roszczeń użytkownika (dotyczy tylko usługi PIS40);

· spełniać wymogi określone w RTS.

W praktyce warunkiem uzyskania zezwolenia KNF na prowadzenie działalności w charakterze KIP jest złożenie do organu nadzoru kompletnego wniosku zawierającego wszystkie wskazane w art. 61 ust. 1 UUP dokumenty i informacje, które są poddawane ocenie KNF pod kątem formalno-prawnym i merytorycznym. KNF wydaje decyzję w przedmiocie zezwolenia w terminie 3 miesięcy od dnia otrzymania wniosku lub jego uzupełnienia. Oznacza to, że termin 3 miesięcy liczony jest od dnia, kiedy wpłynął do KNF kompletny wniosek (ewentualnie ostatni dokument uzupełniający wniosek w taki sposób, że wniosek należy uznać za kompletny). Termin rozpatrzenia sprawy może wydłużyć się zatem o czas niezbędny do uzupełnienia przez wnioskodawcę dokumentacji załączonej do wniosku. Postępowanie w przedmiocie zezwolenia na świadczenie usług płatniczych kończy się wydaniem decyzji administracyjnej zezwalającej na świadczenie usług płatniczych w charakterze KIP albo odmawiającej takiego zezwolenia.

O co zadbać będąc dostawcą PIS?

W świetle wymogów PSD2/UUP28 przed zainicjowaniem płatności PISP jest zobowiązany dostarczyć lub udostępnić użytkownikowi:

1) wyszczególnienie informacji, które muszą być dostarczone przez użytkownika, aby zlecenie płatnicze mogło zostać prawidłowo zainicjowane lub wykonane;

2) informację o maksymalnym czasie wykonania usługi PIS;

3) informację o wszelkich opłatach należnych PISP, wraz ze wskazaniem kwot tych opłat;

4) informację o kursie walutowym, który będzie zastosowany do transakcji płatniczej, jeżeli transakcja płatnicza wiąże się z przeliczaniem waluty;

5) nazwę (firmę) PISP, adres siedziby oraz adres głównego miejsca wykonywania działalności, a w przypadku korzystania z usług agenta lub wykonywania działalności przez oddział w państwie członkowskim, w którym usługa jest oferowana także adres tego agenta lub oddziału, oraz inne dane kontaktowe mające znaczenie dla celów porozumiewania się z PISP, w tym adres poczty elektronicznej;

6) dane kontaktowe właściwego organu nadzoru;

7) inne informacje uzgodnione pomiędzy PISP a użytkownikiem

Po złożeniu zlecenia płatniczego PISP, zgodnie z PSD2/UUP29, niezwłocznie dostarcza lub udostępnia płatnikowi, a w razie potrzeby odbiorcy:

1) potwierdzenie prawidłowego złożenia zlecenia płatniczego w systemie ASPSP;

2) numer identyfikacyjny umożliwiający płatnikowi i odbiorcy zidentyfikowanie transakcji płatniczej, a w razie potrzeby umożliwiający odbiorcy zidentyfikowanie płatnika, oraz inne informacje przekazane wraz z transakcją płatniczą;

3) informację o kwocie transakcji płatniczej oraz łącznej kwocie opłat należnych z tytułu transakcji płatniczej na rzecz PISP, a w stosownych przypadkach wraz z wyszczególnieniem kwot tych opłat

Dodatkowo, dostawca PIS musi przekazać dane kontaktowe organu nadzoru, które powinny być łatwo dostępne dla użytkownika np. wyraźnie wskazane na stronie internetowej.

Aspekty techniczne

Otwarte interfejsy programistyczne (API) to specjalnie dostosowane interfejsy umożliwiające komunikację pomiędzy systemami PISP a systemami bankowymi. Zgodnie z przepisami, API muszą być otwarte na zewnątrz, co oznacza, że podmioty mogą z nich bezpiecznie korzystać. Najczęściej używane formaty danych to JSON (JavaScript Object Notation) czy XML (eXtensible Markup Language), co umożliwia zrozumiałą i spójną wymianę informacji między systemami.

W API wymagane jest stosowanie protokołów bezpieczeństwa, takich jak HTTPS (Hypertext Transfer Protocol Secure), co gwarantuje bezpieczną komunikację między systemem PISP, a bankiem. W celu zapewnienia interoperacyjności, polskie prawo wymaga standaryzacji formatów transakcji. Jednolite formaty, takie jak ISO 20022, ułatwiają jednolitą wymianę informacji między różnymi systemami, co jest kluczowe dla sprawnego funkcjonowania interfejsów,. Przed wdrożeniem API, PISP są zobowiązane do przeprowadzenia testów, aby upewnić się, że ich systemy są zgodne z interfejsami oferowanymi przez banki.

Praktyczne przykłady usług inicjowania płatności:

1. Uproszczona wpłata na konto sklepu online

Jest jednym z najpowszechniejszych zastosowań PISP. Po uprzedniej autoryzacji przez klienta za pomocą platformy PISP, PISP uzyskuje dostęp do danych płatniczych klienta, w tym numeru rachunku bankowego. Klient ma pewność, że proces jest bezpieczny, a jego dane są chronione zgodnie z obowiązującymi przepisami o ochronie danych osobowych. PISP inicjuje wpłatę na konto sklepu, sklep otrzymuje potwierdzenie transakcji, co pozwala mu zrealizować usługę.

2. Udostępnianie danych płatności między bankami:

Klient, posiadając konto w jednym z banków i chcący skorzystać z korzyści oferowanych przez inny bank – musi autoryzować PISP. To zazwyczaj wymaga bezpiecznego uwierzytelniania, takiego jak logowanie do systemu bankowego poprzez tokeny, kod SMS, czy inne metody potwierdzania płatności. PISP po uzyskaniu dostępu do danych płatności klienta – transmituje dane do docelowego banku. W tym momencie, bezpieczne protokoły komunikacyjne, takie jak HTTPS są używane w celu ochrony danych przed nieautoryzowanym dostępem.

3. Udostępnianie danych transakcyjnych dla aplikacji finansowych:

Klient, korzystając z usługi PISP, może zdecydować się także na udostępnienie danych transakcyjnych swojego konta bankowego dla aplikacji finansowej, zazwyczaj w celu personalizacji ofert. To również wymaga jednorazowej autoryzacji. PISP przed udostępnieniem – musi zapewnić odpowiednie zabezpieczenia danych transakcyjnych. Obejmuje to stosowanie zaawansowanych protokołów bezpieczeństwa, takich jak szyfrowanie end-to-end, aby chronić poufność klienta.

Coraz popularniejsze oszustwa

Oszuści z roku na rok stosują coraz bardziej wyrafinowane techniki w celu wyłudzenia pieniędzy. Nie atakują banków, a na celownik biorą użytkowników bankowości elektronicznej.

Pishing

Pishing to nielegalna praktyka polegająca na pozyskiwaniu poufnych informacji takich jak dane logowania czy hasła poprzez podstępne działania. Polega na podstawieniu ofierze fałszywej strony internetowej, na której płatnik poda swoje wrażliwe dane. Na pierwszy rzut oka strona przypomina oryginał. Oszuści szukają ofiar na portalach ogłoszeniowych takich jak OLX, czy Vinted, wysyłając im linki przez SMS lub komunikatory. Aby chronić się przed tego typu oszustwem przed zalogowaniem należy zweryfikować autentyczność oraz poprawność witryny, w której wpisujemy swoje dane. Fałszywe strony zawierają najczęściej drobne literówki. Pod żadnym pozorem nie należy klikać w linki otrzymanych w wiadomościach prywatnych.

Vishing

Jest to zmodyfikowana forma pishingu, która jest realizowana za pomocą kontaktu telefonicznego. Oszust podaje się za pracownika banku, najczęściej mówi, że dane klienta zostały wykradzione i natychmiastowo powinien wykonać określone działania. Najczęściej dochodzi w takich przypadkach do zainstalowania programu do zdalnej kontroli urządzenia, dzięki któremu można z łatwością obsługiwać komputer ofiary. Czasami oszuści wybierają inne metody np. nakłaniają do podania numeru BLIK. Gdy ktoś do nas dzwoni i opowiada o próbie włamania, wyłudzenia i chce przy tym uzyskać nasze dane – powinna zaświecić się czerwona lampka, gdyż pracownicy banku nigdy o to nie proszą.

Oszustwa na Facebooku/Messengerze

Ta metoda jest niezwykle trudna do rozpoznania, gdyż przestępcy decydujący się na ten sposób wyłudzenia włamują się na serwisy społecznościowe osób i proszą znajomych ofiary o drobną pożyczkę, obiecując zwrócić środki na drugi dzień. Proszą o podanie kodu blik w celu przekazania pieniędzy. Następnie – pobierają wyłudzone środki z bankomatu. Aby uniknąć takich przykrych niespodzianek – nigdy nie należy udostępniać kodu BLIK osobom trzecim przez komunikatory. Zanim dokonamy takiego działania – skontaktujmy się telefonicznie z proszącym znajomym.

Oszustwa ,,nigeryjskie’’

Są to procedery przestępcze, najczęściej zapoczątkowane poprzez wykorzystanie poczty elektronicznej, polegający na wciągnięciu osoby w grę psychologiczną, której fabuła oparta jest na fikcyjnym transferze dużej kwoty pieniędzy, mającą na celu wyłudzenie pieniędzy. Przestępca proponuje uzyskanie znacznej kwoty – części fortuny, jaką posiada oszust, ale której sam nie może podjąć z banku z różnych przyczyn. ,,Pomoc’’’ wiąże się po stronie ofiary z realnym finansowaniem kolejnych kroków, jakie oszust musi czynić by sfinalizować przelew majątku na konto wskazane przez ofiarę. Ofiara, która już widzi siebie jako milionera, pokrywa kolejne koszty związane ze sfinalizowaniem całej operacji. Płatnicy są również bardzo często wciągani w wirtualny romans, który trwa tygodniami. Nieufnie podchodźmy do wszystkich wirtualnych znajomości i nigdy nie przekazujmy pieniędzy osobie, której nie poznaliśmy w świecie rzeczywistym.

Pytania i odpowiedzi

Zaufali nam: