wróć do listy
076

Efekty wprowadzenia dyrektywy PSD2


W tym artykule opisujemy:

  1. Dyrektywa PSD2 – co to jest?
  2. Dyrektywa PSD2, a bankowość online
  3. PSD2 – zmiany w płatnościach zbliżeniowych i internetowych
  4. Procedura silnego uwierzytelnienia
  5. Odpowiedzialność i reklamacje
  6. Mała Instytucja Płatnicza
  7. Podsumowanie

Bezpieczeństwo podczas dokonywania płatności internetowych to dla użytkowników bardzo ważna kwestia. W sieci narażeni są na wiele zagrożeń m.in. ze strony hakerów czy nieuczciwych sprzedawców. W związku z różnymi nadużyciami, rosnącą popularnością płatności online i koniecznością rozwoju tej gałęzi rynku e-commerce, Unia Europejska wprowadziła dyrektywę PSD2 (ang. Payment Services Directive).

Dyrektywa PSD2 – co to jest?

Dyrektywa PSD2, regulująca płatności elektroniczne realizowane wewnątrz Unii Europejskiej, została przyjęta przez Parlament już w 2015 roku. Państwa członkowskie miały wówczas dwa lata na jej zaimplementowanie do prawa krajowego, a przepisy na obszarze całej Unii Europejskiej ostatecznie weszły w życie 14 września 2019 roku. PSD2 w znacznej mierze zmieniła dotychczasowe oblicze usług płatniczych, zarówno z perspektywy klienta, jak i instytucji finansowych.

Dyrektywa PSD2, a bankowość online

Osoby korzystające z usług płatniczych, a więc klienci banków oraz sklepów internetowych, odczuli zmiany w kilku istotnych kwestiach. Od wprowadzenia dyrektywy, m.in. proces logowania do banku przebiega inaczej niż kiedyś. Główna zmiana w tym zakresie polega na wymogu dodatkowej autoryzacji. Wpisując login oraz hasło, należy podać jeszcze otrzymany SMS-em kod, wprowadzić ten pochodzący z aplikacji mobilnej lub wybrać ustawioną wcześniej sygnaturę.

Kolejną zmianą w bankowości online jest konieczność autoryzacji hasłem m.in. potrzeby sprawdzenia historii rachunku, starszej niż 90 dni. Skróceniu uległy także sesje na stronie, które przed wejściem w życie PSD2 trwały 10 minut i dopiero po upływie tego czasu następowało wylogowanie. Od 14 września 2019 roku, w każdym banku sesje nie mogą być dłuższe niż 5 minut.

PSD2 – zmiany w płatnościach zbliżeniowych i internetowych

Poza tym, że klienci banków muszą przyzwyczaić się do dodatkowego uwierzytelniania oraz krótszych sesji w witrynie internetowej, zmiany nastąpiły również w formie autoryzacji płatności. Chętnie wykorzystywane przez konsumentów płatności zbliżeniowe, które do kwoty 50 zł nie wymagały do tej pory wprowadzania kodu PIN, muszą być dziś okresowo potwierdzane. Sytuacja taka ma miejsce średnio przy co piątym zbliżeniu karty do terminala.

Dodatkowej aktywności od użytkownika wymagają również płatności internetowe z użyciem karty. Jeszcze niedawno, wystarczyło podać dane osobowe, numer karty oraz kod zabezpieczający CVV lub CVC. Według regulacji PSD2, wymagane jest dodatkowe uwierzytelnienie za pomocą kodu SMS lub aplikacji mobilnej banku.

Procedura silnego uwierzytelnienia

Zapisy dyrektywy szczegółowo określają także metody kontroli tożsamości użytkownika. W związku z tym klient, który chce uzyskać dostęp do swojego rachunku, przeprowadzić transakcję elektroniczną lub wykonać czynność za pomocą kanału zdalnego, musi zostać skontrolowany metodą tzw. dwuskładnikowego uwierzytelnienia. W ten sposób ogranicza się ryzyko oszustwa. Przywołany sposób weryfikacji opiera się na kilku, niezależnych od siebie elementach, którymi są:

  1. wiedza — należąca jedynie do właściciela,
  2. posiadanie — dotyczące czegoś, co ma tylko właściciel,
  3. nieodłączne cechy właściciela konta — behawioralne, biometryczne.

Odpowiedzialność i reklamacje

Przed wprowadzeniem dyrektywy PSD2, klienci mieli 30 dni na złożenie reklamacji dotyczących usług płatniczych. Po zmianach, termin ten skrócono do 15 dni. Poza tym, instytucje finansowe muszą wziąć na siebie większą odpowiedzialność, w związku z nieautoryzowanymi transakcjami dokonanymi kartą klienta. Dotychczas odpowiadały za nie jedynie do kwoty 50 euro, nowe zasady wskazują na płatności do kwoty 150 euro.

Mała Instytucja Płatnicza

Wraz z wejściem w życie opisywanych przepisów, powstał również nowy podmiot pod nazwą Mała Instytucja Płatnicza. Uzyskała ona prawo do świadczenia usług płatniczych na niewielką skalę. Formę MIP mogą przyjąć osoby fizyczne, prawne, a także jednostki organizacyjne mające zdolność prawną. Po wpisaniu do rejestru przez Komisję Nadzoru Finansowego, podmioty te będą mogły działać pod warunkiem, że:

– średni miesięczny limit dokonywanych przez nie transakcji nie przekroczy 1,5 mln euro,

– nie będą obsługiwać klientów powyżej 2 tys. euro,

– nie będą świadczyć usług opartych na dostępie do rachunku,

– nie będą świadczyć usług za granicą.

Podsumowanie

Zmiany związane z wejściem w życie PSD2 wymogły na instytucjach finansowych większą dyscyplinę dotyczącą weryfikacji użytkowników i zabezpieczenia ich kont. Dwuskładnikowe uwierzytelnianie czy dodatkowa autoryzacja to elementy, które wzmacniają ochronę środków na koncie klienta i minimalizują ryzyko oszustwa lub kradzieży pieniędzy. Co więcej, wprowadzenie Małej Instytucji Płatniczej i bankowości otwartej, dało większe możliwości tzw. FinTechom, dostarczającym usługi płatnicze AIS (dostęp do informacji o rachunku) czy PIS (inicjowanie płatności). Opisana sytuacja przyczynia się także do rozwoju technologicznego całej branży.