Uwierzytelnianie i komunikacja pomiędzy dostawcami usług płatniczych

Uczestnicy rynku z niecierpliwością czekali na projekt RTS, nowe przepisy mogą mieć bowiem znaczny wpływ na ich działalność, wprowadzając nowe obowiązki, generując dodatkowe koszty (związane z przygotowaniem dedykowanych interfejsów) oraz otwierając rynek dla TPP (third party providers, tj. podmiotów oferujących usługi informacji o rachunku oraz usługi inicjacji płatności).

Zadanie, jakie stanęło przed EBA, nie było proste. Wymagało bowiem wyważenia bezpośrednio konkurujących ze sobą interesów, to jest:

• zapewnienia wysokiego poziomu bezpieczeństwa z jednej strony (za czym przemawiałoby wprowadzenie bardzo szczegółowych uregulowań na poziomie technologicznym) oraz
• chęci przyczynienia się do rozwoju innowacyjności usług płatniczych z drugiej (co sugerowałoby skonstruowanie przepisów w sposób bardzo ogólny, aby umożliwić uczestnikom rynku wypracowanie najbardziej odpowiednich ich zdaniem rozwiązań, które będą mogły być na bieżąco dostosowywane do pojawiających się nowych technologii, a co za tym idzie - nowych zagrożeń).

Silne uwierzytelnianie w nowej odsłonie

Projekt RTS określa podstawowe wymogi dotyczące silnego uwierzytelniania, przewiduje też katalog wyłączeń od obowiązku przeprowadzania tej procedury. Wstępnie EBA zaproponowała, aby ze względu na ochronę bezpieczeństwa użytkowników lista wyjątków zawarta w RTS była wyczerpująca, tj. aby dostawcy usług płatniczych nie mogli sami decydować się na odstępstwa w innych sytuacjach niż te, wyraźnie wymienione w przepisach.

Silne uwierzytelnianie oznacza procedurę weryfikacji tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego przez dostawcę usług płatniczych, przy wykorzystaniu co najmniej dwóch od siebie elementów spośród następujących kategorii:

• wiedza (coś, co wie wyłącznie użytkownik),
• posiadanie (coś, co posiada wyłącznie użytkownik),
• cecha klienta (coś, czym tylko użytkownik jest).

Przy czym elementy te powinny być od siebie niezależne w taki sposób, aby naruszenie jednego z nich nie osłabiało wiarygodności pozostałych, a sama procedura – powinna zapewniać ochronę danych niezbędnych w celu przeprowadzenia uwierzytelniania.

Silne uwierzytelnianie jest zasadniczo obowiązkowe w następujących sytuacjach:

• gdy płatnik uzyskuje dostęp do swojego rachunku płatniczego w trybie online,
• gdy płatnik inicjuje elektroniczną transakcję płatniczą,
• gdy płatnik przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Wśród zaproponowanych wyjątków od silnego uwierzytelniania znalazły się m.in. następujące sytuacje:

• płatnik uzyskuje dostęp do informacji o swoim rachunku (lub skonsolidowanej informacji o wielu rachunkach) bez ujawniania wrażliwych danych płatniczych (chyba że taki dostęp uzyskiwany jest po raz pierwszy albo ponad miesiąc po dacie ostatniego silnego uwierzytelniania),
• płatnik inicjuje niewielką płatność w punkcie sprzedaży (np. sklepie); przy czym jednorazowa płatność nie może przekroczyć wartości 50 euro,
• płatnik inicjuje niewielką płatność na odległość; przy czym jednorazowa wartość transferu nie może przekroczyć 10 euro,
• odbiorca płatności znajduje się na liście zaufanych odbiorców (tzw. białej liście),
• transakcja wykonywana jest pomiędzy rachunkami tej samej osoby (lub podmiotu) prowadzonych przez tego samego dostawcę.

Co istotne, dostawcy usług płatniczych zapewniający rachunki będą musieli umożliwić TPP poleganie na przeprowadzonym przez nich silnym uwierzytelnianiu klienta.

RTS będą stosowane najwcześniej od października 2018 r. Zastąpią wtedy obecne wytyczne EBA dotyczące silnego uwierzytelniania, wdrożone w Polsce rekomendacją KNF dotyczącą bezpieczeństwa transakcji płatniczych wykonywanych w internecie z dnia 17 listopada 2015 r.

Otwarte standardy komunikacji

Dostawcy usług płatniczych będą zobowiązani do zapewnienia bezpiecznej dwustronnej komunikacji pomiędzy urządzeniem płatnika a urządzeniem wykorzystywanym do akceptacji płatności, np. poprzez uniemożliwienie nieuprawnionego przekierowania płatności lub informacji.

Ponadto, wszystkie płatności oraz interakcje z użytkownikiem powinny być możliwe do prześledzenia, tj. po ich dokonaniu możliwy ma być wgląd w informacje o poszczególnych etapach transakcji lub interakcji. Ma być to osiągnięte m.in. poprzez nadaniu sesji unikatowego identyfikatora oraz pieczęci czasowej (time stamp).

Należy podkreślić, iż dostawca usług płatniczych prowadzący rachunek będzie musiał udostępnić TPP oraz wydawcom kart płatniczych przynajmniej jeden interfejs, który pozwoli na bezpieczną komunikację pomiędzy dostawcami oraz na dostęp do niezbędnych informacji (o rachunku bądź o dostępności wystarczającej ilości środków na rachunku). Interfejs powinien zapewniać funkcjonalność, dzięki której TPP będą mogli polegać na uwierzytelnianiu wykonywanym przez dostawcę rachunku. Dla zapewnienia interoperacyjności powinien być on zgodny z rozpowszechnionymi na rynku standardami, w szczególności ISO 20022.

Synergia pomiędzy PSD2 a eIDAS

Dostawca rachunku powinien wiedzieć, że kontaktuje się z nim inny dostawca, a nie klient osobiście. Dlatego też w projekcie regulacyjnych standardów technicznych zaproponowano, aby identyfikacja taka odbywała się za pomocą kwalifikowanych certyfikatów wydawanych zgodnie z zasadami określonymi w Rozporządzeniu eIDAS (tj. rozporządzeniu w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym). Kwalifikowane certyfikaty będą wydawane przez upoważnione do tego podmioty. Do chwili obecnej jednak, jak zauważyła EBA, nie ma podmiotów, które zgłosiłyby się o przyznanie im statusu tzw. kwalifikowanych dostawców usług zaufania.