Analizy

PSD2: Q&A

Wyjaśniamy najczęściej pojawiające się wątpliwości wokół nowej dyrektywy

21 kwietnia 2016 r.

PSD2 czyli Dyrektywa UE z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, wpłynie w znaczącym stopniu na kształt całego rynku usług płatniczych. Wyjaśniamy najczęściej pojawiąjące się wątpliwości dotyczące współpracy i relacji pomiędzy bankami, użytkownikami a tzw. TPP (dostawcami usług płatniczych, będącymi osobą trzecią).

W oparciu o jaki model bank będzie mógł współpracować z dostawcą usług płatniczych, będących osobą trzecią?

Pojawienie się w związku z PSD2 nowej kategorii podmiotów, to jest dostawców usług płatniczych, będących osobą trzecią – TPP (third party provider) czy to pod postacią AIS (account information service, czyli usługą dostępu do informacji o rachunku), czy też PIS (payment initiation service, czyli usługą inicjowania płatności) powodować będzie konieczność po stronie dostawców usług płatniczych prowadzących rachunki (banków) zrewidowania istniejącego modelu biznesowego oraz opracowania zasad, w oparciu o które zdecydują się współistnieć, współdziałać lub współpracować z TPP na rynku usług płatniczych.

Należy podkreślić, iż banki będą musiały umożliwić PIS oraz AIS dostęp (w zakresie świadczonej przez tych dostawców usługi) do prowadzonego przez siebie rachunku użytkownika – bez względu na to, czy pomiędzy nimi a konkretnym TPP istniała będzie umowa, określająca zasady takiego dostępu.

W rezultacie możemy, więc wyobrazić sobie następujące modele współpracy ASPSP (account servicing payment service provider, czyli dostawcy usług płatniczych, prowadzącego rachunek) z TPP:

utworzenie w ramach ASPSP „komórki” działającej jako TPP;
założenie TPP przez ASPSP jako odrębnego podmiotu zależnego;
współdziałanie pomiędzy niepowiązanymi ASPSP a TPP zgodnie z zasadami przewidzianymi w PSD2;
zawarcie umowy pomiędzy ASPSP a TPP, regulującej w sposób wyczerpujący zasady współpracy;
zastosowanie podejścia mieszanego, to jest uregulowanie w umowie pomiędzy TPP a ASPSP tylko niektórych aspektów współpracy.

Na jakie aspekty powinny zwrócić uwagę banki w relacjach z użytkownikiem, w związku z pojawieniem się na rynku usług płatniczych TPP?

Pojawienie się TPP wymagać będzie od banków z jednej strony – ustalenia podejścia biznesowego względem PIS oraz AIS, a z drugiej – zrewidowania zasad współpracy z użytkownikiem. W związku z tym, niezbędne mogą okazać się odpowiednie zmiany w umowach oraz regulaminach świadczenia usług, uwzględniające fakt uczestniczenia nowego podmiotu (TPP) w procesie wykonywania usługi. Wydaje się, iż przedmiotem modyfikacji powinny zostać objęte miedzy innymi zapisy taryfy opłat i prowizji. Bank może także pośrednio, w sposób i zakresie zgodny z postanowieniami PSD2, starać się poprzez odpowiednie zapisy w swojej dokumentacji, jaką zawiera z klientem – wpłynąć na treść potencjalnych umów pomiędzy TPP a użytkownikiem. W związku z powyższym, banki powinny dokonać przeglądu umów oraz regulaminów, a także – właściwych procedur tak, aby zsynchronizować wprowadzenie stosownych zmian z wejściem w życie przepisów implementujących do polskiego prawa postanowienia PSD2.

Silne uwierzytelnianie klienta wg PSD2 z perspektywy prawnej – czym jest i kiedy powinno znaleźć zastosowanie?

Dyrektywa reguluje sposób przeprowadzania uwierzytelniania klienta oraz określa sytuacje, w których konieczne będzie przeprowadzenie jego kwalifikowanej wersji, to jest silnego uwierzytelniania. „Uwierzytelnianie” oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika. „Silne uwierzytelnianie klienta” to natomiast uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.

Silne uwierzytelnianie powinno znaleźć zastosowanie w przypadku, gdy płatnik:

a) uzyskuje dostęp do swojego rachunku płatniczego w trybie online;

b) inicjuje elektroniczną transakcję płatniczą;

c) przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Z perspektywy prawnej, brak stosowania silnego uwierzytelniania klienta przez dostawców usług płatniczych, wpływał będzie na rozkład zasad odpowiedzialności pomiędzy dostawcą a użytkownikiem w przypadku nieautoryzowanych transakcji płatniczych.

Wymogi dotyczące silnego uwierzytelniania klienta zostaną określone przez EBA w regulacyjnych standardach technicznych. W dniu 8 grudnia 2015 r. EBA przedstawiła Discussion paper. Pierwszego projektu RTS możemy spodziewać się latem 2016 r.

Wszystko na temat

Dyrektywy PSD2

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

AML i Compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowo-kadrowy

Generatywna Sztuczna Inteligencja

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk

PSD2: Q&A

Wyjaśniamy najczęściej pojawiające się wątpliwości wokół nowej dyrektywy

W oparciu o jaki model bank będzie mógł współpracować z dostawcą usług płatniczych, będących osobą trzecią?

Na jakie aspekty powinny zwrócić uwagę banki w relacjach z użytkownikiem, w związku z pojawieniem się na rynku usług płatniczych TPP?

Silne uwierzytelnianie klienta wg PSD2 z perspektywy prawnej – czym jest i kiedy powinno znaleźć zastosowanie?

Rekomendowane strony