Analizy

Dyrektywa PSD2 – Nowe zasady w usługach płatniczych

Nowe zasady dotyczące silnego uwierzytelniania oraz bezpiecznej komunikacji pomiędzy dostawcami usług płatniczych

Biuletyn prawny: Finanse i bankowość | Grudzień 2017

Komisja Europejska ogłosiła ostateczny projekt regulacyjnych standardów technicznych (RTS) do dyrektywy PSD2 dotyczących silnego uwierzytelniania, a także wspólnych i otwartych standardów komunikacji pomiędzy dostawcami usług płatniczych.

Nowe standardy mają za zadanie zapewnić odpowiedni poziom bezpieczeństwa przy jednoczesnym zachowaniu konkurencyjności pomiędzy dostawcami usług płatniczych oraz umożliwiać rozwój przystępnych form płatności.

Zgodnie z PSD2 silne uwierzytelnianie (wykorzystujące dwa elementy spośród następujących: coś co użytkownik posiada, coś co tylko użytkownik wie oraz to, czym użytkownik jest – czyli najczęściej cechy biometryczne) jest obowiązkowe w następujących sytuacjach:

  • gdy użytkownik uzyskuje dostęp do swojego rachunku płatniczego w trybie online;
  • gdy użytkownik inicjuje elektroniczną transakcję płatniczą;
  • gdy użytkownik przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

Na wcześniejszym etapie prac, po przeprowadzeniu konsultacji z zainteresowanymi podmiotami z sektora usług płatniczych Europejski Urząd Nadzoru Bankowego (EBA) zaproponował szereg zmian do pierwotnego projektu RTS, z których najważniejsze dotyczą:

  • wprowadzenia nowego wyjątku od obowiązku silnego uwierzytelniania na podstawie bieżącej analizy ryzyka transakcji (tzw. transaction risk analysis, TRA). Dostawcy usług płatniczych będą mogli korzystać z tego wyjątku, jeśli zdecydują się na przeprowadzanie analizy ryzyka transakcji z uwzględnieniem szeregu okoliczności takich jak: odpowiednio niski wskaźnik poziomu nadużyć, zlecenie zgodne z profilem użytkownika, korzystanie przez użytkownika z urządzeń/oprogramowania niebudzącego podejrzeń, brak występowania znanego scenariusza nadużycia, lokalizacja płatnika i odbiorcy płatności niebudząca podejrzeń;
  • wprowadzenia wyjątku od silnego uwierzytelniania dla samoobsługowych automatów obsługujących płatności za usługi transportowe i parkingowe;
  • wyjaśnienia, że w ramach obowiązku zapewnienia przez banki otwartych standardów komunikacji dla celów komunikacji z TPP (tj. z nowymi dostawcami usług inicjowania płatności oraz zagregowanych informacji o rachunkach), możliwe będzie zaoferowanie TPP dostępu do dedykowanego interfejsu (API) lub komunikacja z TPP poprzez interfejs oferowany klientom. W przypadku wyboru drugiej opcji, TPP wciąż będą obowiązane identyfikować się przed bankiem, że to one na zlecenie klienta zwracają się o dostęp do informacji o rachunku;
  • rezygnacji z większości odwołań do standardu ISO przy określaniu wymogów dla otwartych standardów komunikacji pomiędzy bankami a TPP, w celu zapewnienia neutralności technologicznej regulacji;
  • obowiązku wprowadzenia mechanizmu monitorowania nadużyć dotyczących usług płatniczych, który będzie musiał być poddany zewnętrznemu audytowi co najmniej raz w roku.

Komentarz eksperta Deloitte Legal:

W wyjaśnieniach do RTS EBA początkowo wprost przesądził, że metoda, którą posługiwało się w swoich modelach biznesowych wiele spośród TPP, czyli tzw. screen scraping, będzie zabroniona po rozpoczęciu stosowania regulacyjnych standardów technicznych. Scren scraping polega na tym, że TPP prosi użytkownika o podanie jego danych uwierzytelniających, a następnie wykorzystując te dane, loguje się do rachunku bankowego klienta. Jednocześnie obecnie bank nie otrzymuje informacji, że podmiotem uzyskującym dostęp do rachunku nie jest klient.

Ta praktyka zasadniczo nie będzie dopuszczalna w nowym stanie prawnym, jako sprzeczna z zasadą zapewnienia bezpieczeństwa płatności. Jednocześnie w ostatecznym tekście RTS dopuszczono screen scraping w warunkach awaryjnych (gdy interfejs dedykowany dla TPP nie będzie dostępny przez określony czas np. z powodu awarii, a interfejs kliencki działać będzie poprawnie) i to po spełnieniu określonych przesłanek. TPP będą musiały jednak udokumentować zaistnienie szczególnych okoliczności, w związku z którymi skorzystały ze screen scrapingu i na żądanie organu nadzoru przedstawić odpowiednie sprawozdanie. TPP nie powinno uzyskiwać dostępu do danych, które nie są niezbędne do wykonania usługi. Krajowy organ nadzoru będzie mógł zwolnić bank z udostępniania awaryjnego screen scrapingu, jeśli dedykowany dla TPP interfejs (API) przejdzie pomyślnie stress testy. Banki powinny udostępnić API do testowania dla TPP nie później niż 6 miesięcy przed rozpoczęciem stosowania RTS (co będzie miało miejsce w III lub IV kwartale 2019 r.).

Komisja zaproponowała również wprowadzenie nowego wyjątku dla silnego uwierzytelniania dla pewnych płatności korporacyjnych, pod warunkiem, że wykorzystywane w tym celu protokoły i procesy spełniają warunki bezpieczeństwa określone w PSD2. Propozycja nowego wyłączenia jest o tyle znacząca, że katalog wyłączeń zamieszczony w RTS jest katalogiem zamkniętym. Ponadto, korzystanie z wyłączeń przewidzianych w RTS ma charakter opcjonalny. Dostawcy usług płatniczych zawsze mogą zdecydować o zastosowaniu silnego uwierzytelniania.

Subskrybuj "Biuletyn prawny: Finanse i bankowość"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.

Czy ta strona była pomocna?