Od 14 września miały zacząć obowiązywać w Polsce wymogi dotyczące tzw. silnego uwierzytelnienia klientów (SCA, więcej o tym poniżej). Jednak zgromadzone przez Europejski Urząd Nadzoru Bankowego (EUNB) informacje w zakresie europejskiego rynku usług płatniczych wskazują na niedostateczne przygotowanie uczestników do pełnego wdrożenia zasad SCA przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym zwłaszcza w obszarze e-commerce. Dotyczy to nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych, w tym zwłaszcza odbiorców płatności (sprzedawców, merchantów). Obserwacje te potwierdzają również informacje i analizy przeprowadzone przez Urząd Komisji Nadzoru Finansowego w zakresie rynku polskiego.
Więcej czasu i plan migracji
EUNB wcześniej stwierdził, że nadzór państw członkowskich może dopuścić dodatkowy, ograniczony czas na umożliwienie migracji stosowanych obecnie metod uwierzytelnienia do rozwiązań w pełni zgodnych z wymogami SCA. To wymaga jednak od poszczególnych dostawców usług płatniczych przedstawienia odpowiedniego „planu migracji”, uzgodnienia tego planu z organem nadzoru, a także ścisłej współpracy z organem nadzoru przy realizacji tego planu.
UKNF, mając na względzie poczynione ustalenia na temat stanu gotowości uczestników polskiego rynku usług płatniczych do pełnego wdrożenia rozwiązań w zakresie SCA oraz potrzebę zapewnienia, aby wdrożenie to nie powodowało zakłóceń, uznała za dopuszczalne zastosowanie proponowanego przez EUNB rozwiązania w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych. Oznacza to, że wobec dostawców usług płatniczych, którzy przed 14 września 2019 r. zgłoszą KNF potrzebę zastosowania omawianego rozwiązania, a następnie przedstawią stosowny, uzgodniony z Komisją realny „plan migracji”, w okresie prawidłowej realizacji tego planu, nie będą stosowane inne środki nadzorcze związane z niestosowaniem silnego uwierzytelniania klienta. Jednak nawet w takim przypadku ryzyko związane z niestosowaniem po 13 września 2019 r. silnego uwierzytelniania klienta zgodnego z przepisami w pełni obciąża zobowiązanych do tego dostawców usług płatniczych.
Wskazanie warunków brzegowych w tym maksymalnych terminów dla wdrożenia rozwiązań w zakresie silnego uwierzytelniania w ramach „planu migracji” zostanie dokonane po zakończeniu ustaleń w ramach EUNB, co nastąpi najprawdopodobniej już po 14 września 2019 r.
Czym jest silne uwierzytelnianie?
Dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta, w przypadku gdy klient uzyskuje dostęp do swojego rachunku on-line, inicjuje elektroniczną transakcję płatniczą lub przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.
W szczególności silne uwierzytelnianie klienta powinno być stosowane w przypadku logowania klienta do systemu bankowości elektronicznej, inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym oraz płatności internetowych. SCA to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe), posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie), cechy charakterystyczne użytkownika (np. cechy biometryczne) – będących integralną częścią tego uwierzytelniania. Mają one być od siebie niezależne w taki sposób, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Wymagane jest zastosowanie co najmniej dwóch różnych z trzech kategorii.