Zmiana ta przebiegnie bowiem w sposób różnoraki, lecz z pewnością dotknie sposobów i częstotliwości uwierzytelniania transakcji. W praktyce należy się spodziewać, że jeśli nie od razu, to w nieodległej perspektywie czasowej dostawcy usług płatniczych będą zachęcać do przejścia na nowe metody autoryzacji. Na przykład w postaci dokonania wymiany dotychczas stosowanych tokenów opierających się na wytwarzaniu, w odstępach czasowych, kodu niepowiązanego z realizowaną transakcją na nowe tokeny typu „challenge-response", czyli generujące kod na podstawie danych konkretnej transakcji płatniczej. Od swoich poprzedników tokeny te będzie odróżniał również fakt, że będą one zdolne dynamicznie połączyć kwotę i odbiorcę określone przez płatnika w momencie zainicjowania transakcji. Dodatkowo za ich pośrednictwem wygenerowany zostanie kod uwierzytelniający, który podlegał będzie zestawowi restrykcyjnych wymogów bezpieczeństwa. A to wszystko w imię spełnienia naczelnego dla PSD2 i odmienianego przez wiele przypadków wymogu silnego uwierzytelniania.
Uwierzytelnienie dwuskładnikowe
SCA, a więc silne uwierzytelnienie użytkownika, to w pewnym uproszczeniu uwierzytelnienie dwuskładnikowe, które ma zapobiegać ryzyku oszustw oraz innych nadużyć związanych ze świadczeniem usług płatniczych. By je zrealizować, dostawca usług płatniczych (m.in. bank) ma obowiązek stosować metodę składającą się z co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest wyłącznie użytkownik). Elementy SCA mają być dodatkowo niezależne w ten sposób, że kompromitacja jednego z nich nie osłabi wiarygodności pozostałych.
Tytułem przykładu, po 14 września 2019 r. (kiedy to zastosowanie znajdą tzw. RTS, a więc rozporządzenie delegowane Komisji UE 2018/389) bank wymusi na kliencie zalogowanie do konta w bankowości elektronicznej w opisany wyżej sposób co najmniej dwuskładnikowy. Oznacza to, że na potrzeby logowania klient obowiązany będzie podać hasło oraz numer wygenerowany na tokenie dla tej konkretnej transakcji. Dodatkowym elementem może być, jak dotychczas, login, który to jednak nie będzie już traktowany jako jeden z dwóch elementów uwierzytelniania, bo nie jest on „czymś, co zna wyłącznie użytkownik", ponieważ jest wpisany np. na umowie na etapie drukowania jej przez doradcę klienta. Alternatywnie bank poprosi klienta o podanie oprócz hasła logowania do bankowości elektronicznej kodu uwierzytelniającego wysłanego w postaci esemesa na zadeklarowany przez niego numer telefonu. Takie logowanie w kanale online, co do zasady, bank wymusi, począwszy od 14 września br., co 90 dni (a niektóre z banków nawet przy każdym logowaniu). Odrębnie, dla inicjowania elektronicznej transakcji płatniczej, wymagane będzie kolejne silne uwierzytelnienie. Na przykład z wykorzystaniem dwuskładnikowego tokena mobilnego w mobilnej aplikacji banku zainstalowanej na zadeklarowanym co do posiadania przez tego konkretnego klienta, należącym do niego urządzeniu wielofunkcyjnym.
Nie można tu nie wspomnieć o nowych aktorach rynku usług płatniczych. Począwszy od wejścia w życie nowelizacji ustawy o usługach płatniczych (co do zasady 20 czerwca minionego roku), mamy formalnie do czynienia z takimi podmiotami jak AISP, PISP czy MIP. Tłumacząc odpowiednio – z dostawcami świadczącymi nową usługę dostępu do rachunku, inicjowania transakcji płatniczej czy też małymi instytucjami płatniczymi. Te ostatnie, choć nowe co do nazewnictwa i uprzywilejowane w zakresie wymogów regulacyjnych, świadczyć będą jednak zazwyczaj jedynie „stare" usługi płatnicze. Podmioty te, łącznie określane jako TPP (third party providers), odegrają niemałą rolę w zakresie współistnienia oraz współdziałania z pozostałymi dostawcami usług płatniczych.
Znowelizowana ustawa o usługach płatniczych stawia im jednak pewne wymagania. Celem uzyskania odpowiednich uprawnień (uzyskania zezwolenia w przypadku PISP czy wpisu do rejestru w odniesieniu do AISP) TPP mają obowiązek spełnić wiele wymogów regulacyjnych, w tym w zakresie wymogów odnoszących się do profesjonalizmu ich kadry zarządczej, uregulowania potencjalnej odpowiedzialności na poziomie ubezpieczenia OC, gwarancji bankowej lub ubezpieczeniowej czy też w odniesieniu do kwestii organizacyjnych.
Pukając do kont
Pukając do drzwi banków (a docelowo – kont klienta po uzyskaniu jego uprzedniej zgody), legitymować mają się oni odpowiednim certyfikatem (czy też wpisem do rejestru krajowego, przybranym w formę certyfikatu dla banków, które w oparciu o dotychczas posiadane zezwolenia mogą na podobieństwo TPP konsolidować rachunki bankowe w BE czy inicjować dla klienta zlecenia płatnicze). Należy jednak podkreślić, że możliwość korzystania z nowego katalogu usług płatniczych jest uprawnieniem klienta, a nie jego obowiązkiem. Co do zasady to klient pozostaje bowiem dysponentem składanych TPP oświadczeń woli w zakresie usługi, którą w jego imieniu TPP będzie dokonywał. Zgód tych udziela i zgody te może odwoływać (z odrębnościami wskazanymi szczegółowo w ustawie o usługach płatniczych).
