Rzeczpospolita
Prawo

Dyrektywa płatnicza – co się zmieni dla klienta banku?

Logowanie się do konta bankowości elektronicznej będzie wkrótce bardziej skomplikowane, ale przez to także bezpieczniejsze.

Publikacja: 21.03.2019 07:42

Dyrektywa płatnicza – co się zmieni dla klienta banku?

Foto: 123RF

Olga Mędraś

Po 14 września 2019 r. logowanie do konta w bankowości elektronicznej nie będzie tak proste jak dziś. Ale za to środki przechowywane na rachunkach będą bezpieczniejsze.

Czytaj także: Konsumenci będą lepiej chronieni przy korzystaniu z bankomatów i kart płatniczych

Choć od przyjęcia dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, zwanej powszechnie PSD2 (ang. Payment Services Directive), minęły już ponad trzy lata, sektor usług finansowych wciąż intensywnie dyskutuje i przygotowuje się na kolejny termin graniczny dostosowania realiów operacyjnych do specyfiki tej złożonej regulacji. Wiele już zostało zrobione. Z dniem 20 grudnia minionego roku zmianie uległy już m.in. zasady rozpatrywania reklamacji dotyczących usług płatniczych, kwestia rozgraniczenia momentu zlecenia wykonania oraz realizacji zlecenia płatniczego po godzinie granicznej czy też odpowiedzialności banków oraz płatnika za nieautoryzowane transakcje płatnicze.

Jest to jednak jedynie przedsmak kluczowych zmian – prawdziwa rewolucja pod hasłem integracji płatności usług detalicznych dopiero nadchodzi.

Posługując się przykładem banku: na co powinien przygotować się klient korzystający z inicjowania transakcji z wykorzystaniem bankowości elektronicznej, aplikacji mobilnej czy też przyzwyczajony do uzyskiwania informacji o aktualnym saldzie na koncie za pośrednictwem call center/IVR? Przede wszystkim na to, że dostawca usług płatniczych zadba, aby uwierzytelnianie jego transakcji płatniczych było bardziej bezpieczne. Jednak „bezpieczne" nie zawsze oznaczać będzie uwierzytelnienie równie łatwe i komfortowe jak dotychczas.

Zmiana ta przebiegnie bowiem w sposób różnoraki, lecz z pewnością dotknie sposobów i częstotliwości uwierzytelniania transakcji. W praktyce należy się spodziewać, że jeśli nie od razu, to w nieodległej perspektywie czasowej dostawcy usług płatniczych będą zachęcać do przejścia na nowe metody autoryzacji. Na przykład w postaci dokonania wymiany dotychczas stosowanych tokenów opierających się na wytwarzaniu, w odstępach czasowych, kodu niepowiązanego z realizowaną transakcją na nowe tokeny typu „challenge-response", czyli generujące kod na podstawie danych konkretnej transakcji płatniczej. Od swoich poprzedników tokeny te będzie odróżniał również fakt, że będą one zdolne dynamicznie połączyć kwotę i odbiorcę określone przez płatnika w momencie zainicjowania transakcji. Dodatkowo za ich pośrednictwem wygenerowany zostanie kod uwierzytelniający, który podlegał będzie zestawowi restrykcyjnych wymogów bezpieczeństwa. A to wszystko w imię spełnienia naczelnego dla PSD2 i odmienianego przez wiele przypadków wymogu silnego uwierzytelniania.

Uwierzytelnienie dwuskładnikowe

SCA, a więc silne uwierzytelnienie użytkownika, to w pewnym uproszczeniu uwierzytelnienie dwuskładnikowe, które ma zapobiegać ryzyku oszustw oraz innych nadużyć związanych ze świadczeniem usług płatniczych. By je zrealizować, dostawca usług płatniczych (m.in. bank) ma obowiązek stosować metodę składającą się z co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest wyłącznie użytkownik). Elementy SCA mają być dodatkowo niezależne w ten sposób, że kompromitacja jednego z nich nie osłabi wiarygodności pozostałych.

Tytułem przykładu, po 14 września 2019 r. (kiedy to zastosowanie znajdą tzw. RTS, a więc rozporządzenie delegowane Komisji UE 2018/389) bank wymusi na kliencie zalogowanie do konta w bankowości elektronicznej w opisany wyżej sposób co najmniej dwuskładnikowy. Oznacza to, że na potrzeby logowania klient obowiązany będzie podać hasło oraz numer wygenerowany na tokenie dla tej konkretnej transakcji. Dodatkowym elementem może być, jak dotychczas, login, który to jednak nie będzie już traktowany jako jeden z dwóch elementów uwierzytelniania, bo nie jest on „czymś, co zna wyłącznie użytkownik", ponieważ jest wpisany np. na umowie na etapie drukowania jej przez doradcę klienta. Alternatywnie bank poprosi klienta o podanie oprócz hasła logowania do bankowości elektronicznej kodu uwierzytelniającego wysłanego w postaci esemesa na zadeklarowany przez niego numer telefonu. Takie logowanie w kanale online, co do zasady, bank wymusi, począwszy od 14 września br., co 90 dni (a niektóre z banków nawet przy każdym logowaniu). Odrębnie, dla inicjowania elektronicznej transakcji płatniczej, wymagane będzie kolejne silne uwierzytelnienie. Na przykład z wykorzystaniem dwuskładnikowego tokena mobilnego w mobilnej aplikacji banku zainstalowanej na zadeklarowanym co do posiadania przez tego konkretnego klienta, należącym do niego urządzeniu wielofunkcyjnym.

Nie można tu nie wspomnieć o nowych aktorach rynku usług płatniczych. Począwszy od wejścia w życie nowelizacji ustawy o usługach płatniczych (co do zasady 20 czerwca minionego roku), mamy formalnie do czynienia z takimi podmiotami jak AISP, PISP czy MIP. Tłumacząc odpowiednio – z dostawcami świadczącymi nową usługę dostępu do rachunku, inicjowania transakcji płatniczej czy też małymi instytucjami płatniczymi. Te ostatnie, choć nowe co do nazewnictwa i uprzywilejowane w zakresie wymogów regulacyjnych, świadczyć będą jednak zazwyczaj jedynie „stare" usługi płatnicze. Podmioty te, łącznie określane jako TPP (third party providers), odegrają niemałą rolę w zakresie współistnienia oraz współdziałania z pozostałymi dostawcami usług płatniczych.

Znowelizowana ustawa o usługach płatniczych stawia im jednak pewne wymagania. Celem uzyskania odpowiednich uprawnień (uzyskania zezwolenia w przypadku PISP czy wpisu do rejestru w odniesieniu do AISP) TPP mają obowiązek spełnić wiele wymogów regulacyjnych, w tym w zakresie wymogów odnoszących się do profesjonalizmu ich kadry zarządczej, uregulowania potencjalnej odpowiedzialności na poziomie ubezpieczenia OC, gwarancji bankowej lub ubezpieczeniowej czy też w odniesieniu do kwestii organizacyjnych.

Pukając do kont

Pukając do drzwi banków (a docelowo – kont klienta po uzyskaniu jego uprzedniej zgody), legitymować mają się oni odpowiednim certyfikatem (czy też wpisem do rejestru krajowego, przybranym w formę certyfikatu dla banków, które w oparciu o dotychczas posiadane zezwolenia mogą na podobieństwo TPP konsolidować rachunki bankowe w BE czy inicjować dla klienta zlecenia płatnicze). Należy jednak podkreślić, że możliwość korzystania z nowego katalogu usług płatniczych jest uprawnieniem klienta, a nie jego obowiązkiem. Co do zasady to klient pozostaje bowiem dysponentem składanych TPP oświadczeń woli w zakresie usługi, którą w jego imieniu TPP będzie dokonywał. Zgód tych udziela i zgody te może odwoływać (z odrębnościami wskazanymi szczegółowo w ustawie o usługach płatniczych).

Można pokusić się o ocenę, że początkowo zmiany wywołane implementacją dyrektywy PSD2 mogą się spotkać z niechęcią klientów banków, ponieważ proces logowania czy zlecania płatności mimowolnie ulegnie wydłużeniu. Stając się bezpieczniejszy, stanie się jednocześnie procesem bardziej złożonym. Mimo to w dłuższej perspektywie modyfikacje te niewątpliwie przyczynią się do ochrony konsumenta poprzez minimalizację liczby transakcji oszukańczych. Transakcji uwierzytelnionych, lecz z wykorzystaniem danych skradzionych, przywłaszczonych lub wykorzystanych niezgodnie z przeznaczeniem bez zgody klienta.

Warto podkreślić, że ostatecznie kierunek ten pozostaje w obopólnym interesie zarówno klientów, jak i zobowiązanego do ochrony ich interesów oraz danych banku. Stąd tak ważna jest świadomość nadchodzących zmian, a także rozumienie ich genezy. Jest nią nie tyle konieczność implementacji kolejnej dyrektywy unijnej, ile potrzeba nadążania za zmieniającym się rynkiem. Rynek ten jest bowiem z roku na rok rynkiem nie tylko dojrzalszym, lecz i coraz to bardziej innowacyjnym, zdigitalizowanym i pojemnym – zwłaszcza w odniesieniu do usług płatniczych.

Autorka jest radcą prawnym w banku Credit Agricole Polska

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Konsumenci Umowy
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Jarosław Kaczyński
Prawo dla Ciebie
PiS wygrywa w Sądzie Najwyższym. Uchwała PKW o rozliczeniu kampanii uchylona
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
W sądzie i w urzędzie
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej
Dane osobowe
Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Ewa Wrzosek
Prawnicy
Ewa Wrzosek musi odejść. Uderzyła publicznie w ministra Bodnara
Jaecoo J7 w leasingu od 1670 zł/mies.
Materiał Promocyjny
Jaecoo J7 w leasingu od 1670 zł/mies.
e-Wydanie