Najważniejsze fakty i pojęcia

Co to jest PSD2?

To skrót nazwy „Payment Services Directive 2”. Odnosi się ona do uchwalonej w listopadzie 2015 r., Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, w sprawie usług płatniczych w ramach rynku wewnętrznego. To już drugi tego rodzaju dokument, który jest rozszerzeniem i zastąpieniem dotychczas obowiązującej (od 2007 r.), dyrektywy 2007/64/WE – czyli tzw. PSD1. Nowa dyrektywa jest odpowiedzią na szybkie zmiany zachodzące na rynku  usług płatniczych wynikające ze stosowania nowoczesnych technologii i usług, wobec których obowiązujące wcześniej regulacje przestały być wystarczające. Wszystkie kraje członkowskie UE, w tym Polska otrzymały dwa lata na dostosowanie się do przepisów nowej dyrektywy. Regulacje wynikające z PSD2 zostały wprowadzone do polskiego porządku prawnego nowelizacją ustawy o usługach płatniczych z dnia 5 czerwca 2018 r.

Czemu służy wprowadzenie PSD2?

Głównymi celami jest:

• Zapewnienie jeszcze większego bezpieczeństwa transakcji m.in. poprzez wprowadzenie obowiązku stosowania mechanizmów tzw. SCA (Strong Customer Autentication), czyli silnego uwierzytelnienia klienta;
• Zwiększenie stopnia ochrony konsumentów przez zwiększenie odpowiedzialności podmiotów udostępniających usługi za nieautoryzowane transakcje oraz uregulowanie nowych usług płatniczych i objęcie ich nadzorem;
• Stworzenie międzynarodowych standardów transakcji płatniczych i ujednolicenie rynku płatności w UE;
• Wprowadzenie nowych kategorii usługodawców mogących świadczyć usługi dodatkowe, wymagające zgody na dostęp do informacji o rachunku Klienta – tzw. TPP (eng. Third Party Providers).

Co wprowadza dyrektywa PSD2?

Dyrektywa wprowadza szereg nowych zasad oraz obowiązków ciążących na wszystkich instytucjach finansowych, które przetwarzają płatności, a także na podmiotach przyjmujących płatności na terenie Europejskiego Obszaru Gospodarczego. Wśród głównych zmian i nowych rozwiązań wprowadzanych przez dyrektywę, na Państwa szczególną uwagę zasługują:

• Zakaz pobierania dodatkowych opłat/prowizji za płatność dokonywaną konsumencką kartą płatniczą (nadal dozwolone będzie pobieranie surcharge za użycie kart biznesowych).
• Wprowadzenie SCA – silne uwierzytelnienie klienta stosowanego do autoryzacji płatności kartą na terminalach oraz płatności w internecie i aplikacjach mobilnych.

Czym jest SCA?

SCA – Strong Customer Authentication (ang.), czyli Silne Uwierzytelnianie Klienta to termin, który pojawił się stosunkowo niedawno i jest jednym z elementów dyrektywy PSD2. W uproszczeniu można powiedzieć, że jest to uwierzytelnienie transakcji płatniczej, które składa się z co najmniej dwóch elementów należących do kategorii:

• Wiedza – do autoryzacji trzeba podać informację, którą zna wyłącznie użytkownik – np. kod PIN;
• Posiadanie – do autoryzacji trzeba mieć coś, co posiadać może wyłącznie użytkownik – np. karta lub telefon;

Tożsamość – autoryzacja może wymagać potwierdzenia cech charakterystycznych wyłącznie dla posiadacza karty – odcisk palca, rysy twarzy, głos (rozwiązania biometryczne).

To sprawia, że dla potwierdzenia niektórych transakcji konieczne będzie np. użycie karty lub smartfona oraz podanie kodu PIN albo  użycie karty lub smartfona oraz podanie kodu potwierdzającego przesłanego SMS-em.

Podobne zasady będą dotyczyły transakcji płatniczych realizowanych przy zakupach przez internet lub aplikacje mobilne, czyli bez fizycznej obecności karty lub jej innego nośnika. W ich przypadku konieczne będzie autoryzowanie transakcji za pomocą rozwiązań 3-D Secure.

Czym jest 3-D Secure i skąd je wziąć?

3-D Secure to zwiększająca bezpieczeństwo metoda autoryzowania transakcji przeprowadzanych bez fizycznego użycia karty (tj. przy użyciu tylko jej danych – numeru, imienia i nazwiska użytkownika, terminu ważności i kodu CVV znajdującego się na odwrocie karty). Rozwiązania 3-D Secure udostępniają m.in. największe organizacje płatnicze ­­– Visa, MasterCard, American Express oraz JCB.

Zabezpieczenie transakcji 3-D Secure polega na identyfikacji i potwierdzeniu uprawnień posiadacza karty. Odbywa się najczęściej przy użyciu jednorazowego hasła wygenerowanego za pomocą tokena lub przesłanego SMS-em na numer telefonu przypisany do konta posiadacza karty. Eliminacja w ten sposób ryzyka nieuprawnionego użycia karty sprawia, że odpowiedzialność za transakcje dokonane przy użyciu 3-D Secure ponosi w całości właściciel karty.

Wymagania dotyczące autoryzacji transakcji z 3D Secure:

• Transakcje muszą być uwierzytelnione z wykorzystaniem przynajmniej dwóch z trzech wymienionych wyżej elementów.
• Elementy muszą być od siebie niezależne i należeć do różnych kategorii np. utrata telefonu nie oznacza automatycznie kompromitacji hasła.
• Przy płatnościach zdalnych uwierzytelnienie musi być przypisane do konkretnej kwoty i odbiorcy – tzw. Dynamic Linking.

Klienci korzystający z bramki do płatności eCommerce w eService mają zapewniona obsługę 3-D Secure w ramach usługi.

Jakie ryzyko niesie brak dostosowania się do wymagań PSD2/SCA?

Niespełnienie wymogów wynikających z nowych regulacji niesie ze sobą szereg konsekwencji. Wśród nich szczególne znaczenie mają:

• Brak możliwości przyjmowania płatności bezgotówkowych od klientów;
• Brak możliwości sprzedaży towarów i usług drogą elektroniczną (internet, aplikacje) – spadek przychodów, niemożliwość wykonania planu sprzedaży;
• Niezadowolenie i utrata klientów niemogących robić zakupów i zamawiać usług;
• Utrata wizerunku dobrze zorganizowanej, sprawnie działającej firmy;
• Kary finansowe nakładane przez organizacje płatnicze w razie naruszenia obowiązków nakładanych przez PSD2.