Kolejne wersje unijnej dyrektywy dotyczącej płatności zawsze przynosiły ze sobą duże zmiany. Pierwsza oddzieliła bankowość od usług płatniczych, druga – m.in. otworzyła drogę do wykorzystania danych ukrytych do tej pory w bankowych „sejfach”. Podsumowujemy, co wnosi ze sobą trzecia edycja PSD.
Część użytkowników bankowości mobilnej i internetowej pamięta zapwne moment wejścia w życie standardów tzw. silnego uwierzytelnienia (SCA). Jeszcze kilka lat temu sam login i hasło wystarczył, by wejść do serwisu transakcyjnego i przejrzeć np. historię przelewów i wypłat. Dziś przyzwyczailiśmy się, że taka operacja (przynajmniej z nowego urządzenia) wymaga dodatkowego potwierdzenia. Podobnie jak płatności w sieci, gdzie SCA jest powszechnie stosowane.
To tylko jeden z przykładów, jak nasze codzienne zwyczaje związane z zarządzaniem finansami zmieniły unijne regulacje prawne kryjące się pod skrótem PSD. Ostatnia wersja dyrektywy określającej ramy działania usług płatniczych w Unii została uchwalona już 8 lat temu. Z przeglądu skutków regulacji wyciągnięto kilka krytycznych wniosków, a m.in. na ich podstawie zbudowano zarys PSD3 opublikowany pod koniec czerwca 2023 r.
Tym razem zmiany wprowadzane przez dyrektywę nie są na pierwszy rzut oka tak rewolucyjne jak poprzednio. Znaczna ich część nie dotyczy bezpośrednio konsumentów, ale zmieni zapewne rynek i ostatecznie nasze doświadczenia płatnicze. Przyjrzyjmy się najważniejszym nowościom zapowiadanym w PSD3.
Standardy bardziej standardowe
Jednym z problemów wynikającym z formy poprzedniej regulacji (dyrektywa) było niejednorodne wdrożenie przepisów w poszczególnych krajach UE. Również w Polsce spotkaliśmy się z sytuacją, gdy banki i organizacje strzegące praw konsumentów (UOKiK, Rzecznik Finansowy) spierały się o brzmienie jednego z artykułów ustawy o usługach płatniczych (wdrażającej PSD2 w naszym kraju). Osią sporu jest użycie terminu „autoryzacja” oraz, co za tym idzie, zakres odpowiedzialności za nieautoryzowane transakcje.
Przedstawiony w połowie roku pakiet regulacji dla usług płatniczych składa się z dwóch części. Dyrektywa (PSD3) koncentruje się na kwestiach bardziej strategicznych (np. licencjonowanie), a bardziej praktyczne i szczegółowe zagadnienia zawarto w PSR (Payment Services Regulation). Będzie to akt bezpośrednio obowiązujący w krajach UE, niewymagający wdrożenia do krajowego porządku prawnego.
Przeciwko wyłudzeniom na „e-wnuczka”
Ostrzejsze standardy potwierdzania transakcji online sprawiły, że przestępcy zwrócili się w stronę bardziej „miękkich”, socjotechnicznych sztuczek. Podszywanie się pod znaną firmę albo kogoś z rodziny pozwala łatwiej wyłudzić pieniądze. Ofiara sama autoryzuje transakcję, chociażby „dopłacając do paczki” czy pożyczając pieniądze rzekomym znajomym.
Na tzw. authorized push payment fraud (APP, oszustwo oparte na autoryzowanej płatności) niewiele mogą poradzić obecne zabezpieczenia techniczne. Narzędzia, których stosowanie wymusiła PSD2, koncentrują się na weryfikacji, czy operację zleca uprawniony posiadacz rachunku płatniczego. Nowe regulacje próbują zaadresować ten problem – obowiązkowe stanie się porównanie danych odbiorcy przelewu podanych przez płatnika z danymi posiadacza rachunku docelowego. Tzw. IBAN/name check będzie warunkiem koniecznym do przesłania dalej każdego zlecenia uznaniowego, nie tylko przelewu natychmiastowego.
Nowym wymaganiom technicznym towarzyszyć będzie kilka dodatkowych rozwiązań przewidzianych w proponowanym prawie. Regulacje dadzą przedsiębiorcom z tego sektora możliwość tworzenia platform do dzielenia się danymi o wyłudzeniach, a konsumentom prawo do ubiegania się o zwrot utraconych w wyniku oszustwa środków.
Uprawnienie to zostanie jednak obudowane kilkoma warunkami. Na odzyskanie pieniędzy będzie można liczyć, jeśli przestępstwo umożliwił błąd usługi weryfikacji nazwy posiadacza rachunku-odbiorcy lub konsument padł ofiarą oszustwa, w którym podszyto się pod pracownika banku (instytucji) prowadzącej rachunek. Warunkiem będzie zgłoszenie zdarzenia na policję bez zbędnej zwłoki i brak „rażącej niedbałości” ze strony ofiary. Rekompensatę wypłaci dostawca rachunku płatniczego, co zapewne skłoni banki i inne podmioty do szerszego wprowadzenia np. opcji weryfikacji bankowego rozmówcy w aplikacji m-bankowości. Polskie banki w tej dziedzinie są już zresztą zdecydowanie zaawansowane.
Cashback bez zakupów, czyli łatwiejszy dostęp do gotówki
Usługę cashback, czyli wypłaty gotówki przy okazji zakupów opłacanych bezgotówkowo, proponują niemal wszystkie banki w Polsce. Jej popularność stale rośnie, a sprzyja temu coraz dłuższa lista detalistów, którzy pozwalają na „bankomat przy kasie”.
Proponowane w unijnym pakiecie rozwiązania mogłyby nadać dodatkowy rozpęd usługom cashback. Zakłada się, że wypłaty gotówki mogłyby być realizowane także bez konieczności dokonania zakupu, jeśli sprzedawca zdecyduje się na taki krok. Świadczenie takiej usługi nie wymagałoby pozwolenia pod warunkiem:
- Ograniczenia kwoty jednorazowej wypłaty do równowartości 50 euro.
- Poinformowania klienta przed świadczeniem usługi o wysokości ewentualnej opłaty za wypłatę środków.
Limity kwotowe miałyby sprawić, że ulepszony cashback nie stanie się zagrożeniem dla operatorów bankomatów. Proponowane regulacje przewidują także ułatwienia (rezygnacja z wymogu licencjonowania) dla części operatorów bankomatów.
Standaryzacja interfejsów otwartej bankowości
Lada moment miną 3 lata od chwili, gdy pierwsze banki w Polsce zaproponowały w oparciu o PSD2 swoim klientom opcję agregowania danych o saldach i historii operacji z innych instytucji. Był to jeden z przykładów zastosowania usługi informacji o rachunku (AIS, account information service) przewidzianej w drugiej płatniczej dyrektywie. Drugim ze spotykanych „na żywo” na polskim rynku mechanizmów tzw. otwartej bankowości jest inicjowanie płatności z rachunku w innej instytucji (PIS, payment initiation service).
W trakcie przeglądu skutków wdrożenia PSD2 dostrzeżono, że nie na wszystkich rynkach dostawcy usług płatniczych dopasowali się do wymagań „otwarcia się na zewnętrzne instytucje”. API przygotowywane przez banki i instytucje płatnicze bywają awaryjne, kiepsko wspierane i czasem niepełne, jeśli chodzi o funkcje. Nowe regulacje narzucą minimalne wymogi dla interfejsów otwartej bankowości dotyczące dostępnych opcji, dostępności i czasu odpowiedzi. To powinno z kolei przełożyć się na lepszą jakość aplikacji bazujących na usługach open banking.
Nowe prawo dopiero za kilka lat
Lista nowości wprowadzanych przez kolejny unijny pakiet płatniczy jest znacznie dłuższa niż wymienione, najbardziej dotykające konsumentów kwestie. Warto wyróżnić chociażby postulat zapewnienia niebankowym instytucjom płatniczym bezpośredniego dostępu do infrastruktury rozliczeń (do tej pory) międzybankowych. To oznaczałoby, że płatnicze fintechy stałyby się w mniejszym stopniu uzależnione od partnerów posiadających licencje bankowe.
Propozycje pakietu „PSD3 plus PSR1” są na razie odległe od ostatecznego kształtu. Można się spodziewać, że finalna wersja regulacji powstanie do końca przyszłego roku, a wejście w życie przepisów przeciągnie się do roku 2026.
