1. Czym jest Dyrektywa PSD 2

Dyrektywa PSD2 to skrót od angielskiego (2nd Payment Services Directive) – czyli dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, której celem stało się uporządkowanie rynku usług płatniczych. Na gruncie prawa krajowego przepisy dyrektywy zostały wdrożone przez Ustawę z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw.

 

2. Otwarta bankowość.

Pojęcie otwartej bankowości (ang. open-banking) oznacza, że dostęp do Twojego rachunku płatniczego masz nie tylko przez swoją bankowość internetową lub mobilną, ale również przez aplikacje zewnętrznych licencjonowanych podmiotów trzecich (ang. Third Party Providers), tj. np. banków, fintechów (przedsiębiorstw z branży finansowej oraz technologicznej, pośredników płatności. Oczywiście nastąpić to może wyłącznie za Twoją zgodą tj. zgodą właściciela rachunku, która może zostać odwołana.

W praktyce, można posiadać kilka rachunków w różnych instytucjach finansowych a ww. podmiot zewnętrzny umożliwia poprzez swoją aplikację używanie wszystkich w jednym miejscu.

Zgodnie z PSD2 wprowadzono nową kategorię dostawców – TPP (Third Party Providers), czyli tak zwane podmioty trzecie, które mogą, w imieniu użytkownika usług płatniczych i za jego zgodą, uzyskać dostęp do informacji o jego rachunku lub zlecać realizację płatności.

Podmioty trzecie mogą świadczyć trzy rodzaj usług:

  • usługa inicjowania transakcji płatniczej (Payment Initiation Service, PIS) – to usługa polegająca na zainicjowaniu zlecenia płatniczego na wniosek użytkownika usług płatniczych w odniesieniu do rachunku płatniczego posiadanego u innego dostawcy, po czym przedstawiana jest płatnikowi informacja o dokonaniu płatności;
  • usługa dostępu do informacji o rachunku (Account Information Service, AIS) – dostawca świadczący tę usługę zapewnia klientowi zagregowane informacje online o co najmniej jednym lub kilku rachunkach płatniczych, prowadzonych przez jednego lub kilku dostawców usług płatniczych; w ten sposób użytkownik ma możliwość łatwego zarządzania swoimi finansami osobistymi na jednej platformie usług – niezależnie od posiadania rachunków bankowych w różnych instytucjach finansowych. Umożliwia zewnętrznemu podmiotowi dostęp do informacji o Twoich rachunkach w różnych bankach;
  • usługa potwierdzania dostępności na rachunku płatniczym płatnika kwoty niezbędnej do wykonania transakcji płatniczej (confirmation of the availability of funds „CAF”)

Wprowadzenie do obrotu prawnego nowych usług płatniczych stanowi wstęp do budowy nowoczesnych usług opartych na tzw. API (Application Programming Interface), tj. ekonomii programowalnych interfejsów dostępowych, które mają zagwarantować bezpieczne funkcjonowanie nowych usług w sektorze finansowym oraz są wstępem do budowy rozwiązań tzw. otwartej bankowości zakładającej integrację i większą personalizację usług finansowych i niefinansowych dla konsumentów i przedsiębiorców

Wszystkie usługi mają charakter pomocniczy w stosunku do „usług właściwych”, tj. usług, skutkujących faktycznym przesunięciem środków pieniężnych klienta. Dostawcy tych usług nie wchodzą na żadnym etapie w posiadanie środków pieniężnych klienta.

 

3. SILNE UWIERZYTELNIANIE = BEZPIECZEŃSTWO

Dyrektywa PDS2 oraz wydane do niej Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta, wspólnych i bezpiecznych otwartych standardów komunikacji dokładnie określa, w jaki sposób powinna przebiegać weryfikacja tożsamości użytkownika podczas świadczenia usług w kanałach zdalnych. Silne uwierzytelnianie przewiduje wykorzystanie dwóch z trzech elementów:

- coś, co wiesz tylko Ty (np. hasło)

- coś, co masz tylko Ty (np. telefon komórkowy)

- coś, czym jesteś (czyli np. odcisk palca lub system rozpoznawania twarzy),

które są integralną częścią uwierzytelnienia oraz są niezależne w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

Kasa Stefczyka wprowadziła zasady silnego uwierzytelniania zgodne z Dyrektywa i ww. Rozporządzeniem w sytuacjach, gdy wynika to z przepisów prawa tj. podczas logowania do bankowości elektronicznej, zlecania transakcji płatniczej, jak i podczas wykonywania innych czynności w systemie bankowości elektronicznej.