Z informacji Europejskiego Urzędu Nadzoru Bnkowego (EUNB) i Komisji Nadzoru Finansowego wynika, że rynek usług płatniczych nie jest w pełni gotowy na wdrożenie zasad silnego uwierzytelniania klienta (SCA) przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym e-commerce. Dotyczy to nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych, w tym zwłaszcza odbiorców płatności (sprzedawców, merchantów). Od 14 września powinni oni wdrożyć minimum dwuelementowy mechaniz, potwierdzania tożsamości klientów.  EUNB w opinii z 21 czerwca 2019 r. stwierdził, że na zasadzie wyjątku i w celu uniknięcia niezamierzonych negatywnych konsekwencji dla użytkowników usług płatniczych po tym dniu, organy nadzorcze mogą dopuścić wydłużenie czasu na umożliwienie migracji stosowanych obecnie metod uwierzytelnienia do rozwiązań w pełni zgodnych z nowymi wymogami i KNF skorzystal z tej możliwości.

Plan migracji pod nadzorem KNF

W opublikownym w  poniedziedziałek stanowisku wyjaśnia jednak, że dostawcy usług płatniczych mogą zapewnić sobie parasol ochronny pod warunkiem, że przedstawią odpowiedni „plan migracji” i uzgodnią go z komisją. Co więcej KNF wymaga ściisłej współpracy przy jego realizacji. - Nie wystarczy zatem tylko zgłoszenie do KNF, że dany podmiot nie zdążył wdrożyć zasad silnego uiwerzytelnienia klienta - tłumaczy Jacek Barszczewski, dyrektor Departamentu Komunikacji Społecznej w Urzędzie Komisji Nadozru Finansowego. - Równolegle musi zadeklarować, kiedy się dostosuje, czyli przedstawić tzw. plan migracji i uzgodnić go z KNF. Powinien też być świadom wszelkich ryzyk z tym związanych - tłumaczy Jacek Barszczewski.

Wskazanie warunków brzegowych w tym maksymalnych terminów dla wdrożenia SCA w ramach „planu migracji” zostanie dokonane po zakończeniu ustaleń w ramach EUNB. W komunikacie KNF sugeruje, że nastąpi to najprawdopodobniej już po 14 września 2019 r.

Silne uwierzytelnienie - co to jest

14 września banki i isntytucje płatnicze mają obowiązek stosowania art. 32i ustawy o usługach płatniczych oraz rozporządzenia 2018/389 uzupełniającego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w sprawie usług płatniczych.  W fekcie dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta, w przypadku gdy klient – płatnik: 

• uzyskuje dostęp do swojego rachunku w trybie on-line,
• inicjuje elektroniczną transakcję płatniczą,
• przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

W szczególności silne uwierzytelnianie klienta powinno być stosowane w przypadku logowania klienta do systemu bankowości elektronicznej, inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym oraz płatności internetowych.  Zgodnie z art. 2 pkt 26aa ustawy o usługach płatniczych silne uwierzytelnianie zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

• wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe),
• posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie),
• cechy charakterystyczne użytkownika (np. cechy biometryczne).

W praktyce zmienią się zasady logowania do internetowych kont bankowych - po wpisaniu loginu i hasła, swoją tożsamość będzie trzeba jeszcze potwierdzić  kodem przesłanym smsem, tak jak potwierdza się dokonanie przelewu. Podobnie płacąc zbliżeniowo częściej trzeba będzie potwierdzać transakcje kodem PIN. Ma to zwiększyć bezpieczeństwo transakcji.