Unijna dyrektywa PSD2 powinna być implementowana do polskiego prawa do stycznia 2018 roku. Reguluje ona kwestie usług płatniczych w internecie i wprowadza obowiązek zabezpieczeń tych płatności.
To dyrektywa uchwalona w 2015 roku, która weszła w życie w styczniu 2016 roku, a która zastępuje obowiązującą dyrektywę PSD z 2007 roku.
Dyrektywa PSD2 precyzuje wiele pojęć, które nie były znane, gdy pracowano nad dyrektywą PSD (która np. wprowadziła wymóg, że przelew międzybankowy musi dojść najpóźniej następnego dnia od wysłania). Reguluje więc np. kwestię cyberbezpieczeństwa i płatności w internecie.
Dyrektywa wprowadza też zasadę, że muszą występować dwa czynniki różnej natury, które będą uwierzytelniać daną płatność (co w Polsce już obowiązuje).
Firmowana przez ministra rozwoju i finansów nowela ustawy o usługach płatniczych wprowadza szereg przewidzianych przez dyrektywę rozwiązań.
Jak czytamy w uzasadnieniu, "nowe przepisy powinny przyczynić się do zwiększenia konkurencji na rynku płatności elektronicznych, przez zapewnienie niezbędnego zabezpieczenia prawnego dla firm rozpoczynających działalność bądź kontynuujących funkcjonowanie na rynku".
"To z kolei umożliwi konsumentom korzystanie z większej liczby lepszych możliwości wyboru pomiędzy różnymi rodzajami usług płatniczych oraz różnymi dostawcami usług. W ciągu ostatnich lat pojawili się nowi dostawcy usług w dziedzinie płatności internetowych oferujący konsumentom możliwość płatności natychmiastowych za rezerwacje internetowe lub zakupy online, bez konieczności posiadania karty kredytowej (około 60 proc. ludności UE nie posiada karty kredytowej). Usługi te ustanawiają powiązanie płatności między płatnikiem a sprzedawcą internetowym za pośrednictwem modułu bankowości internetowej płatnika".
Do tej pory działalność tych nowych dostawców, dodaje uzasadnienie, nie była regulowana na poziomie UE. PSD2 obejmuje tych dostawców, regulując kwestie odnoszące się do poufności, pewności i bezpieczeństwa takich transakcji.
Dyrektywa, a w ślad za nią projekt nowelizacji ustawy, wprowadza więc nowe kategorie instytucji płatniczych. Będą to tzw. podmioty trzecie (TPP - third party providers), działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych.
Będą się do nich zaliczać dwie kategorie podmiotów - instytucje płatnicze, inicjujące płatność (świadczące usługę przeprowadzenia płatności w internecie w imieniu klienta tzw. PIS), a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji - tzw. AIS).
Podmioty trzecie będą musiały być zarejestrowane i posiadać licencję KNF. W Polsce takie podmioty już funkcjonują - świadczą np. usługi realizacji płatności w sklepach internetowych.
Nowela wprowadza też kolejny podmiot, uprawniony do świadczenia usług płatniczych - małą instytucję płatniczą (MIP). Chodzi o "osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, wpisaną do rejestru małych instytucji płatniczych, prowadzącą działalność w zakresie usług płatniczych".
"MIP będą mogły wykonywać swoją działalność wyłącznie na terytorium Rzeczypospolitej Polskiej po uzyskaniu wpisu do rejestru małych instytucji płatniczych. Dozwolone będzie także prowadzenie działalności gospodarczej innej niż świadczenie usług płatniczych. Dopuszczalna wielkość obrotu wykonanego przez MIP nie będzie mogła przekroczyć kwoty l 500 000 euro miesięcznie" - głosi uzasadnienie.
Wprowadzane przez projekt noweli zmiany, jak wynika z uzasadnienia, ograniczają odpowiedzialność płatnika. Płatnik nie będzie np. ponosił odpowiedzialności, "jeżeli nie mógł sobie zdawać sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego". W razie braku wymogu silnego uwierzytelnienia klienta - płatnik nie poniesie odpowiedzialności za zaistniałą szkodę. Nowe przepisy zmniejszają próg odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami płatniczymi ze 150 euro do 50 euro.
PSD2 i wdrażająca dyrektywę nowela ma także pomóc obniżyć opłaty dla konsumentów i zakazuje pobierania dodatkowych prowizji za płatność kartami w zdecydowanej większości przypadków, zarówno dla płatności internetowych, jak i w tradycyjnych.
"Konsumenci będą lepiej chronieni przed nadużyciami finansowymi dzięki odpowiednim zabezpieczeniom. Nowe regulacje zawężą i dalej ujednolicą zasady odpowiedzialności w zakresie nieautoryzowanych transakcji, zapewniając lepszą ochronę płatników. Z wyjątkiem przypadków oszustwa lub rażącego niedbalstwa płatnika, maksymalna kwota, którą płatnik może być zobowiązany do zapłaty w przypadku nieautoryzowanej transakcji płatniczej będzie się zmniejszać od 150 euro do 50 euro" - głosi uzasadnienie.
"Nowe przepisy przewidują także wysoki poziom bezpieczeństwa płatności. Jest to kluczowa kwestia dla wielu użytkowników usług płatniczych, a zwłaszcza konsumentów płacących za pośrednictwem Internetu. Wszyscy dostawcy usług płatniczych, w tym banki, instytucje płatniczych lub dostawcy zewnętrzni - dostawcy niezależni, tzw. TPP (TPP - third party providers), będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności. Dostawcy usług płatniczych będą musieli przeprowadzać ocenę ryzyka operacyjnego i ryzyka w zakresie zabezpieczeń, jak również podejmowanych działań w tym zakresie, w stosunku rocznym" - czytamy.
Dyrektor Przedstawicielstwa Związku Banków Polskich w Brukseli Piotr Gałązka mówił jednak niedawno w rozmowie z PAP, że dyrektywa PSD2 niesie ze sobą także pewne zagrożenia, bo w myśl nowych przepisów będzie możliwość podania loginu i hasła do konta bankowego na stronie instytucji płatniczej, czyli TPP.
"Do tej pory obowiązywała zasada, że loginu i hasła używało się tylko na stronie banku i nie podawało ich na innych stronach. To gwarantowało bezpieczeństwo środków, jeśli hasło nie zostało nikomu ujawnione. Wraz z nowymi przepisami ta sztywna zasada trochę się rozmywa" - zwracał uwagę PAP Gałązka. "Pojawia się bowiem pytanie, czy wszyscy konsumenci będą w stanie prawidłowo rozpoznawać takie podmioty trzecie" – mówił przedstawiciel ZBP. (PAP)