Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych (PSD2) wprowadziła na europejskim rynku płatności wiele zmian. Ten akt prawny, napisany w odpowiedzi na dynamicznie rozwijający się rynek płatności, a także zagrożenia czyhające na konsumentów, uregulował kwestie wcześniej nieobecne na rynku bądź uregulowane, ale niedostatecznie.
W Polsce od 20 czerwca 2018 r. obowiązuje znowelizowana Ustawa o usługach płatniczych, która dostosowuje regulacje krajowe do unijnych przepisów. Niemniej część jej zapisów na terytorium Polski zaczęła obowiązywać dopiero niedawno. Przykładowo: wymagania z zakresu silnego uwierzytelnienia klienta (SCA) w zakresie e-commerce za zgodą Europejskiego Urzędu Nadzoru Bankowego (EBA) na dobre weszły w życie na polskim rynku 1 stycznia 2021 r.
PSD2 w telegraficznym skrócie
Dyrektywa PSD2 zawiera szereg nowych rozwiązań – nie tylko związanych ze wspomnianym już silnym uwierzytelnieniem klienta, lecz również bardzo istotne przepisy wprowadzające nowy standard na rynku usług płatniczych, tzw. otwartą bankowości (ang. open banking), dzięki której możliwe jest świadczenie m.in. takich usług jak:
- AIS (Account Information Service) – dostęp do informacji o rachunkach,
- PIS (Payment Initation Service) – usługa inicjowania płatności z konta bankowego.
Wymóg dotyczący silnego uwierzytelnienia klienta został wskazany we wspomnianej już Ustawie o usługach płatniczych oraz w Rozporządzeniu delegowanym Komisji (UE)2018/389 z dnia 27 listopada 2017 r. uzupełniającym dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta, jak i wspólnych i bezpiecznych otwartych standardów komunikacji.
Jednym z celów dyrektywy było wprowadzenie wspólnych standardów obowiązujących na rynku płatności i zapewnienie bezpieczniejszych płatniczych usług transgranicznych w krajach Europejskiego Obszaru Gospodarczego, czyli w Unii Europejskiej, a także Norwegii, Lichtensteinie i Islandii – krajach blisko związanych ze zjednoczoną Europą pod względem gospodarczym.
W rzeczywistości jej wpływ na europejskich konsumentów jest znacznie większy. Projektując nową dyrektywę, Komisja Europejska wraz z Parlamentem Europejskim musiały zmierzyć się z dużymi wyzwaniami na rynku płatności: poprawą bezpieczeństwa płatności transgranicznych, ochroną konsumentów podczas autoryzacji e-płatności, rozwojem ewoluującego wspólnego rynku płatniczego, inwestycjami w innowacje w zakresie płatności online i mobilnych czy otwartą bankowością. Jednym ze skutków implementacji PSD2 jest upowszechnienie SCA na terenie całej UE – w tym oczywiście również Polski.
Strong Customer Authentication (SCA)
Zmiana, którą zapewne zauważyło najwięcej konsumentów korzystających z płatności w Internecie, to wdrożenie tzw. silnego uwierzytelnienia klienta. Dyrektywa wymusiła na dostawcach usług płatniczych wprowadzenie „uwierzytelnienia dwuskładnikowego wraz ze spełnieniem dodatkowych wymogów”.
Oznacza to, iż uwierzytelnienie musi odbywać się przy wykorzystaniu co najmniej dwóch od siebie niezależnych elementów spośród następujących kategorii:
- wiedza – coś, co zna wyłącznie użytkownik (np. hasło),
- posiadanie – coś, co posiada wyłącznie użytkownik (np. odcisk palca),
- cecha klienta – coś, co charakteryzuje tylko użytkownika (np. skan siatkówki oka).
Szczegółowe zasady uwierzytelnienia klienta ustalają na zasadzie indywidualnej poszczególne banki, zgodnie z przyjętymi przez nie procedurami i obowiązującymi przepisami prawa.
Uwierzytelnienie klienta w praktyce
Banki w Polsce przygotowania do wejścia w życie PSD2 rozpoczęły z dwuletnim wyprzedzeniem, chcąc przygotować do nadchodzących zmian zarówno siebie, jak i swoich klientów. W czerwcu 2019 r. EBA wydała szczegółową opinię dotyczącą m.in. elementów, które mogą zostać użyte w celu uwierzytelnienie klienta. Wskazała m.in. na kod przesłany przez bank do klienta w wiadomości tekstowej, odcisk palca, skan siatkówki oka, geometrię twarzy (tzw. identyfikatory biometryczne), e-PIN.
Następnie na forum Związku Banków Polskich i Komitetu Agentów Rozliczeniowych banki podjęły rozmowę z organizacjami kartowymi i agentami rozliczeniowymi na temat metod uwierzytelnienia płatności dokonywanych w Internecie za pomocą kart płatniczych, inicjowanych przez klienta niekorzystającego z bankowej aplikacji mobilnej, które byłyby zgodne z wymogami PSD2.
Wówczas w przypadku braku zainstalowanej aplikacji bankowej zarekomendowano zastosowanie e-PINu. Pod tym rozwiązaniem kryje się 4- cyfrowy kod PIN nadawany osobno do każdej karty, którą w danej chwili posługuje się płatnik w celu dokonania e-płatności za nabywane towary bądź usługi. e-PIN jest niezależny od standardowego kodu PIN do karty. Organizacje wydające karty i agenci rozliczeniowi tę koncepcję poparli, a część banków na przełomie 2020 i 2021 r. takie rozwiązanie wdrożyła.
Aplikacje mobilne a e-PIN
Jednocześnie w trakcie przygotowań do wejścia w życie PSD2 banki rozpoczęły kampanie informacyjne, zachęcając swoich klientów do pobierania i instalowania aplikacji mobilnych, które w ciągu ostatnich dwóch lat w wielu przypadkach przeszły prawdziwą metamorfozę.
Banki przeprowadziły audyty swoich aplikacji pod kątem user experience i postawiły w wielu przypadkach na nowy interfejs oraz dodatkowe lub usprawnione funkcjonalności, np. płatności BLIK, szybkie kredyty, narzędzia umożliwiające analizę wydatków, dostęp do instrumentów finansowych, także tych inwestycyjnych, czy obsługę jednoosobowych działalności gospodarczych.
W rezultacie aplikacje bankowe stają się coraz powszechniejsze i coraz częściej wykorzystywane do procesu silnego uwierzytelnienia klienta. Obecnie klienci wielu polskich banków, którzy płacą w Internecie kartą debetową lub kredytową, aby autoryzować transakcję, podają dane karty – jej numer, datę ważności i kod CVV, a następnie potwierdzają autoryzację w aplikacji. W przypadku braku aplikacji bankowej istnieje konieczność zastosowanie alternatywnej metody, którą może być e-PIN, czyli PIN do karty, kod przesłany SMS-em, a niekiedy kombinacja numeru PIN i kodu z wiadomości tekstowej.
Bezpieczny e-handel
Znowelizowana dyrektywa w sprawie usług płatniczych stawia sobie za cel bezpieczeństwo płatników w Internecie. W dobie powszechnych wyłudzeń danych, transakcji oszukańczych i kreatywności cyberprzestępców wieloetapowe uwierzytelnianie transakcji chroni konsumenta przed problemami finansowymi. SCA zyskało na znaczeniu zwłaszcza w ostatnich miesiącach, gdy w związku z pandemią COVID-19 i zamrożeniem m.in. handlu stacjonarnego wiele firm przeniosło działalność do Internetu lub zintensyfikowało swoje działania w tym obszarze.
