1

10.09.2019

Dyrektywa PSD2/PSD2 Directive

Dyrektywa PSD2

14 września mija termin do którego wszystkie banki są zobligowane zapewnić zgodność swoich systemy z wymogami unijnej dyrektywy PSD2. Dotyczy ona usług płatniczych i będzie obowiązywać w ramach rynku wewnętrznego w Europejskim Obszarze Gospodarczym tj. na terytorium Unii Europejskiej, Islandii, Norwegii i Lichtensteinu mając znaczący wpływ na kształt całego europejskiego rynku usług płatniczych, obejmującego działalność banków i innych podmiotów niebankowych świadczących usługi płatnicze. Wprowadzone przepisy zwiększą bezpieczeństwo, jednak zmniejszą wygodę użytkowników przez dodanie zabezpieczeń.

Dyrektywa PSD2 została przyjęta przez kraje Unii Europejskiej w listopadzie 2015 roku. Część przepisów wdrożono w Polsce już w 2018 roku za sprawą nowelizacji o usługach płatniczych. Zmiany wprowadzone wówczas to między innymi: skrócenie czasu rozpatrywania reklamacji (z 30 dni kalendarzowych do 15 dni roboczych), zmniejszenie odpowiedzialności klienta za nieautoryzowane transakcje (na przykład w przypadku zgubienia lub kradzieży telefonu czy karty). Odpowiedzialność  klienta została zmniejszona z 150 euro do maksymalnie 50 euro. Wprowadzono także nowe zasady pokrywania kosztów przelewów zagranicznych. Zmieniono politykę kosztów przelewów zagranicznych, przy transferze środków do kraju z Europejskiego Obszaru Gospodarczego (UE, Islandia, Norwegia, Lichtenstein, Szwajcaria) są one pokrywane przez zarówno nadawcę i odbiorcę.

We wrześniu   liczba przepisów wchodzących w życie zwiększa się. Wprowadzone zostaje tzw. silne uwierzytelnianie, czyli zastosowanie co najmniej dwóch elementów z trzech należących do kategorii:

  • wiedza (coś, co wie wyłącznie użytkownik np. hasło, PIN do karty),
  • posiadanie (coś, co posiada wyłącznie użytkownik np. karta płatnicza, token, telefon z kartą SIM),
  • cecha charakterystyczna użytkownika (np. odcisk palca).

Kolejną nowścią jest “Interface API”, czyli mechanizm, który umożliwia komunikację i wymianę danych pomiędzy bankiem, a usługodawcami zewnętrznymi. Wszystkie banki muszą udostępnić dane ze swoich systemów poprzez tzw. otwarte API, do których będą mogły się połączyć podmioty zewnętrzne (TPP- Third Party Providers) np. firmy technologiczne o profilu finansowym. Tylko i wyłączenie za zgodą klienta, dostawcy będą mogli zyskać dostęp do informacji o jego kontach przy pomocy 3 usług:

  • AIS (ang. Account Information Service) – dostęp do informacji o Twoim rachunku bankowym
  • PIS (ang. Payment Initiation Service) – inicjowanie płatności
  • CAF (ang. Confirmation of the Availability of Funds) – potwierdzenie dostępności pieniędzy na Twoim koncie

Kolejnym wymogiem wynikającym z dyrektywy jest udostępnienie usługi inicjowania płatności. Po uzyskaniu zgody klienta, dostawca usług (TPP) będzie mieć dostęp do jego rachunku i możliwość inicjowania przelewów z tego rachunku. Każdy przelew realizowany za pośrednictwem TPP będzie podlegał autoryzacji klienta. Udostępnienie usługi potwierdzania dostępności środków na rachunku płatniczym – bank będzie mógł potwierdzić wskazanej przez klienta firmie, czy masz na koncie określoną kwotę.

Dyrektywa PSD2 wprowadza również dwa rodzaje limitów związane z płatnościami kartą bez użycia PIN. Bank może wybrać limit ilościowy lub wartościowy. W przypadku wyboru  limitu ilościowego, może okazać się, że częściej trzeba będzie wpisywać PIN. Dziś jedynie transakcje powyżej 50 zł wymagają potwierdzania tym kodem. Po 14 września pięć pierwszych transakcji do 50 zł będzie bez PIN-u, natomiast szósta będzie wymagała jego wpisania. Z kolei jeśli wybór padnie na limit wartościowy, to PIN będzie trzeba podać, gdy suma kolejnych płatności nie potwierdzanych tym kodem przekroczy ustalony przez bank próg. W dyrektywie ten limit ustalony jest na maksymalnie 150 euro, jednak mogą go zmniejszyć. O swojej decyzji bank ma obowiązek poinformować klientów na 60 dni przed wprowadzeniem dyrektywy PSD2.

Głównym celem PSD2 jest rozszerzenie ram prawnych, określających zasady świadczenia usług płatniczych, uzupełnienie istniejących regulacji, a także wyjaśnienie powstałych na ich tle wątpliwości. Jest to kolejny krok w harmonizacji prawa w Unii oraz w staraniach zapewnieniu większego bezpieczeństwa funduszom obywateli UE.

PSD2 Directive

September 14 is the deadline by which all banks are obliged to ensure compliance of their systems with the requirements of the EU PSD2 directive. It applies to payment services and will apply within the internal market in the European Economic Area, i.e. within the European Union, Iceland, Norway and Liechtenstein, having a significant impact on the shape of the entire European payment services market, including the activities of banks and other non-banking entities providing such services. The introduced regulations will increase security, but will reduce the convenience of users by adding more security measures.

The PSD2 directive was adopted by the European Union in November 2015. Some provisions have been implemented in Poland as early as 2018 due to the amendment to payment services. The changes introduced at that time include, among others: reducing the time to process complaints (from 30 calendar days to 15 working days), reducing the customer’s liability for unauthorized transactions (for example in the event of the loss or theft of a telephone or card). Customer liability has been reduced from 150 euros to a maximum of 50 euros. New rules for covering the costs of foreign transfers have also been introduced. The policy of costs of foreign transfers has been changed, when transferring funds to a country from the European Economic Area (EU, Iceland, Norway, Liechtenstein, Switzerland) they are covered by both the sender and the recipient.

In September, the number of provisions coming into force increases. The so-called strong authentication, i.e. the use of at least two elements from three categories:

  • knowledge (something that only the user knows, e.g. password, card PIN),
  • possession (something that only the user has, e.g. a payment card, a token, a phone with a SIM card),
  • user’s characteristic (e.g. fingerprint).

Another novelty is the „Interface API”, which is a mechanism that enables communication and data exchange between the bank and external service providers. All banks must provide data from their systems through so-called open APIs to which third parties will be able to connect (TPP- Third Party Providers), e.g. technology companies with a financial profile. Only and exclusively with the consent of the customer, suppliers will be able to gain access to information about his accounts using three services:

  • AIS (Account Information Service) – access to information about client’s bank account
  • PIS (Payment Initiation Service) – initiating payments
  • CAF (Confirmation of the Availability of Funds) – confirmation of the availability of money on client’s account

Subsequent requirement under the directive is the provision of the payment initiation service. After obtaining the client’s consent, the service provider (TPP) will have access to his account and the ability to initiate transfers from this account. Each transfer made via TPP will be subject to client authorization. Providing access to the service confirming the availability of funds on a payment account – the bank will be able to confirm to the company indicated by the client whether the amount is on the account.

The PSD2 directive also introduces two types of limits related to card payments without using his PIN number. The bank may choose a quantitative or value limit. In the case of selection of the quantitative limit, it may be required to enter the PIN number more of ten. Today, only transactions above PLN 50 require confirmation with this code. After September 14, the first five transactions up to PLN 50 will be performed without entering PIN, while the sixth will require entering it. On the other hand, if the choice falls on the value limit, the PIN will need to be entered when the sum of subsequent payments not confirmed by this code exceeds the threshold set by the bank. In the directive, this limit is set at a maximum of 150 euros, but it can reduced. The bank is obliged to inform customers about its decision 60 days before the introduction of the PSD2 directive.

The main purpose of PSD2 is to extend the legal framework that sets out the rules for the provision of payment services, supplement existing regulations, and clarify doubts arising therefrom. This is another step in the harmonization of law in the Union and in efforts to ensure greater security for the funds of EU citizens.