Dnia 14 września 2019r. wchodzi w życie dyrektywa PSD2
Co to jest PSD2?
PSD2 (ang. Payment Services Directive) to dyrektywa Unii Europejskiej dotycząca usług płatniczych. W polskim prawie jej zasady zostały uregulowane w ramach nowelizacji ustawy o usługach płatniczych. Wprowadzenie dyrektywy wynika ze zmian technologicznych na rynku płatności oraz pojawiających się regularnie na rynku nowych usług płatniczych. Dyrektywa umożliwia pojawienie się na rynku nowych podmiotów (tzw. TPP), którzy za zgodą Klienta, będą mogli świadczyć dodatkowe usługi (AIS, PIS i CAF).
Dla Klientów dyrektywa PSD2 to:
- szybciej rozpatrywane reklamacje
- zmniejszenie odpowiedzialności Klienta za nieautoryzowane transakcje
- zmiany metod realizacji płatności zagranicznych
- otwarta bankowość
Jakie będą korzyści dla klienta?
- Szybciej rozpatrywane reklamacje - czas na rozpatrzenie reklamacji dotyczących transakcji płatniczych skrócił się z 30 dni kalendarzowych do 15 dni roboczych.
- Zmniejszenie odpowiedzialności za nieautoryzowane transakcje - w przypadku nieautoryzowanej transakcji płatniczej odpowiedzialność wynosi maksymalnie 50 euro; wcześniej limit wynosił 150 euro.
Nowe metody realizacji płatności zagranicznych
Dyrektywa wprowadza nową zasadę realizacji przelewów zagranicznych do krajów z Europejskiego Obszaru Gospodarczego (Unia Europejska, Islandia, Norwegia, Liechtenstein, Szwajcaria) – tzw. opcję SHA – w której część kosztów pokryje zleceniodawca przelewu, a część – odbiorca.
Nowe usługi TPP
Dyrektywa umożliwia pojawienie się na rynku nowych podmiotów (tzw. TPP – Third Party Providers), którzy za zgodą Klienta, będą mogli świadczyć dodatkowe usługi:
AIS (ang. Account Information Service). Zgodnie z regulaminami produktowymi Banku, jest to usługa dostępu do informacji o rachunku, czyli usługa on-line polegająca na dostarczaniu skonsolidowanych informacji dotyczących:
a) rachunku płatniczego Posiadacza rachunku/ Kredytobiorcy prowadzonego u innego dostawcy albo
b) rachunków płatniczych Posiadacza rachunku/ Kredytobiorcy prowadzonych u innego dostawcy albo u więcej niż jednego dostawcy
Jest to zatem usługa, która – za zgodą Klienta - umożliwi TPP dostęp do informacji o rachunkach Klienta w różnych bankach. Dzięki tej usłudze Klient będzie mógł mieć dostęp do różnych rachunków z jednego miejsca.
PIS (ang. Payment Initiation Service). Zgodnie z regulaminami produktowymi Banku jest to usługa inicjowania transakcji płatniczej, czyli usługa polegająca na zainicjowaniu zlecenia płatniczego przez dostawcę świadczącego usługę inicjowania transakcji płatniczej na wniosek Posiadacza rachunku/ Kredytobiorcy/ Użytkownika karty lub bankowości elektronicznej z rachunku płatniczego Posiadacza rachunku/ Kredytobiorcy prowadzonego przez innego dostawcę.
Jest to zatem usługa, która umożliwi – za zgodą Klienta - realizację płatności z rachunku bankowego Klienta przez TPP do wybranego przez Klienta odbiorcy.
CAF (ang. Confirmation of the Availability of Funds). Zgodnie z regulaminami produktowymi jest to usługa potwierdzenia dostępności środków na rachunku płatniczym, czyli usługa polegająca na potwierdzeniu dostawcy wydającemu instrumenty płatnicze oparte na karcie płatniczej kwoty niezbędnej do wykonania transakcji płatniczej realizowanej w oparciu o tę kartę.
Jest to zatem usługa, która umożliwi TPP sprawdzenie, czy na rachunku bankowym jest wystarczająca kwota niezbędna do wykonania danej płatności kartą.
Co to jest open banking?
Open banking, czyli otwarta bankowość to nowy standard na rynku usług płatniczych.
Zgodnie z nowymi regulacjami, wprowadzonymi dyrektywą PSD2, banki muszą, za zgodą Klienta, umożliwić dostęp do rachunków płatniczych swoich klientów TPP, czyli nowym podmiotom na rynku, takim jak np. fintechy, serwisy płatnicze czy inne banki.
TPP będą mogły pobierać informacje o kontach klientach w jednym lub wielu bankach. Mogą je wykorzystać na przykład do prezentowania analizy wydatków klientów albo dokumentowania dochodów, gdy klient ubiega się o kredyt.
Jak się zmienią płatności?
Dyrektywa wprowadza również usługę inicjowania płatności. TPP będzie mieć dostęp do Twojego konta i w Twoim imieniu zleci przelew na konto odbiorcy. Dzięki temu na przykład w naszej aplikacji zlecisz przelew z Twojego konta w innym banku. Będzie to działać na podobnych zasadach jak dzisiejsze płatności szybkim przelewem w sklepach internetowych (tzw. pay-by-linki). Za bezpieczeństwo tych płatności będą odpowiadać banki.
Jak płatności kartą zmienią się po 14 września 2019?
Nowe przepisy mają na celu zwiększyć bezpieczeństwo finansów klientów w dobie postępującej cyfryzacji. Przedstawiamy odpowiedzi na najczęściej pojawiające się pytania jak będą wyglądać płatności kartą w sklepach fizycznych i online.
Zakupy w sklepach stacjonarnych
Czy prawdą jest, że konieczne będzie potwierdzanie PIN-em transakcji nieprzekraczających kwoty 50 PLN?
Od 14 września kodem PIN trzeba będzie autoryzować również niektóre transakcje na kwoty nieprzekraczające 50 PLN. Banki będą zobowiązane do stosowania tzw. silnego uwierzytelnienia klienta (ang. strong customer authentication, SCA) przy co szóstej transakcji (piąta może być bez SCA) lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro. Każda transakcja powyżej 50 PLN, która automatycznie wymaga kodu PIN spowoduje, że licznik transakcji (lub kwoty) będzie startował od początku.
W jakich przypadkach będzie trzeba przeprowadzić autoryzację transakcji?
Zależy to od zastosowanego kryterium przez bank-wydawcę karty. Pierwszym z nich jest autoryzacja kodem PIN co szóstej transakcji – o ile wcześniej nie zapłacimy za coś kwoty powyżej 50 PLN, co automatycznie wymaga kodu PIN i zeruje licznik.
Drugie kryterium dotyczy łącznej wartości kolejnych płatności kartą. Gdy przekroczy ona próg 150 euro, autoryzacja PIN-em będzie wymagana.
Każda transakcja z PIN „zeruje licznik” (zarówno w przypadku stosowanego kryterium liczby transakcji, jak i łącznej kwoty transakcji bez SCA).
Czy nowe wymogi obowiązują także dla zbliżeniowych płatności mobilnych?
Tak, silne uwierzytelnienie obejmuje mobilne transakcje zbliżeniowe, gdy cyfrowy odpowiednik karty płatniczej jest zapisany w smartfonie, a płatność jest realizowana za pomocą aplikacji bankowej (standard HCE) lub tzw. portfela mobilnego, takiego jak np. Google Pay. Nawet jeśli dany portfel mobilny nie stosuje uwierzytelniania dla wszystkich transakcji (za pomocą kodu PIN), identyfikacja użytkownika przy płatności na kwotę poniżej 50 PLN może być konieczna.
Czy płacąc kartą za granicą będą obowiązywały te same wymogi, co w Polsce?
Przepisy dyrektywy PSD2 obowiązują tylko w państwach Europejskiego Obszaru Gospodarczego (UE oraz Norwegia, Liechtenstein i Islandia). Poza tym obszarem płatności zbliżeniowe będą działać tak, jak do tej pory.
Skąd bierze się ta zmiana?
Zmiany są efektem nowych przepisów. Nieustający rozwój cyfrowości i pojawiające się nowe rozwiązania w zakresie płatności wymagają jednocześnie nowych zabezpieczeń. Zmiany w sposobie autentykacji płatności wynikają z dyrektywy PSD2, która wprowadza jednolity rynek płatności we wszystkich krajach Unii Europejskiej.
Zakupy w sklepach online
Jak będą wyglądały płatności kartą online po 14 września 2019 r.?
Zmiany nastąpią w zakresie autentykacji użytkownika – od tej pory będzie ona musiała być dwustopniowa, czyli obejmować dwa różne elementy opisane w przepisach.
Na czym polega tzw. silne uwierzytelnienie klienta?
Silne uwierzytelnienie klienta polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii: „wiedza” (co wie posiadacz karty, np. hasło zdefiniowane przez klienta), „posiadanie” (co ma posiadacz karty, np. telefon, na którym znajduje się aplikacja bankowa) i „cechy klienta” (element biometryczny, np. odcisk palca).
Jak będzie wyglądać płatność krok po kroku? Czy zawsze tak samo?
W trakcie płatności online konsument będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk „Zapłać”. W następnym kroku zrealizowane zostanie silne uwierzytelnienie, które może mieć następujący przebieg:
– Użytkownik otrzyma powiadomienie push z aplikacji bankowości mobilnej i będzie musiał wprowadzić swój osobisty kod PIN.
– Jeśli kod PIN lub kod jednorazowy SMS zostanie zidentyfikowany pomyślnie, bank zatwierdzi płatność.
Czy każda transakcja online będzie autoryzowana z wykorzystaniem dwóch elementów?
Z założenia tak, przy czym w kilku przypadkach jest możliwe zastosowanie wyjątków. Mogą one dotyczyć: niskich kwot transakcji (do 50 PLN), płatności cyklicznych (np. abonament za usługi cyfrowe, opłaty za rachunki), wybranych sklepów, którym konsumenci ufają, transakcji o niskim ryzyku oszustwa czy też bezpiecznych płatności korporacyjnych.
Dlaczego potrzebne jest dodatkowe uwierzytelnienie?
W dobie postępującej cyfryzacji bezpieczeństwo w sieci jest coraz ważniejszą kwestią i dlatego Unii Europejskiej zależy na zwiększeniu bezpieczeństwa płatności i pieniędzy konsumentów. Stąd też dodatkowy element uwierzytelnienia.
Co jeśli nie mam przy sobie telefonu lub jego bateria się rozładowała?
W takim przypadku klient nie będzie w stanie przeprowadzić silnego uwierzytelniania, więc płatność online nie zostanie zrealizowana.
Jeśli jesteś certyfikowanym zewnętrznym dostawcą usług (TPP) lub złożyłeś wniosek w KNF o wydanie zezwolenia na świadczenie usług wynikających z dyrektywy PSD2 (AIS, PIS lub CAF), przygotowaliśmy dla Ciebie specjalny interfejs dostępowy (API). Wszystkie niezbędne informacje, dokumentacja API oraz środowisko testowe znajdują się na naszym portalu dla dewelopera LINK.