W dzisiejszym komunikacie Komisja Nadzoru Finansowego otworzyła możliwość do opóźnienia pełnego wdrożenia silnego uwierzytelnienia tym dostawcom usług płatniczych, którzy przed 14 września 2019 roku zgłoszą do KNF-u taką potrzebę, a następnie przedstawią stosowny, uzgodniony z Komisją realny „plan migracji”.

KNF w tym okresie nie będzie na te podmioty nakładać kar w związku z brakiem wdrożenia nowych zasad w terminie przewidzianym w PSD2.

PSD2 w pełni wchodzi w życie 14 września 2019 roku. Otwarta bankowość, agregacja płatności, dostęp do rachunków płatniczych – to niektóre z usług, jakie prawdopodobnie niebawem będą oferowane klientom banków i fintechów. PSD2 to także obowiązki regulacyjne i nowe zasady w potwierdzaniu transakcji płatniczych. Nie wszystkie podmioty są na to gotowe – największy problem mogą mieć sklepy online, które po prostu nie są gotowe do tego, by dostosować proces zakupowy to tzw. silnego uwierzytelniania (SCA).

Silne uwierzytelnianie może być niebezpieczne dla e-commerce

SCA, czyli tzw. silne uwierzytelnianie klienta ma być stosowane w przypadku gdy, klient uzyskuje dostęp do swojego rachunku w trybie on-line, inicjuje elektroniczną transakcję płatniczą, przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywaniem usług płatniczych. KNF podkreśla, że silnie uwierzytelnianie powinno być stosowane w przypadku logowania do systemu bankowości elektronicznej, inicjowania płatności kartą lub innym instrumentem płatniczym oraz przy dokonywaniu płatności internetowych.

Problem z wdrożeniem SCA był zgłaszany m.in. przez EPSM, czyli European Association of Payment Service Providers or Merchants, które apelowało do europejskiego regulatora, by wprowadził dłuższe vacatio legis dla zasad silnej weryfikacji klienta. Według EPSM nowe zasady mogą doprowadzić do sporego zamieszania – przede wszystkim chodzi o obawy merchantów, którzy zgodnie twierdzą, że klient negatywnie zareagują na bardziej skomplikowany proces płatniczy, a to ostatecznie może zwiększyć problem tzw. porzuconego koszyka.

Druga sprawa to kwestie wdrożenia technologicznego (ponad połowa sklepów po prostu nie jest na to gotowa), a trzecia – świadomość klientów, którzy nie mają pojęcia o tym, że dojdzie do zmiany w prawie (bo skąd mieliby wiedzieć, skoro ich to nie interesuje).

KNF w swoim komunikacie napisał, że poczynił ustalenia odnośnie do stanu gotowości uczestników polskiego rynku usług płatniczych do pełnego wdrożenia zasad SCA i na tej podstawie zdecydował się na opóźnienie wdrożenia pod pewnymi warunkami, dla tych podmiotów, które zgłoszą taką potrzebę i przedstawią harmonogram dostosowania się do nowych wymogów. Na takie rozwiązanie problemu w teorii zezwala EBA, które w czerwcu 2019 roku opublikowało stanowisko, że na „zasadzie wyjątku i celu uniknięcia negatywnych konsekwencji dla klientów”, organy nadzorcze państw UE mogą wydłużyć termin wdrożenia.

Zapewne wiele podmiotów czekało na tę informację. Z drugiej strony, mamy też kilka firm, które poczyniły starania, by dostosować się do nowych wymogów w terminie i teraz z niekrywaną niechęcią patrzą na tych, którym uda się wydłużyć czas na wdrożenie (zaoszczędzić kasę) bez większych konsekwencji.

KNF z tego powodu może znaleźć się w ogniu krytyki, ale oczywiste jest, że taka spadłaby na tę instytucje, gdyby nie podjęto takiej decyzji. Otwarte pozostaje pytanie, czy wszystkie podmioty, który złożą odpowiedni wniosek, dostaną od UKNF możliwość przedłużenia terminu – to wcale nie jest takie pewne i oczywiste.

Co to jest silne uwierzytelnianie?

W największym skrócie logując się do bankowości elektronicznej klient musi podać hasło, login oraz przepisać kod z SMS-a otrzymany od banku lub inny token uwierzytelniający otrzymany np. w aplikacji mobilnej. W przypadku płatności kartowych – chodzi o podawanie PIN-u lub zatwierdzanie transakcji za pomocą technologii biometrycznych, tudzież przepisanie kodu otrzymanego na smartfona w momencie zatwierdzania płatności (a nie podawanie tylko numeru karty i kodu cvv, który widoczny jest na jej odwrocie).

Silne uwierzytelnianie to rozwiązania oparte na co najmniej dwóch elementach należących do kategorii:

  • Wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło, login)
  • Posiadanie czegoś, co posiada wyłącznie użytkownik (karta płatnicza, aplikacja w smartfonie)
  • Cechy charakterystyczne użytkownika (np. cechy biometryczne, w tym biometrii behawioralnej)