Czym jest okres przejściowy we wdrożeniu PSD2? To czas pomiędzy wejściem w życie dyrektywy, a implementacją tak zwanych RTS-ów, czyli standardów technicznych. Chodzi tutaj między innymi o takie aspekty PSD2 jak silne uwierzytelnianie, czy screen scraping. W okresie przejściowym wiążące mają być wytyczne Komisji Nadzoru Finansowego.

Czytaj także: Duże banki w Europie Środkowej przygotowują się na wejście PSD2

PSD2 – kiedy zacznie działać w Polsce?

Formalnie dyrektywa PSD2 powinna zostać zaimplementowana do polskiego prawa 13 stycznia. Przewidywany czas implementacji to jednak dopiero II kwartał 2018 roku. Wtedy mają ukończyć się pracę nad nowelizacją ustawy o usługach płatniczych. Kluczowym aktem prawnym uzupełniającym PSD2 są tak zwane standardy techniczne, czyli RTS-y. Przewiduje się, że RTS-y zostaną opublikowane w marcu 2018 r. i zaczną być stosowane we wrześniu 2019 r. Oznacza to, że dostawcy usług płatniczych będą mieli 18 miesięcy na wdrożenie wymagań RTS.

Warto przypomnieć, że we wtorek rząd przyjął nowelizację ustawy o usługach płatniczych – na swoim pierwszym posiedzeniu po rekonstrukcji. Więcej o PSD2 i procesie implementacji dyrektywy można przeczytać tutaj – PSD2 coraz bliżej. Rząd przyjął projekt ustawy.

Co zaleca KNF? W pierwszym okresie przejściowym (do daty implementacji PSD2 w Polsce) nadal powinny być stosowane przepisy prawa polskiego. Natomiast w drugim okresie (od implementacji PSD2 do stosowania RTS) Komisja kładzie nacisk na jak najszybsze wdrożenie Polish API, czyli interfejsu do komunikacji pomiędzy bankiem a TPP (podmiotami trzecimi). Pełna treść komunikatu KNF poniżej.

Czytaj także: Marcin Parczewski, Inteca – Jak banki skorzystają na otwartym API?

Okres przejściowy PSD2 i RTS – wytyczne KNF

Biorąc pod uwagę różnicę pomiędzy datą implementacji PSD2 a datą stosowania RTS, Komisja Nadzoru Finansowego przedstawia oczekiwania nadzorcze w odniesieniu do zasad działania dostawców usług płatniczych w okresie przejściowym, w ramach którego należy wyróżnić:

  • okres przejściowy I (tj. od dnia 13 stycznia 2018 r. do daty implementacji PSD2 w Polsce: przewidywany II kw. 2018 r.),
  • okres przejściowy II (tj. od daty implementacji PSD2 w Polsce do daty stosowania RTS).

W okresie przejściowym I przepisy aktów prawa polskiego, w szczególności ustawy o usługach płatniczych i wynikające z niej akty wykonawcze, powinny być nadal w Polsce stosowane, o ile nie będą sprzeczne z bezpośrednio skutecznymi przepisami aktów unijnych (PSD2, rozporządzenia delegowane i wykonawcze Komisji (UE)) – czytamy w komunikacie.

Rozważając zakres stosowania prawa wspólnotowego i zależności pomiędzy prawem wspólnotowym a prawem krajowym po 13 stycznia 2018 r., KNF będzie kierować się następującymi zasadami wyznaczającymi ogólny kierunek stosowania prawa wspólnotowego.

Zasada pierwszeństwa prawa wspólnotowego

Zasada pierwszeństwa prawa wspólnotowego oznacza zapewnienie wszystkim normom prawa wspólnotowego przewagi w razie konfliktu z jakąkolwiek wcześniejszą lub późniejszą normą krajową w każdym państwie członkowskim.

Zatem w sytuacji, gdy przepisy prawa państwa członkowskiego są sprzeczne z bezpośrednio skutecznymi przepisami prawa wspólnotowego, wówczas sądy i organy krajowe mają obowiązek stosować prawo wspólnotowe.

Bezpośrednia skuteczność przepisów dyrektywy

Zasada bezpośredniej skuteczności dyrektyw została ukształtowana w licznym orzecznictwie Europejskiego Trybunału Sprawiedliwości (ETS). W odniesieniu do dyrektyw ETS uznał, że uprawnienia przyznane jednostkom przez prawo wspólnotowe mogą być powoływane przed organami krajowymi bezpośrednio w celu ich wykonania, o ile spełnione są następujące warunki:

  • przepisy danej dyrektywy są precyzyjne i bezwarunkowe,
  • z norm dyrektywy wynikają prawa jednostek wobec państwa,
  • upłynął termin implementacji dyrektywy przez dane państwo członkowskie, a jej normy nie zostały implementowane, albo implementacja jest nieprawidłowa.

Pośredni skutek dyrektyw

Zasada skutku pośredniego jest generalną dyrektywą interpretacyjną, zgodnie z którą na krajowych organach sądowych i administracyjnych ciąży obowiązek wykładni prawa krajowego zgodnie z prawem wspólnotowym.

Implementacja PSD2 będzie implikowała istotne zmiany legislacyjne na rynku usług płatniczych, ponieważ niepodlegające dotychczas nadzorowi ostrożnościowemu podmioty trzecie (z ang. Third Party Providers – TPP), po spełnieniu wymogów prawnych, będą mogły w imieniu użytkownika usług płatniczych uzyskać dostęp do informacji o jego rachunku lub zlecać realizację płatności.

Trzy nowe usługi, które reguluje PSD2

PSD2 reguluje trzy nowe usługi oparte na dostępie do rachunku płatniczego:

  • usługi inicjowania płatności (PIS), o których mowa w art. 66 PSD2,
  • usługi dostępu do informacji o rachunku (AIS), o których mowa w art. 67 PSD2,
  • usługi potwierdzania dostępności środków na rachunku płatniczym (CAF), o których mowa w art. 65 PSD2.

Szczegółowe zasady prowadzenia działalności przez podmioty świadczące powyższe usługi, w tym ich prawa i obowiązki, będą stosowane w Polsce dopiero od dnia wejścia w życie przepisów implementujących PSD2.

Wymogi dotyczące zasad komunikacji pomiędzy dostawcami usług płatniczych w zakresie świadczenia usług dostępu do rachunku zostaną określone w RTS. Wymogi będą dotyczyć zarówno dostawców prowadzących rachunki (m.in. banków komercyjnych, banków spółdzielczych oraz spółdzielczych kas oszczędnościowo-kredytowych (SKOK)), jak również dostawców świadczących usługi oparte na dostępie do rachunku (TPP).

Należy wskazać, że zgodnie z projektem RTS opublikowanym przez Komisję Europejską w dniu 27 listopada 2017 r. każdy dostawca usług płatniczych prowadzący rachunek dostępny za pośrednictwem Internetu (z ang. Account Servicing Payment Service Provider – ASPSP, np. bank) zobowiązany będzie zapewnić co najmniej jeden interfejs komunikacji z TPP. Udostępniony interfejs powinien pozwalać TPP na wzajemną identyfikację z dostawcą prowadzącym rachunek przed rozpoczęciem świadczenia usługi na zlecenie użytkownika. Dostawcy prowadzący rachunek mogą zapewnić interfejs komunikacji z TPP poprzez:

  • utworzenie dedykowanego interfejsu komunikacji (tzw. API), który będzie zawierał wszystkie niezbędne informacje i funkcje dla podmiotów świadczących usługi dostępu do rachunku, lub
  • modyfikację dotychczasowego systemu bankowości internetowej (niezbędne byłoby rozszerzenie funkcjonalności systemu w zakresie możliwości identyfikowania się TPP względem dostawcy prowadzącego rachunek).

Czytaj także: KNF uruchamia Innovation Hub dla fintechów

KNF rekomenduje Polish API

W opinii KNF bezpieczniejszym rozwiązaniem, z punktu widzenia zapewnienia efektywnej kontroli nad zakresem danych udostępnianych podmiotom trzecim, jest utworzenie dedykowanego interfejsu komunikacji z TPP.

W polskim sektorze bankowym, pod auspicjami Związku Banków Polskich, prowadzone są obecnie prace nad stworzeniem standardu komunikacji z TPP w ramach projektu Polish API. KNF kierunkowo popiera stworzenie krajowego standardu API w zakresie komunikacji z TPP, co mogłoby zagwarantować ujednolicone i bezpieczne zasady dostępu TPP do rachunków płatniczych.

Kwestia określenia zasad działania dostawców usług płatniczych w okresie przejściowym w związku z PSD2/RTS została przedstawiona w opublikowanej opinii Europejskiego Urzędu Nadzoru Bankowego (EBA) z dnia 19 grudnia 2017 r. w sprawie okresu przejściowego PSD1-PSD2. Biorąc po uwagę powyższe w okresie przejściowym I, jak i II, dostawcy prowadzący rachunki płatnicze stosują regulacje w zakresie bezpieczeństwa płatności, które obowiązywały przed datą wejścia w życie PSD2 (tj. przed 12 stycznia 2016 r.).

Czytaj także: Krzysztof Góral, Urząd KNF – FinTechy nie zagrażają rynkowi finansowemu w Polsce

Polish API – im szybciej, tym lepiej

Zgodnie z opinią EBA w sprawie okresu przejściowego wcześniejsze spełnienie wymogów RTS pozwoliłoby zapewnić zgodność z przepisami PSD2, np. w zakresie obowiązku TPP odnośnie wykorzystywania tylko tych danych i informacji, które są niezbędne do wykonania usługi zgodnie z dyspozycją użytkownika.

Dodatkowo EBA podkreśla, że wdrożenie wymogów bezpieczeństwa zawartych w PSD2 i RTS ułatwiłoby dostawcom usług płatniczych zapewnienie zgodności ich działalności z RODO, np. w zakresie wymogów bezpieczeństwa określonych w art. 32 RODO.

W związku z powyższym KNF, popierając jednocześnie opinię EBA, oczekuje posiadania przez dostawców prowadzących rachunek dedykowanego interfejsu komunikacji z TPP,  spełniającego wymogi przewidziane w RTS, w możliwie najszybszym terminie.

Zdaniem KNF takie podejście pozwoli zabezpieczyć dane uwierzytelniające klientów oraz zapewnić TPP możliwość wcześniejszego przetestowania funkcjonalności interfejsu komunikacji na potrzeby świadczenia usług dostępu do rachunku. Proces dostosowywania działalności podmiotów nadzorowanych do obowiązków wynikających z PSD2 będzie przedmiotem analiz i weryfikacji w trakcie działań nadzorczych.