Chociaż dyrektywa obowiązywać będzie od stycznia 2018 roku, standardy techniczne (tzw. RTS) nabiorą mocy dopiero we wrześniu 2019 roku – do tego czasu surowsze normy uwierzytelnienia płatności i dostępu do rachunków przez zewnętrznych operatorów nie będą obowiązywać – logowanie się do rachunku klienta na zasadzie screen scrappingu w tym okresie będzie dostępne.
Tym samym Komisja Europejska stwierdziła, że potrzebny jest okres przejściowy aby dać graczom rynkowym (przede wszystkim niebankowym) niezbędny czas na dostosowanie się. Dlatego wymogi dotyczące bezpiecznego uwierzytelnienia klienta i bezpiecznej komunikacji nie będą obowiązywać natychmiast po wejściu w życie Dyrektywy. Później dokonanie płatności z rachunku klienta w oparciu o hasło do niego lub dane z karty płatniczej już nie wystarczą.
Czytaj także: Ile Warszawa może zyskać dzięki płatnościom bezgotówkowym?
Odcisk palca będzie niezbędny
Potrzebny będzie dodatkowy element uwierzytelnienia w postaci np. jednorazowego kodu lub cech biometrycznych klienta (np. odcisk palca). Takie dodatkowe zabezpieczenia mogą zostać pominięte, jeśli operator wykaże się wiarygodnym systemem wykrywania podejrzanych transakcji i wyłudzeń. Zwolnione z wymogów mogą być mikropłatności np. opłaty parkingowe lub. za przejazdy komunikację miejską.
Natomiast banki i inni operatorzy płatności będą musieli dostarczyć odpowiednio zabezpieczone interfejsy dla zewnętrznych dostawców umożliwiające przeprowadzenie transakcji i komunikację wszystkich stron i poddać je testom w warunkach rynkowych.
Więcej na temat PSD2 można dowiedzieć się tutaj – PSD2 coraz bliżej. KE przyjęła rozporządzenie wykonawcze.
Ostatnie podcasty