Co do zasady PSD2 ma zwiększyć bezpieczeństwo finansów klientów w dobie postępującej cyfryzacji. Dyrektywa zmieni nie tylko to, jak płacimy za zakupy, ale także to, jak korzystamy z bankowości elektronicznej. Chodzi przede wszystkim o dwie nowe usługi – inicjowania płatności i dostępu do informacji o rachunku. W dużym uproszczeniu: z poziomu jednej aplikacji bankowej będzie można uzyskać dostęp do rachunków prowadzonych w różnych bankach. Banki działające w Polsce stopniowo zdobywają licencje, pozwalające działać jako TPP (ang. Third Party Provider), a Santander dokonał już nawet stosownych zmian w statucie banku.

Silne uwierzytelnianie i PSD2 w sklepach stacjonarnych

Wróćmy jednak do samych płatności, pochylając się na początek nad transakcjami w sklepach stacjonarnych. Czy to prawda, że będzie konieczne potwierdzanie PIN-em transakcji także tych nieprzekraczających kwoty 50 PLN? Tak. Od 14 września (z pewnymi wyjątkami) kodem PIN trzeba będzie autoryzować również niektóre transakcje na kwoty nieprzekraczające 50 PLN. Banki będą zobowiązane do stosowania tzw. silnego uwierzytelnienia klienta (SCA) przy co szóstej transakcji (piąta może być bez SCA) lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro. Każda transakcja powyżej 50 PLN, która automatycznie wymaga kodu PIN spowoduje, że licznik transakcji (lub kwoty) będzie startował od początku – wyjaśnia Mastercard.

W jakich przypadkach terminal poprosi nas o autoryzację transakcji? Zależy to od zastosowanego kryterium przez bank – wydawcę karty. Pierwszym z nich jest autoryzacja kodem PIN co szóstej transakcji – o ile wcześniej nie zapłacimy za coś kwoty powyżej 50 PLN, co automatycznie wymaga kodu PIN i zeruje licznik. Drugie kryterium dotyczy łącznej wartości kolejnych płatności kartą. Gdy przekroczy ona próg 150 euro, autoryzacja PIN-em będzie wymagana. 150 euro jest jednak kwotą maksymalną, a wydawcy kart, czyli przede wszystkim banki, mogą ustalić dla swoich kart próg poniżej 150 euro. Jeśli bank zastosuje to właśnie kryterium, to – jak wynika ze statystyk Mastercard – patrząc z perspektywy konsumenta niewiele się zmieni. Zanim bowiem drobne transakcje przekroczą limit 150 euro (ponad 600 PLN), klient statystycznie zrobi transakcję przekraczającą wartość 50 PLN, która i tak wymaga podania kodu PIN.

Silne uwierzytelnianie obejmie także zbliżeniowe płatności mobilne, gdy cyfrowy odpowiednik karty płatniczej jest zapisany w smartfonie, a płatność jest realizowana za pomocą aplikacji bankowej (standard HCE) lub tzw. portfela mobilnego, takiego jak np. Google Pay. Nawet jeśli dany portfel mobilny nie stosuje uwierzytelniania dla wszystkich transakcji (za pomocą kodu PIN, odcisku palca itp.), identyfikacja użytkownika przy płatności na kwotę poniżej 50 PLN może być konieczna. Z kolei dodatkowe uwierzytelnianie nie będzie konieczne w przypadku Apple Pay, ponieważ wszystkie transakcje dokonywane przy użyciu mobilnego portfela Apple są autoryzowane biometrycznie.

Czy będą jakieś wyjątki od zastosowania tych wymogów? Tak, wyjątkiem zostaną objęte transakcje w samoobsługowych biletomatach (np. w komunikacji miejskiej), parkomatach oraz samoobsługowych bramkach autostradowych. Warto pamiętać, że przepisy dyrektywy PSD2 obowiązują tylko w państwach Europejskiego Obszaru Gospodarczego (UE oraz Norwegia, Liechtenstein i Islandia). Poza tym obszarem płatności zbliżeniowe będą działać tak, jak do tej pory.

Płatności kartą w Internecie po wdrożeniu PSD2 – co się zmieni?

Istotne różnice pojawią się także w trakcie zakupów w Internecie. Jak będą wyglądały płatności kartą online po 14 września? Zmiany nastąpią w zakresie „autentykacji” użytkownika – od tej pory będzie ona musiała być dwustopniowa, czyli obejmować dwa różne elementy opisane w przepisach. Chodzi o wspomniane wcześniej silne uwierzytelnianie, które polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii: „wiedza” (co wie posiadacz karty, np. hasło zdefiniowane przez klienta), „posiadanie” (co ma posiadacz karty, np. telefon, na którym znajduje się aplikacja bankowa) i „cechy klienta” (element biometryczny, np. odcisk palca).

W trakcie płatności online konsument będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk „Zapłać”. W następnym kroku zrealizowane zostanie silne uwierzytelnienie, które może mieć następujący przebieg:

  • Użytkownik otrzyma powiadomienie push z aplikacji bankowości mobilnej i będzie musiał wprowadzić swój osobisty kod mPIN,
  • Użytkownik otrzyma powiadomienie push z aplikacji bankowości mobilnej i będzie musiał potwierdzić swoją tożsamość za pomocą odcisku palca lub innych danych biometrycznych,
  • Jeśli kod mPIN, odcisk palca (bądź inne dane biometryczne) lub kod jednorazowy SMS zostanie zidentyfikowany pomyślnie, bank zatwierdzi płatność.

A co w sytuacji, gdy klient ma już kartę z aktywnym rozwiązaniem SecureCode (3D Secure) i korzysta z haseł jednorazowych otrzymywanych w wiadomościach SMS? Zgodnie z nowymi przepisami banki będą mogły oferować identyfikację przez swoją aplikację mobilną, za pomocą odcisku palca lub unikalnego kodu. Jeśli natomiast klient nie ma odpowiedniego urządzenia z aplikacją banku, w dalszym ciągu będzie musiał wprowadzać hasła otrzymywane w wiadomościach SMS, ale będzie też potrzebował dodatkowej metody uwierzytelnienia. Zostanie to określone przez wydawcę karty. O szczegóły warto więc zapytać w swoim banku – tłumaczy Mastercard.

Co do zasady każda transakcja ma być autoryzowana z wykorzystaniem dwóch elementów, ale w kilku przypadkach przewidziano wyjątki. Mogą one dotyczyć: niskich kwot transakcji (do 50 PLN), płatności cyklicznych (np. abonament za usługi cyfrowe, opłaty za rachunki), wybranych sklepów, którym konsumenci ufają, transakcji o niskim ryzyku oszustwa czy też bezpiecznych płatności korporacyjnych.

Niestety jeśli nie mamy przy sobie telefonu, lub jego bateria się rozładowała, to nie będziemy mogli przeprowadzić silnego uwierzytelniania, a co za tym idzie płatność online nie zostanie zrealizowana.