24 września 2018, 09:00:VI Polski Kongres Przedsiębiorczości - Poznań

Wiemy coraz więcej o PSD2. Komisja Europejska publikuje RTS-y

Komisja Europejska publikuje RTS (regulacyjne standardy techniczne) dla PSD2.

Komisja Europejska opublikowała dziś podpisane regulacyjne standardy techniczne dotyczące dyrektywy PSD2. RTS-y definiują takie zagadnienia jak silne uwierzytelnianie, czy screen scraping, czyli kwestię dostępu do rachunków klienta. Zaczną obowiązywać we wrześniu 2019 roku.

Co z okresem przejściowym? Komisja Nadzoru Finansowego podzieliła go na dwa etapy:

  • okres przejściowy I (tj. od dnia 13 stycznia 2018 r. do daty implementacji PSD2 w Polsce: przewidywany II kw. 2018 r.),
  • okres przejściowy II (tj. od daty implementacji PSD2 w Polsce do daty stosowania RTS).

Formalnie dyrektywa PSD2 powinna zostać zaimplementowana do polskiego prawa 13 stycznia. Przewidywany czas implementacji to jednak dopiero II kwartał 2018 roku. Wtedy mają ukończyć się pracę nad nowelizacją ustawy o usługach płatniczych, która obecnie czeka na opinię Komisji Finansów Publicznych. Więcej na temat rekomendacji KNF w okresie przejściowym można przeczytać tutaj – KNF publikuje wytyczne w sprawie PSD2. Co czeka banki i fintechy?.

Czytaj także: Nie tylko ubezpieczenia. BZ WBK prezentuje nowości w aplikacji

Jakie zmiany przyniosą RTS-y?

Zgodnie z projektem RTS opublikowanym przez Komisję Europejską każdy dostawca usług płatniczych, prowadzący rachunek dostępny za pośrednictwem Internetu, zobowiązany będzie zapewnić co najmniej jeden interfejs komunikacji z podmiotami trzecimi (TPP). Udostępniony interfejs powinien pozwalać TPP na wzajemną identyfikację z dostawcą prowadzącym rachunek przed rozpoczęciem świadczenia usługi na zlecenie użytkownika. Dostawcy prowadzący rachunek mogą zapewnić interfejs komunikacji z TPP poprzez:

  • utworzenie dedykowanego interfejsu komunikacji (tzw. API), który będzie zawierał wszystkie niezbędne informacje i funkcje dla podmiotów świadczących usługi dostępu do rachunku, lub
  • modyfikację dotychczasowego systemu bankowości internetowej (niezbędne byłoby rozszerzenie funkcjonalności systemu w zakresie możliwości identyfikowania się TPP względem dostawcy prowadzącego rachunek).

W opinii KNF bezpieczniejszym rozwiązaniem, z punktu widzenia zapewnienia efektywnej kontroli nad zakresem danych udostępnianych podmiotom trzecim, jest utworzenie dedykowanego interfejsu komunikacji z TPP.

W polskim sektorze bankowym, pod auspicjami Związku Banków Polskich, prowadzone są obecnie prace nad stworzeniem standardu komunikacji z TPP w ramach projektu Polish API. KNF kierunkowo popiera stworzenie krajowego standardu API w zakresie komunikacji z TPP, co mogłoby zagwarantować ujednolicone i bezpieczne zasady dostępu TPP do rachunków płatniczych. Więcej na temat Polish API można przeczytać tutaj – Koniec konsultacji do projektu Polish API.

Czytaj także: Wysoki udział fintechów w finansowaniu hipotek w USA

Czym jest silne uwierzytelnianie?

W projekcie pojawia się także kwestia silnego uwierzytelniania Oznacza to, że  aby zainicjować płatność konieczna będzie identyfikacja klienta za pomocą co najmniej dwóch niezależnych metod uwierzytelnienia, np. jednocześnie za pomocą kodu SMS i rozwiązań biometrycznych.

Dostawca będzie musiał stosować silne uwierzytelnianie w przypadku, gdy płatnik: uzyskuje dostęp do swojego rachunku w trybie online; inicjuje elektroniczną transakcję płatniczą; przeprowadza czynność za pomocą kanału zdalnego, która może się wiązać z ryzykiem oszustwa płatniczego lub innych nadużyć. To rozwiązanie znacznie poprawi bezpieczeństwo płatności elektronicznych. Więcej o zmianach, które niesie ze sobą PSD2 można przeczytać tutaj – PSD2 coraz bliżej. Rząd przyjął projekt ustawy.

Na koniec warto dodać, że część wymogów z regulacyjnych standardów technicznych wejdzie w życie pół roku wcześniej. Mowa o art. 30 ust. 3 i 5 – zgodnie z nimi już w marcu 2019 roku banki muszą udostępnić tak zwane „środowisko testowe”, służące do weryfikacji połączenia i funkcjonalności, aby umożliwić TPP usługę inicjowania płatności. Wtedy też banki zostaną zobowiązane do zaprezentowania dokumentacji technicznej swojego oprogramowania, tak aby można ją było dopasować do innych graczy na rynku.

Materiał opublikowany dzisiaj przez Komisję Europejską jest dostępny tutaj.

/Rafał Tomaszewski