BBANKIO

PSD2

PSD2 (Payment Services Directive 2) to unijna dyrektywa o usługach płatniczych obowiązująca od stycznia 2018 roku, która reguluje rynek płatności elektronicznych w Europie. Dyrektywa wprowadza silne uwierzytelnianie klientów (SCA), otwiera dostęp do rachunków bankowych dla firm trzecich oraz wzmacnia ochronę konsumentów korzystających z płatności bezgotówkowych.

Definicja

PSD2 zastąpiła wcześniejszą dyrektywę PSD1 z 2007 roku i została wdrożona w Polsce przez nowelizację ustawy o usługach płatniczych. Głównym celem dyrektywy jest zwiększenie konkurencji na rynku płatności, poprawa bezpieczeństwa transakcji oraz umożliwienie rozwoju innowacyjnych usług finansowych. Dyrektywa nakłada na banki obowiązek udostępnienia bezpiecznego dostępu do rachunków klientów dla licencjonowanych dostawców usług płatniczych.

PSD2 wprowadziła dwa nowe typy usług: AISP (Account Information Service Provider) - dostawcy informacji o rachunkach, którzy mogą agregować dane z różnych banków, oraz PISP (Payment Initiation Service Provider) - dostawcy inicjujący płatności bezpośrednio z rachunku bankowego bez konieczności posiadania karty płatniczej. Wszystkie podmioty świadczące te usługi muszą posiadać licencję KNF lub odpowiedniego organu nadzoru w kraju UE.

Jak dziala

PSD2 funkcjonuje poprzez system otwartych interfejsów API (Application Programming Interface), które banki muszą udostępnić licencjonowanym firmom trzecim. Mechanizm działania opiera się na kilku kluczowych elementach:

  • Bank udostępnia bezpieczne API umożliwiające autoryzowanym firmom dostęp do danych o rachunkach i inicjowanie płatności
  • Klient musi wyrazić wyraźną zgodę na dostęp firmy trzeciej do swojego rachunku bankowego
  • Każda transakcja wymaga silnego uwierzytelniania (SCA) - co najmniej dwóch z trzech elementów: wiedzy (hasło), posiadania (telefon) i cechy inherentnej (odcisk palca)
  • Banki nie mogą dyskryminować firm trzecich i muszą zapewnić im taki sam poziom dostępu jak własnym aplikacjom
  • Limity transakcyjne: płatności poniżej 30 EUR lub seryjne płatności do 100 EUR mogą być zwolnione z SCA

Dyrektywa nakłada również na banki obowiązek natychmiastowego zgłaszania incydentów bezpieczeństwa do KNF oraz informowania klientów o nieautoryzowanych transakcjach. Odpowiedzialność za nieuprawnione operacje spoczywa na banku, chyba że klient działał z rażącym niedbalstwem.

Przyklad

Pan Marek korzysta z aplikacji do zarządzania finansami osobistymi, która działa w oparciu o PSD2. Aplikacja jest licencjonowanym AISP i agreguje dane z trzech jego rachunków bankowych:

Bank Saldo Wydatki miesięczne
Bank A 5 200 PLN 2 800 PLN
Bank B 12 500 PLN 1 200 PLN
Bank C 3 800 PLN 900 PLN

Przy pierwszym logowaniu Marek musiał autoryzować dostęp dla aplikacji w każdym banku osobno, używając silnego uwierzytelniania - podał login, hasło oraz kod SMS. Aplikacja teraz automatycznie pobiera dane o transakcjach i saldach, pokazując mu pełny obraz finansów w jednym miejscu. Gdy Marek chce zapłacić 450 PLN za zakupy online, może użyć funkcji PISP - aplikacja inicjuje przelew bezpośrednio z jego rachunku w Banku A, bez potrzeby logowania do bankowości czy podawania danych karty. Transakcja wymaga potwierdzenia kodem z aplikacji mobilnej banku (SCA).

Najczesciej zadawane pytania - PSD2

Czy PSD2 oznacza, że każdy może mieć dostęp do mojego konta bankowego?
Nie, dostęp do Twojego rachunku mogą uzyskać wyłącznie firmy posiadające licencję KNF lub innego unijnego organu nadzoru, i tylko po Twojej wyraźnej zgodzie. Możesz w każdej chwili cofnąć taką zgodę. Bank nie może udostępnić danych nielicencjonowanym podmiotom.
Czy muszę płacić bankowi za udostępnienie dostępu firmom trzecim?
Nie, banki nie mogą pobierać od klientów opłat za udostępnienie dostępu do rachunku licencjonowanym dostawcom usług płatniczych działającym w ramach PSD2. To obowiązek wynikający z dyrektywy. Opłaty może pobierać sama firma trzecia za swoje usługi.
Co to jest silne uwierzytelnianie (SCA) wymagane przez PSD2?
SCA to proces weryfikacji tożsamości wymagający co najmniej dwóch niezależnych elementów: czegoś co wiesz (hasło, PIN), czegoś co posiadasz (telefon, token) i czegoś czym jesteś (odcisk palca, rozpoznawanie twarzy). Przykład: logowanie hasłem plus kod SMS lub hasło plus odcisk palca.
Kto odpowiada za nieautoryzowane transakcje w systemie PSD2?
Bank ponosi odpowiedzialność za nieautoryzowane transakcje do momentu ich zgłoszenia, chyba że klient działał z rażącym niedbalstwem (np. udostępnił dane logowania). Maksymalna odpowiedzialność klienta to 50 EUR, a po zgłoszeniu incydentu spada do zera. Bank musi zwrócić środki niezwłocznie.

Powiazane pojecia