PSD2
PSD2 (Payment Services Directive 2) to unijna dyrektywa o usługach płatniczych obowiązująca od stycznia 2018 roku, która reguluje rynek płatności elektronicznych w Europie. Dyrektywa wprowadza silne uwierzytelnianie klientów (SCA), otwiera dostęp do rachunków bankowych dla firm trzecich oraz wzmacnia ochronę konsumentów korzystających z płatności bezgotówkowych.
Definicja
PSD2 zastąpiła wcześniejszą dyrektywę PSD1 z 2007 roku i została wdrożona w Polsce przez nowelizację ustawy o usługach płatniczych. Głównym celem dyrektywy jest zwiększenie konkurencji na rynku płatności, poprawa bezpieczeństwa transakcji oraz umożliwienie rozwoju innowacyjnych usług finansowych. Dyrektywa nakłada na banki obowiązek udostępnienia bezpiecznego dostępu do rachunków klientów dla licencjonowanych dostawców usług płatniczych.
PSD2 wprowadziła dwa nowe typy usług: AISP (Account Information Service Provider) - dostawcy informacji o rachunkach, którzy mogą agregować dane z różnych banków, oraz PISP (Payment Initiation Service Provider) - dostawcy inicjujący płatności bezpośrednio z rachunku bankowego bez konieczności posiadania karty płatniczej. Wszystkie podmioty świadczące te usługi muszą posiadać licencję KNF lub odpowiedniego organu nadzoru w kraju UE.
Jak dziala
PSD2 funkcjonuje poprzez system otwartych interfejsów API (Application Programming Interface), które banki muszą udostępnić licencjonowanym firmom trzecim. Mechanizm działania opiera się na kilku kluczowych elementach:
- Bank udostępnia bezpieczne API umożliwiające autoryzowanym firmom dostęp do danych o rachunkach i inicjowanie płatności
- Klient musi wyrazić wyraźną zgodę na dostęp firmy trzeciej do swojego rachunku bankowego
- Każda transakcja wymaga silnego uwierzytelniania (SCA) - co najmniej dwóch z trzech elementów: wiedzy (hasło), posiadania (telefon) i cechy inherentnej (odcisk palca)
- Banki nie mogą dyskryminować firm trzecich i muszą zapewnić im taki sam poziom dostępu jak własnym aplikacjom
- Limity transakcyjne: płatności poniżej 30 EUR lub seryjne płatności do 100 EUR mogą być zwolnione z SCA
Dyrektywa nakłada również na banki obowiązek natychmiastowego zgłaszania incydentów bezpieczeństwa do KNF oraz informowania klientów o nieautoryzowanych transakcjach. Odpowiedzialność za nieuprawnione operacje spoczywa na banku, chyba że klient działał z rażącym niedbalstwem.
Przyklad
Pan Marek korzysta z aplikacji do zarządzania finansami osobistymi, która działa w oparciu o PSD2. Aplikacja jest licencjonowanym AISP i agreguje dane z trzech jego rachunków bankowych:
| Bank | Saldo | Wydatki miesięczne |
|---|---|---|
| Bank A | 5 200 PLN | 2 800 PLN |
| Bank B | 12 500 PLN | 1 200 PLN |
| Bank C | 3 800 PLN | 900 PLN |
Przy pierwszym logowaniu Marek musiał autoryzować dostęp dla aplikacji w każdym banku osobno, używając silnego uwierzytelniania - podał login, hasło oraz kod SMS. Aplikacja teraz automatycznie pobiera dane o transakcjach i saldach, pokazując mu pełny obraz finansów w jednym miejscu. Gdy Marek chce zapłacić 450 PLN za zakupy online, może użyć funkcji PISP - aplikacja inicjuje przelew bezpośrednio z jego rachunku w Banku A, bez potrzeby logowania do bankowości czy podawania danych karty. Transakcja wymaga potwierdzenia kodem z aplikacji mobilnej banku (SCA).