Dyrektywa PSD2 - najważniejsze zmiany na rynku usług płatniczych

Dyrektywa PSD2 - najważniejsze zmiany na rynku usług płatniczych

iStock.com / ipopba

Poszerzający się wachlarz sposobów dokonywania płatności zarówno w Internecie, jak i w realu wymusił wprowadzenie zmian w regulacjach prawnych, które przestały odpowiadać współczesnym technologiom.

Od 13.01.2018 obowiązuje dyrektywa PSD2 (Payment Service Directive 2) - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego. Jej przepisy zostały zaimplementowane w polskim prawie 20.06.2018 ustawą o usługach płatniczych.

Jakie zmiany wprowadziła dyrektywa PSD2 i nowa ustawa o usługach płatniczych?

Dyrektywa PSD2 daje dużo stabilnego gruntu dla budowania innowacyjnych firm i rozwiązań w zakresie systemów płatności. Umożliwia funkcjonowanie na rynku usług płatniczych nowym podmiotom - tzw. podmiotom trzecim, określanym w dyrektywie jako TPP (Third Party Provider).

TPP będą mogły świadczyć trzy nowe usługi:

  • usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS),
  • usługę dostępu do informacji o rachunku (Account Information Service, AIS),
  • usługę potwierdzania dostępności środków (Confirmation of the Availability of Funds, CAF).

Znowelizowana Ustawa o usługach płatniczych wprowadziła dodatkowo pojęcie małej instytucji płatniczej (MIP), będącej alternatywą dla krajowych instytucji płatniczych. Mniejsze wymagania finansowe i formalno-organizacyjne względem MIP umożliwiają ich sprawne i mniej problematyczne uruchomienie.

Dyrektywa PSD2 określa także standardy bezpieczeństwa, jakie muszą spełnić dostawcy usług płatniczych. Biorąc pod uwagę, że niebawem możemy mieć do czynienia z wysypem nowych narzędzi i aplikacji obsługujących nasze płatności, to ustawowe narzucenie minimalnych wymagań w zakresie uwierzytelnia podczas wykonywania kluczowych operacji jest dobrym posunięciem.

Dla możliwości rozwoju nowych narzędzi płatniczych zasadnicze będzie rozpoczęcie obowiązywania regulacyjnych standardów technicznych (Regulatory Technical Standards, RTS). Ma to nastąpić we wrześniu 2019. RTS doprecyzowują m.in. zasady bezpiecznej komunikacji pomiędzy różnymi dostawcami usług płatniczych.

AIS, PIS - nowe typy usług wprowadzone przez dyrektywę PSD2

PSD2 i w ślad za nią nowela ustawy o usługach płatniczych wprowadzają usługi wykorzystujące dostęp do rachunku (XS2A):

  • usługa inicjowania transakcji płatniczej (PIS) - usługa polegająca na zleceniu za zgodą klienta transakcji płatniczej z jego rachunku płatniczego;
  • usługa dostępu do informacji o rachunku (AIS) - dostawca tej usługi będzie mógł swoim klientom przedstawiać zagregowane informacje o ich rachunkach płatniczych;
  • usługa potwierdzania dostępności środków na rachunku płatniczym (CAF).

Uregulowanie powyższych usług daje podstawy do rewolucji na rynku usług płatniczych. Dostawcy usług PIS/AIS za zgodą klientów będą otrzymywać dostęp do ich rachunków prowadzonych przez inne podmioty. Nie będzie się to wiązało z koniecznością podpisywania umów pomiędzy dostawcą usługi PIS/AIS a bankiem klienta, w którym znajduje się dany rachunek. Wystarczająca będzie zgoda klienta.

Techniczną podstawą dla tego typu usług będą interfejsy programowania aplikacji (API) udostępniane przez banki podmiotom trzecim. Banki zostały zobowiązane do ich pełnego wdrożenia zgodnie ze standardami technicznymi (RTS) najdalej do września 2019.

To będzie przełomowy moment, od którego będziemy mogli zacząć mówić o istnieniu otwartej bankowości w naszym kraju. Podmioty świadczące usługi PIS i AIS za zgodą klientów otrzymają dostęp do danych, które dotychczas były przetwarzane głównie przez banki.

AIS - usługa dostępu do informacji o rachunku

Dzięki usługom typu AIS będziemy mogli sprawdzić stan naszych rachunków lub historię transakcji z kilku banków za pomocą jednej aplikacji. W przypadku osób posiadających jeden rachunek ta usługa pewnie okaże się mniej przydatna.

Sytuacja może wyglądać inaczej w przypadku firm posiadających więcej kont w kilku różnych bankach. Możliwość analizy wszystkich rachunków bankowych za pomocą jednego narzędzia może być bardzo pomocna.

PIS - usługa inicjowania transakcji płatniczej

Usługa PIS pozwoli na wykonanie płatności z rachunku bankowego za pomocą zewnętrznej aplikacji, tj. nienależącej do banku, w którym ten rachunek się znajduje.

Zgodnie z założeniami aplikacje działające w ramach usługi inicjowania transakcji płatniczej pozwolą na wykonywanie przelewu z rachunku w dowolnym banku bez konieczności samodzielnego logowania się w systemie transakcyjnym tego banku.

Dostawca usługi PIS będzie jedynie pośrednikiem w zleceniu transferu środków i tym samym w żadnym momencie świadczenia swojej usługi nie będzie nimi dysponował.

TPP - podmioty trzecie

Podmioty uprawnione do świadczenia usług PIS/AIS dyrektywa PSD2 określa mianem podmiotów trzecich (Third Party Provider, TPP). Jako TPP będą mogły działać np. FinTechy czy sklepy internetowe. Nowe możliwości z pewnością wykorzystają także same banki. Niektóre już zapowiadają zmiany w swoich aplikacjach, dzięki którym klienci otrzymają m.in. możliwość zarządzania swoimi rachunkami w innych bankach.

Świadczenie usług płatniczych z reguły wiąże się z uzyskaniem odpowiedniej licencji lub wpisu do właściwego rejestru. W przypadku podmiotów planujących dostarczać jedynie usługi AIS wystarczający będzie wpis do rejestru dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku (ustawa o usługach płatniczych, Art. 117b). Taki podmiot będzie mógł świadczyć również inne usługi, nieobjęte ustawą o usługach płatniczych.

Podmioty, które zamierzają świadczyć usługi PIS będą musiały uzyskać zezwolenie na prowadzanie działalności jako krajowa instytucja płatnicza. Usługi te będzie można także świadczyć, posiadając status innego dostawcy usług płatniczych - np. banku lub SKOKu. Jednak w tym wypadku wymogi formalne i kapitałowe są zdecydowanie większe.

Każdy dostawca usług wykorzystujących dostęp do rachunku będzie zobowiązany do posiadania ubezpieczenia odpowiedzialności z tytułu prowadzonej działalności, a ich funkcjonowanie będzie podlegało nadzorowi KNF.

Nowe przepisy zabraniają bankom i innym instytucjom prowadzącym rachunki tworzenia przeszkód podmiotom trzecim w świadczeniu usług opartych o XS2A. Każdy podmiot uprawniony do świadczenia usług PIS/AIS ma mieć jednakową możliwość komunikacji za pośrednictwem API z danym bankiem lub instytucją.

Mała instytucja płatnicza

Mała instytucja płatnicza to nowy rodzaj dostawcy usług płatniczych wprowadzony nowelizacją ustawy o usługach płatniczych. Jest to rozwiązanie dla podmiotów, które zamierzają świadczyć usługi płatnicze na mniejszą skalę lub chcą przetestować swoje rozwiązania, zanim podejmą decyzję o ubieganiu się o licencję krajowej instytucji płatniczej (KIP).

Uzyskanie licencji KIP wiąże się z licznym formalnościami i zazwyczaj trwa wiele miesięcy. Ponadto, podmioty ubiegające się o zezwolenie na działanie w charakterze KIP obowiązuje minimalna wysokość kapitału założycielskiego:

  • 125 000 euro,
  • 50 000 euro jeżeli planuje świadczyć wyłącznie usługi PIS,
  • 20 000 euro w przypadku świadczenia jedynie usługi przekazu pieniężnego.


Formalności związane z rozpoczęciem działalności w charakterze małej instytucji płatniczej zostały uproszczone. Cała procedura związana z uzyskaniem wpisu do rejestru małych instytucji płatniczych ma trwać zdecydowanie krócej niż w przypadku ubiegania się o licencję KIP.

Ustawodawca nie postawił także wymogów co do wielkości kapitału założycielskiego. Rzecz jasna, należy uwzględnić minimalny kapitał wymagany w stosunku do wybranej formy prawnej - małą instytucją płatniczą mogą być zarówno spółki akcyjne, jak i osoby fizyczne prowadzące działalność gospodarczą.

Małe instytucje płatnicze są uprawnione do świadczenia usług takich jak:

  • przyjmowanie wpłat i dokonywanie wypłat gotówki z rachunku płatniczego (prowadzenie rachunku płatniczego);
  • wykonywanie transakcji płatniczych, w tym transfer środków pieniężnych na rachunek płatniczy wskazany przez klienta (przelewy, polecenia zapłaty, płatności kartą lub innym instrumentem płatniczym);
  • kredytowanie transakcji płatniczych;
  • wydawanie instrumentów płatniczych;
  • wykonywanie przekazów pieniężnych.

Małe instytucje płatnicze mogą świadczyć usługi podobne do tych oferowanych przez ich większe odpowiedniki - krajowe instytucje płatnicze. Ich działalność podlega jednak pewnym istotnym ograniczeniom.

Średnia całkowitej kwoty transakcji wykonanych przez MIP w poprzednich 12 miesiącach nie może przekroczyć kwoty stanowiącej równowartość 1 500 000 euro miesięcznie. W przypadku przekroczenia tego limitu podmiot ma dwa wyjścia: ograniczyć rozmiar swojej działalność lub ubiegać się o licencję krajowej instytucji płatniczej.

Kolejny limit kwotowy dotyczy maksymalnej wysokości środków przechowywanych na rachunkach dla jednego użytkownika. Jego wysokość to równowartość 2000 euro.

To właśnie te limity sprawiają, że małe instytucje płatnicze będą w dużej mierze funkcjonować raczej jako forma przejściowa - etap na drodze do działania jako krajowa instytucja płatnicza. Ponadto, z zakresu możliwych usług płatniczych zostały wykluczone usługi PIS i AIS. Małe instytucje płatnicze mają także ograniczenia terytorialne swojej działalności - mogą ją prowadzić wyłącznie na terytorium Rzeczpospolitej.

MIPy moją prawo do prowadzenia działalności hybrydowej, czyli świadczenia także usług innych niż płatnicze. Dzięki temu firmy działające w innych obszarach mogą uzupełnić swoją ofertę o nowe rozwiązania w zakresie płatności.

Czas pokaże, w jakim stopniu forma małej instytucji płatniczej będzie faktycznie wykorzystywana.

Silne uwierzytelnianie

Nowe przepisy nakładają na dostawców usług płatniczych obowiązek stosowania silnego uwierzytelniania klientów (strong customer authenticaion, SCA), czyli potwierdzania tożsamości klientów z użyciem co najmniej dwóch elementów należących do kategorii:

  1. znajomość czegoś, co zna wyłącznie klient (login i hasło);
  2. posiadanie czegoś, czym dysponuje tylko klient (np.: kody jednorazowe, SMS);
  3. cechy charakterystyczna klienta (np.: odcisk palca, siatkówka oka).

Każdy z zastosowanych elementów uwierzytelniana ma być jego integralną częścią i jednocześnie działać w sposób niezależny tzn. naruszenie jednego elementu nie może podważać wiarygodności pozostałych.

Oczywiście, tego typu zabezpieczenia w przypadku polskiej bankowości nie są niczym nowym. Nie zaskakuje nas konieczność autoryzacji przelewów kodem z smsa. Podobnie jest w przypadku zmiany niektórych danych lub przy próbie uzyskania dostępu do tych bardziej wrażliwych z punktu widzenia bezpieczeństwa posiadanych środków.

Jednak do tej pory silne uwierzytelnianie było jedynie rekomendowaną praktyką. Od września 2019, czyli od momentu obowiązywania regulacyjnych standardów technicznych, dostawcy usług płatniczych będą już zobligowani do jego stosowania. Dodatkowo, takie dwuelementowe uwierzytelniane (two-factor authentication, 2FA) będzie występować częściej niż dotychczas.

Prośba o podanie kodu, zeskanowanie siatkówki oka lub uśmiech do kamery w telefonie może się pojawić już podczas samego logowania do systemu transakcyjnego. Dodatkowa autoryzacja będzie także wymagana podczas inicjowania transakcji oraz podczas przeprowadzania czynności, która może wiązać się z ryzkiem oszustwa.

Wymogi w zakresie silnego uwierzytelniania dotyczą również sytuacji, kiedy operacje odbywają się za pośrednictwem podmiotu trzeciego. Zgodnie z nowymi przepisami dostawcy prowadzący rachunki muszą umożliwić podmiotom trzecim świadczenie usług PIS/AIS w oparciu o uwierzytelnianie stosowane w relacji między użytkownikiem a dostawcą prowadzącym rachunek.

PSD2 szansą dla nowych podmiotów i rozwiązań w zakresie płatności

W oparciu o nowe regulacje już niebawem pojawi się wiele nowych rozwiązań na rynku usług płatniczych. Aplikacje do zarządzania finansami tworzone przez FinTechy będą mogły konkurować z aplikacjami dostarczanymi przez banki. Taka wizja dla samych banków powinna być dodatkowym impulsem to tworzenia użytecznych i przyjaznych systemów bankowości online, tak aby z czasem nie stać się tylko biernym dostawcami usług depozytowych i kredytowych.

Pełne wdrożenie PSD2 wraz z regulacyjnymi standardami technicznymi wpłynie na konkurencyjność i transparentność na rynku usług płatniczych. Miejmy nadzieje, że odbędzie się to przy jednoczesnym zwiększeniu poziomu jego bezpieczeństwa.