Dyrektywa PSD2 wprowadziła nowy rodzaj usług płatniczych - usługi wykorzystujące dostęp do rachunku (XS2A), czyli usługi dzięki którym będziemy mogli sprawdzać stan naszych rachunków bankowych lub zlecać przelewy za pośrednictwem rozwiązań stworzonych przez tzw. podmioty trzecie (TPP).
Jako podmioty trzecie będą mogły działać zarówno banki, FinTechy jak i firmy, dla których usługi finansowe nie są podstawową działalnością. Podmioty te za zgodą swoich klientów otrzymają dostęp do ich rachunków prowadzonych przez innego dostawcę.
Dostęp do rachunku i realizacja zleceń przez podmioty trzecie będzie możliwy dzięki interfejsom programowania aplikacji (API) udostępnianym przez banki lub inne instytucje prowadzące rachunki.
Dyrektywa PSD2 obowiązuje od 13.01.2018. W odniesieniu do usług korzystających z XS2A piszę w czasie przyszłym ponieważ kluczowe dla ich funkcjonowania będzie rozpoczęcie obowiązywania regulacyjnych standardów technicznych (RTS), które nastąpi we wrześniu 2019.
Standardy techniczne dotyczące komunikacji pomiędzy podmiotem trzecim, a podmiotem prowadzącym rachunek zakładają wykorzystanie specjalnych kwalifikowanych certyfikatów. Mowa tu o dwóch certyfikatach wydawanych zgodne z Rozporządzeniem eIDAS: kwalifikowanym certyfikacie uwierzytelniania stron internetowych (QWAC) oraz kwalifikowanym certyfikacie pieczęci elektronicznej (QSealC). Certyfikaty te maja zapewnić autentyczność i integralność danych przekazywanych pomiędzy stronami.
Rozporządzenie eIDAS to Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania publicznego w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
Rozporządzenie weszło w życie 1 lipca 2016 r. Podstawowym celem przepisów eIDAS jest standaryzacja i ujednolicenie systemu identyfikacji cyfrowej na terenie krajów UE.
Kwalifikowany certyfikat uwierzytelniania stron internetowych (QWAC)
Wymiana danych pomiędzy TPP, a bankiem musi się odbywać z wykorzystaniem protokołu SSL/TLS.
Za zestawienie bezpiecznego, szyfrowanego kanału do przekazywania danych mają odpowiadać kwalifikowane certyfikaty uwierzytelniania stron internetowych.
Z technicznego punktu widzenia certyfikaty zgodne ze standardami PSD2 na potrzeby usług PIS/AIS niewiele się różnią od certyfikatów SSL w wersji EV. Certyfikat QWAC zawiera więcej pól i dostarcza więcej informacji na temat podmiotu, na rzecz którego został wydany.
Protokół SSL/TLS umożliwia szyfrowanie przesyłanych danych oraz identyfikację komunikujących się ze sobą podmiotów. W większości przypadków certyfikaty SSL zabezpieczające witryny internetowe zapewniają identyfikację jedynie serwera. Wymiana danych pomiędzy TPP a bankiem wymaga identyfikacji od obu stron.
Od strony formalno-prawnej istotne jest to, że certyfikat QWAC może być wydawany wyłączenie przez kwalifikowanego dostawcę usług zaufania (QTSP). Jest on odpowiedzialny za prawidłową weryfikację podmiotu, na rzecz którego wydaje certyfikat.
Protokół SSL/TLS zapewnia bezpieczeństwo i identyfikację podczas przesyłania danych. Zgodnie ze standardami technicznymi PSD2 zapytania i odpowiedzi przesyłane pomiędzy podmiotami w trakcie realizacji usług XS2A muszą być opatrzone pieczęcią elektroniczną.
Kwalifikowany certyfikat pieczęci elektronicznej (QsealC)
Do realizacji wymogu właściwego podpisywania i łączenia wysyłanych danych z konkretnym podmiotem ma służyć kwalifikowany certyfikat pieczęci elektronicznej. Podobnie jak w przypadku certyfikatu QWAC może on być wydany wyłącznie przez podmiot ze statusem kwalifikowanego dostawcy usług zaufania.
Certyfikat pieczęci elektronicznej umożliwi późniejszą identyfikację nadawcy konkretnych danych (np. zapytanie wysłane do banku za pośrednictwem API) w razie wystąpienia nieprawidłowości związanych z usługą korzystającą z dostępu do rachunku.
Kto może się ubiegać o certyfikaty?
O wydanie obu certyfikatów zawierających dane wymagane przez standardy techniczne dotyczące PSD2 mogą wnioskować wyłącznie podmioty posiadające uprawnienia do świadczenia wskazanych usług.
Role, jakie może pełnić dany podmiot w kontekście dyrektywy PSD2 (dostawca usług PIS, AIS, podmiot prowadzący rachunek) będą ujęte w wydawanych certyfikatach. Certyfikaty będą także zawierać numery rejestrowe nadawane podmiotom przez krajowych nadzorców. W Polsce tę rolę pełni Komisja Nadzoru Finansowego.