Dyrektywa PSD2 - najważniejsze zmiany na rynku usług płatniczych

Dyrektywa PSD2 - najważniejsze zmiany na rynku usług płatniczych

Poszerzający się wachlarz sposobów dokonywania płatności zarówno w Internecie jak i w realu wymusił wprowadzenie zmian w regulacjach prawnych, które przestały odpowiadać współczesnym technologiom.

Od 13.01.2018 obowiązuje dyrektywa PSD2 (Payment Service Directive 2) - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego. Jej przepisy zostały zaimplementowane w polskim prawie 20.06.2018 ustawą o usługach płatniczych.

Jakie zmiany wprowadziła dyrektywa PSD2 i nowa ustawa o usługach płatniczych?

Dyrektywa PSD2 daje dużo stabilnego gruntu dla budowania innowacyjnych firm i rozwiązań w zakresie systemów płatności. Umożliwia funkcjonowanie na rynku usług płatniczych nowym podmiotom - tzw. podmiotom trzecim, określanym w dyrektywie jako TPP (Third Party Provider).

TPP będą mogły świadczyć trzy nowe usługi:

  • usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS),
  • usługę dostępu do informacji o rachunku (Account Information Service, AIS),
  • usługę potwierdzania dostępności środków (Confirmation of the Availability of Funds, CAF).

Znowelizowana Ustawa o usługach płatniczych wprowadziła dodatkowo pojęcie małej instytucji płatniczej (MIP), będącej alternatywą dla krajowych instytucji płatniczych. Mniejsze wymagania finansowe i formalno-organizacyjne względem MIP umożliwiają ich sprawne i mniej problemowe uruchomienie.

Dyrektywa PSD2 określa także standardy bezpieczeństwa, jakie muszą spełnić dostawcy usług płatniczych. Biorąc pod uwagę, że niebawem możemy mieć do czynienia z wysypem nowych narzędzi i aplikacji obsługujących nasze płatności to ustawowe narzucenie minimalnych wymagań w zakresie uwierzytelnia podczas wykonywania kluczowych operacji jest dobrym posunięciem.

Dla możliwości rozwoju nowych narzędzi płatniczych zasadnicze będzie rozpoczęcie obowiązywania regulacyjnych standardów technicznych (Regulatory Technical Standards, RTS). Ma to nastąpić we wrześniu 2019. RTS doprecyzowują m.in. zasady bezpiecznej komunikacji pomiędzy różnymi dostawcami usług płatniczych.

AIS, PIS - nowe typy usług wprowadzone przez dyrektywę PSD2

PSD2 i w ślad za nią nowela ustawy o usługach płatniczych wprowadzają usługi XS2A (access to accounts), czyli usługi oparte o dostęp do rachunku. Są to:

  • usługa inicjowania transakcji płatniczej (PIS) - usługa polegająca na zleceniu za zgodą klienta transakcji płatniczej z jego rachunku płatniczego,
  • usługa dostępu do informacji o rachunku (AIS) - dostawca tej usługi będzie mógł swoim klientom przedstawiać zagregowane informacje o ich jednym lub kilku rachunkach płatniczych,
  • usługa potwierdzania dostępności środków na rachunku płatniczym (CAF).

Uregulowanie powyższych usług daje podstawy do rewolucji na rynku usług płatniczych. Dostawcy usług XS2A za zgodą klientów będą otrzymywać dostęp do ich rachunków prowadzonych przez inne podmioty. Nie będzie się to wiązało z koniecznością podpisywania umów pomiędzy dostawcą usługi XS2A a bankiem klienta, w którym znajduje się dany rachunek. Wystarczająca będzie zgoda klienta i przekazane przez niego dane uwierzytelniające do rachunku.

Techniczną podstawą dla usług XS2A będą interfejsy programowania aplikacji (API) udostępniane przez banki podmiotom trzecim. Banki zostały zobowiązane do ich pełnego wdrożenia zgodnie ze standardami technicznymi (RTS) najdalej do września 2019.

To będzie przełomowy moment, od którego będziemy mogli zacząć mówić o istnieniu otwartej bankowości w naszym kraju. Podmioty świadczące usługi PIS i AIS za zgodą klientów otrzymają dostęp do danych, które dotychczas były przetwarzane głównie przez banki.

AIS - usługa dostępu do informacji o rachunku

Dzięki usługom typu AIS będziemy mogli sprawdzić stan naszych rachunków lub historię transakcji z kilku banków za pomocą jednej aplikacji. W przypadku osób posiadających jeden rachunek i to w banku z przyzwoitą aplikacją lub przyjaznym serwisem www ta usługa pewnie okaże się mniej przydatna.

Sytuacja może wyglądać inaczej w przypadku firm posiadających więcej kont w kilku różnych bankach. Możliwość analizy wszystkich rachunków bankowych za pomocą jednego narzędzia może być bardzo pomocna.

PIS - usługa inicjowania transakcji płatniczej

Usługa PIS pozwoli na wykonanie płatności z rachunku bankowego za pomocą zewnętrznej aplikacji, tj. nienależącej do banku, w którym ten rachunek się znajduje.

Zgodnie z założeniami aplikacje działające w ramach usługi inicjowania transakcji płatniczej pozwolą na wykonywanie przelewu z naszego rachunku w dowolnym banku bez konieczności samodzielnego logowania się w systemie transakcyjnym tego banku.

Dostawca usługi PIS będzie jedynie pośrednikiem w zleceniu transferu środków i tym samym w żadnym momencie świadczenia swojej usługi nie będzie nimi dysponował.

TPP - podmioty trzecie

Podmioty uprawnione do świadczenia usług PIS/AIS dyrektywa PSD2 określa mianem podmiotów trzecich (Third Party Provider, TPP). Jako TPP będą mogły działać np. FinTechy, czy sklepy internetowe. Nowe możliwości z pewnością wykorzystają także same banki. Niektóre już zapowiadają zmiany w swoich aplikacjach, dzięki którym klienci otrzymają m.in. możliwość zarządzania swoimi rachunkami w innych bankach.

Świadczenie usług płatniczych z reguły wiąże się z uzyskaniem odpowiedniej licencji lub wpisu do właściwego rejestru. W przypadku podmiotów planujących dostarczać jedynie usługi AIS wystarczający będzie wpis do rejestru dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku (ustawa o usługach płatniczych, Art. 117b). Taki podmiot będzie mógł świadczyć również inne usługi, nieobjęte ustawą o usługach płatniczych.

Podmioty, które zamierzają świadczyć usługi PIS będą musiały uzyskać zezwolenie na prowadzanie działalności jako krajowa instytucja płatnicza. Usługi te będzie można także świadczyć, posiadając status innego dostawcy usług płatniczych - np. banku lub SKOKu. Jednak w tym wypadku wymogi formalne i kapitałowe są zdecydowanie większe.

Każdy dostawca usług opartych o dostęp do rachunku będzie zobowiązany do posiadania ubezpieczenia odpowiedzialności z tytułu prowadzonej działalności, a ich funkcjonowanie będzie podlegało nadzorowi KNF.

Nowe przepisy zabraniają bankom i innym instytucjom prowadzącym rachunki tworzyć przeszkód podmiotom trzecim w świadczeniu usług opartych o dostęp do rachunku. Każdy podmiot uprawniony do świadczenia usług PIS/AIS ma mieć jednakową możliwość komunikacji za pośrednictwem API z danym bankiem lub instytucją.

Mała instytucja płatnicza

Mała instytucja płatnicza to nowy rodzaj dostawcy usług płatniczych wprowadzony nowelizacją ustawy o usługach płatniczych. Jest to rozwiązanie dla podmiotów, które zamierzają świadczyć usługi płatnicze na mniejszą skalę lub chcą przetestować swoje rozwiązania zanim podejmą decyzję o ubieganiu się o licencję krajowej instytucji płatniczej (KIP).

Uzyskanie licencji KIP wiąże się z licznym formalnościami i zazwyczaj trwa wiele miesięcy. Ponadto podmioty ubiegające się o zezwolenie na działanie w charakterze KIP obowiązują minimalne wysokości kapitału założycielskiego:

  • 125 000 euro,
  • 50 000 euro jeżeli planuje świadczyć wyłącznie usługi PIS,
  • 20 000 euro w przypadku świadczenia jedynie usługi przekazu pieniężnego.


Formalności związane z rozpoczęciem działalności w charakterze małej instytucji płatniczej zostały uproszczone, stąd cała procedura związana z uzyskaniem wpisu do rejestru małych instytucji płatniczych ma trwać zdecydowanie krócej niż w przypadku ubiegania się o licencję KIP.

Ustawodawca nie postawił także wymogów co do wielkości kapitału założycielskiego. Rzecz jasna, należy uwzględnić minimalny kapitał wymagany w stosunku do wybranej formy prawnej - małą instytucją płatniczą mogą być zarówno spółki akcyjne jak i osoby fizyczne prowadzące działalność gospodarczą.

Małe instytucje płatnicze są uprawnione do świadczenia usług takich jak:

  • przyjmowanie wpłat gotówki i dokonywaniu wypłat gotówki z rachunku płatniczego (prowadzenie rachunku płatniczego),
  • wykonywanie transakcji płatniczych, w tym transfer środków pieniężnych na rachunek płatniczy wskazany przez klienta (przelewy, polecenia zapłaty, płatności kartą lub innym instrumentem płatniczym),
  • kredytowanie transakcji płatniczych,
  • wydawanie instrumentów płatniczych,
  • wykonywanie przekazów pieniężnych.

Jak widać, małe instytucje płatnicze mogą świadczyć usługi podobne do tych oferowanych przez ich większe odpowiedniki, czyli krajowe instytucje płatnicze, jednak ich działalność podlega pewnym istotnym ograniczeniom.

Średnia całkowitej kwoty transakcji wykonanych przez MIP w poprzednich 12 miesiącach nie może przekroczyć kwoty stanowiącej równowartość 1 500 000 euro miesięcznie. W przypadku przekroczenia tego limitu podmiot ma dwa wyjścia: ograniczyć rozmiar swojej działalność lub ubiegać się o licencję krajowej instytucji płatniczej.

Kolejny limit kwotowy dotyczy maksymalnej wysokości środków przechowywanych na rachunkach dla jednego użytkownika. Jego wysokość to równowartość 2000 euro.

To właśnie te limity sprawiają, że małe instytucje płatnicze będą w dużej mierze funkcjonować jako forma przejściowa i etap na drodze do działania jako krajowa instytucja płatnicza. Ponadto z zakresu możliwych usług płatniczych zostały wykluczone te oparte o dostęp do rachunku, czyli usługi PIS i AIS. Małe instytucje płatnicze mają także ograniczenia terytorialne swojej działalności - mogą ją prowadzić wyłącznie na terytorium Rzeczpospolitej.

Żeby nie kończyć tematu MIP na limitach i wykluczeniach to dodam, że MIPy moją prawo do prowadzenia działalności hybrydowej, czyli świadczenia także usług innych niż płatnicze. Dzięki temu firmy działające w innych obszarach mogą uzupełnić swoją ofertę o nowe rozwiązania w zakresie płatności.

Czas pokaże w jakim stopniu forma małej instytucji płatniczej będzie wykorzystywana przy świadczeniu usług płatniczych. Na dzień pisania tego artykułu podmiotów wpisanych do rejestru małych instytucji płatniczych było 20.

Silne uwierzytelnianie

Nowe przepisy nakładają na dostawców usług płatniczych obowiązek stosowania silnego uwierzytelniania klientów (strong customer authenticaion, SCA), czyli potwierdzenia tożsamości klientów z użyciem co najmniej dwóch elementów, należących do kategorii:

  1. znajomość czegoś, co zna wyłącznie klient (login i hasło)
  2. posiadanie czegoś, czym dysponuje tylko klient (np.: kody jednorazowe, SMS)
  3. cechy charakterystyczna klienta (np.: odcisk palca, siatkówka oka).

Każdy z zastosowanych elementów uwierzytelniana ma być jego integralną częścią i jednocześnie działać w sposób niezależny tzn. naruszenie jednego elementu nie może podważać wiarygodności pozostałych.

Oczywiście, tego typu zabezpieczenia w przypadku polskiej bankowości nie są niczym nowym. Nie zaskakuje nas konieczność autoryzacji przelewów kodem z smsa. Podobnie jest w przypadku zmiany niektórych danych lub przy próbie uzyskania dostępu do tych bardziej wrażliwych z punktu widzenia bezpieczeństwa posiadanych środków.

Do tej pory jednak silne uwierzytelnianie było jedynie rekomendowaną praktyką. Od września 2019, czyli od momentu obowiązywania regulacyjnych standardów technicznych, dostawcy usług płatniczych będą już zobligowani do jego stosowania. Dodatkowo takie dwuelementowe uwierzytelniane (two-factor authentication, 2FA) będzie występować częściej niż dotychczas.

Prośba o podanie kodu, zeskanowanie siatkówki oka lub uśmiech do kamery w telefonie może się pojawić już podczas samego logowania do systemu transakcyjnego. Dodatkowa autoryzacja będzie także wymagana podczas inicjowania transakcji oraz podczas przeprowadzania czynności, która może wiązać się z ryzkiem oszustwa.

Wymogi w zakresie silnego uwierzytelniania dotyczą również sytuacji, kiedy czynności odbywają się za pośrednictwem podmiotu trzeciego. Zgodnie z nowymi przepisami dostawcy prowadzący rachunki muszą umożliwić podmiotom trzecim świadczenie usług PIS/AIS w oparciu o uwierzytelnianie stosowane w relacji między użytkownikiem a dostawcą prowadzącym rachunek.

PSD2 szansą dla nowych podmiotów i rozwiązań w zakresie płatności

W oparciu o nowe regulacje pojawi się już niebawem wiele nowych rozwiązań na rynku usług płatniczych. Aplikacje do zarządzania finansami tworzone przez FinTechy będą mogły konkurować z aplikacjami dostarczanymi przez banki. Taka wizja dla samych banków powinna być dodatkowym impulsem to tworzenia użytecznych i przyjaznych systemów bankowości online, tak aby z czasem nie stać się tylko biernym dostawcami usług depozytowych i kredytowych.

Pełne wdrożenie PSD2 wraz z regulacyjnymi standardami technicznymi wpłynie na konkurencyjność i transparentność na rynku usług płatniczych, przy jednoczesnym, miejmy nadzieję, zwiększeniu poziomu jego bezpieczeństwa.


Najnowsze wpisy

Rośnie popularność kontraktów terminowych na Bitcoina notowanych na CME.

Rośnie zainteresowanie kontraktami terminowymi na Bitcoina

Zainteresowanie kontraktami na Bitcoina rośnie z kwartału na kwartał. W ubiegłym tygodniu giełda CME odnotowała najwyższy w historii wolumen obrotu tymi instrumentami.

Numery IP przedsiębiorców w rękach fiskusa

Numery IP przedsiębiorców w rękach fiskusa

Od 1 lipca 2018 banki oraz SKOK-i będą regularnie przekazywać informacje o numerach IP, z których przedsiębiorcy logują się na swoje konta bankowe. Numery IP poszerzą zakres informacji przesyłanych przez banki do STIR - nowego narzędzia fiskusa do walki z wyłudzeniami skarbowymi.

Google zainwestuje w chiński portal JD - konkurenta Alibaby

Google zainwestuje w chiński portal JD

Google zainwestuje 550 mln dolarów w chiński koncern JD - giganta z branży e-commerce.
Transakcja ma stanowić początek strategicznej współpracy obu firm.