Brak wyników

Aktualności

11 września 2019

Dyrektywa PSD2 zmienia właśnie rynek finansowy – co oznacza dla klienta?

167

Od 14 września 2019 r. dostawcy usług płatniczych w całej Unii Europejskiej, w tym banki, muszą wdrożyć nowe wymogi prawne wynikające z tzw. Dyrektywy PSD2, czyli drugiej dyrektywy dotyczącej świadczenia usług płatniczych. O nowych przepisach głośno jest już od jakiegoś czasu. Dla klientów bankowości elektronicznej mogą to być z pozoru niewielkie zmiany – niemniej jednak długoterminowo możemy spodziewać się nie tylko wzrostu poziomu bezpieczeństwa płatności internetowych, ale również nowych usług finansowych.
 

Co tak naprawdę zmienia PSD2?

Druga dyrektywa o usługach płatniczych wprowadza dwie kluczowe zmiany dla rynku płatności. Pierwsza z nich to tzw. silne uwierzytelnianie. Dotyczy ono przede wszystkim sposobu autoryzowania płatności i logowania się do bankowości online. Druga zmiana to wprowadzenie dwóch nowych usług płatniczych, w ramach których bank lub dostawca usług płatniczych może uzyskać dostęp do rachunku bankowego prowadzonego przez inny bank.
 

Silne uwierzytelnianie – czyli logowanie po nowemu

Silne uwierzytelnianie wymaga od banku, aby autoryzując użytkownika wymagał użycia co najmniej dwóch z trzech kategorii danych uwierzytelniających. Do tej pory, aby zalogować się do bankowości elektronicznej, najczęściej podawaliśmy login, np. numer klienta i hasło. Od 14 września będziemy musieli podać przynajmniej jeszcze jedną dodatkową informację uwierzytelniającą – z innej kategorii danych.

PSD2, a w zasadzie przepisy wykonawcze do Dyrektywy, tzw. RTS, wskazują, że należy posłużyć się dwoma różnymi kategoriami danych uwierzytelniających. Te kategorie to: coś co tylko użytkownik wie, coś co tylko użytkownik ma oraz coś czym tylko użytkownik niejako jest. W praktyce ostatnia kategoria to tzw. biometria, czyli odcisk palca lub wizerunek twarzy, głos. Hasło to pierwsza z tych kategorii, dlatego bank musi dodać jeszcze jedno pytanie, np. o kod SMS czy potwierdzenie w aplikacji – wyjaśnia Tomasz Klecor, prawnik i partner zarządzający w kancelarii Legal Geek, specjalizującej się w obsłudze sektora finansowego.

W ramach kanałów internetowych większość podmiotów finansowych zdecydowała się na łączenie właśnie kryterium wiedzy (haseł, kodów PIN) z kryterium posiadania (czyli kodów generowanych w aplikacji czy przekazywanych na zaufane urządzenie). Dodatkowo w aplikacjach mobilnych możemy spodziewać się kryteriów biometrycznych. Może się więc okazać, że logowanie do banku będzie trudniejsze niż dotychczas.

Musimy pamiętać, że silne uwierzytelnianie będzie wymagane nie tylko przy logowaniu się do banku, ale również przy zlecaniu transakcji czy dodawaniu tzw. zaufanych odbiorców. Niemniej w tym obszarze jesteśmy raczej przyzwyczajeni, że sam login i hasło nie wystarczą, aby zlecić przelew – dodaje Tomasz Klecor.
 

Zbliżeniowo częściej z PINem

Silne uwierzytelnianie klienta to nie tylko płatności w Internecie. Ponieważ nowe wymogi odnoszą się do wszystkich kanałów płatności narażonych na nadużycia, objęły również płatności kartą w terminalach i innych punktach. Co prawda płatności niskokwotowe i zbliżeniowe nadal będą mogły być realizowane w sposób uproszczony, tj. bez podania kodu PIN, ale tylko w ograniczonym zakresie.

Zgodnie z nową regulacją zasadą będzie wymuszenie silnego uwierzytelniania po przekroczeniu określonej liczby lub kwoty transakcji kartowych. W przypadku płatności zbliżeniowych bank nie musi wymagać silnego uwierzytelniania poniżej kwoty 50 euro, pod warunkiem, że klient nie wykonał więcej niż 5 transakcji lub nie przekroczył 150 euro od ostatniego zastosowania silnego uwierzytelniania.

Stosowanie tzw. koszyków, czyli wolumenów transakcji, po których przekroczeniu bank musi wymusić silne uwierzytelnianie, ma chronić klientów, którzy utracili swoje karty, np. zgubili je lub zostały one skradzione. W praktyce chroni jednak wydawcę karty, gdyż Dyrektywa PSD2 rozszerzyła jego odpowiedzialność – precyzuje Tomasz Klecor z Legal Geek.
 

Mniejsza odpowiedzialność klienta, bank zwróci więcej

Dyrektywa PSD2 doprowadziła również do zmniejszenia kwoty odpowiedzialności klienta, któremu skradziono kartę lub który kartę zgubił. Do tej pory klienta obciążały nieautoryzowane transakcje do kwoty 150 euro. Jeśli więc skradziono nam kartę i ktoś dokonał nią zakupów, bank zwracał nam niejako kwotę skradzioną pomniejszoną o 150 euro. Oczywiście istniały pewne wyjątki od tej zasady – nie odpowiadaliśmy np. za transakcje dokonane po zgłoszeniu do banku utraty karty. PSD2 zmniejsza tę kwotę do 50 euro. Dodatkowo bank odpowiada za wszystkie transakcje, które powinny być dokonane z zastosowaniem silnego uwierzytelniania, a nie były.

Jest to dobra wiadomość dla klientów banków, zwłaszcza tych, którym zdarza się gubić portfele z kartami. Taka strata będzie teraz dla nich znacznie mniej kosztowna.
 

Uwaga na wiadomości z banku!

Wprowadzenie nowych zabezpieczeń to również dobry powód dla oszustów, aby rozpocząć wyłudzanie danych do logowania. Wykorzystują oni fakt, że klienci otrzymują więcej wiadomości od swoich dostawców i wysyłają im odpowiednio spreparowane linki do fałszywych stron internetowych, do złudzenia przypominających strony banków. Klient podaje tam swoje dane dostępowe do banku, a czasem wręcz może być poproszony o podanie kodu SMS i zupełnie nieświadomie opróżnia w ten sposób swoje konto.

Przed tzw. phishingiem, czyli podszywaniem się np. pod nasze banki ostrzega m.in. Komisja Nadzoru Finansowego. Kiedy dostajemy wiadomość od kogoś, kto podaje się za nasz bank – powinniśmy dokładnie zweryfikować jej pochodzenie. Wprowadzenie nowych zabezpieczeń raczej nie będzie wymagać od nas klikania w linki w mailach – radzą prawnicy z Legal Geek.
 

Czy będzie łatwiej o raty?

Na rynku e-commerce coraz bardziej powszechne stają się płatności odroczone. Pojawiają się kolejne firmy oferujące raty na zakupy w sklepach internetowych. Nowe, wprowadzone dyrektywą PSD2 usługi m.in. ułatwią dokonywanie oceny zdolności kredytowej w oparciu o historię rachunku bankowego. Już teraz takimi usługami mocno zainteresowały się firmy pożyczkowe. Dzięki dostępowi do rachunku osoby wnioskującej o raty pożyczkodawca może ustalić, ile faktycznie zarabia i na co wydaje pieniądze klient. Taka ocena zdolności jest znacznie bardziej wiarygodna od oceny opartej wyłącznie na deklaracjach składanych wraz z wnioskiem o raty. Wbrew pozorom może być dzięki temu łatwiej o pożyczkę, bo nawet jeśli ktoś zarabia mniej, ale racjonalnie zarządza wydatkami, to taki scori...

Dalsza część jest dostępna dla użytkowników z wykupionym planem

Przypisy