Już za niecałe półtora roku upływa termin implementacji przez państwa członkowskie UE uchwalonej w 2015 r. dyrektywy w sprawie usług płatniczych (tzw. dyrektywy PSD2 – ang. Payment Services Directive 2), która zastępuje dotychczasową dyrektywę PSD z 2007 r. W nowej regulacji szczególną wagę przykłada się do kwestii bezpieczeństwa płatności elektronicznych i tego, by wszystkie usługi płatnicze były wykonywane z użyciem technologii gwarantujących odpowiednie uwierzytelnianie użytkownika i minimalizujących ryzyko oszustw. Jednocześnie dyrektywa zawiera zobowiązanie dla europejskich urzędów nadzorczych do stworzenia regulacji doprecyzowujących postanowienia dyrektywy – tzw. Regulacyjnych Standardów Technicznych (RST).
Opracowanie RST w przedmiocie mechanizmów silnego uwierzytelniania klienta (w tym wyłączeń od obowiązku jego stosowania), środków bezpieczeństwa zapewniających ochronę poufności i integralności danych użytkowników usług płatniczych oraz wymogów w zakresie standardów komunikacji powierzono Europejskiemu Urzędowi Nadzoru Bankowego (ang. European Banking Authority, w skrócie: EBA). Niedawno urząd ten opublikował dokument konsultacyjny, zawierający projekt RST we wskazanym zakresie, czym zainicjował społeczne konsultacje, które potrwają do 12 października br.
– Od czasu uchwalenia pierwszej dyrektywy PSD minęła już prawie dekada. Przez ten czas na rynku pojawiły się nowe rodzaje usług płatniczych, znacząco zmienił się sposób ich świadczenia, co związane jest z pojawieniem się licznych innowacji technologicznych, w tym coraz częstszym realizowaniem płatności przez urządzenia mobilne – wskazuje Mecenas Marcin Czugan, Wiceprezes Zarządu KPF i Przewodniczący Komitetu Prawno–Politycznego EUROFINAS. – Zmiany te niejako wymusiły na europejskim regulatorze przyjęcie nowych przepisów, lepiej przystających do obecnej sytuacji na runku usług płatniczych. Ponieważ w ostatnich latach równolegle nastąpił wzrost ryzyk dla bezpieczeństwa związanego z płatnościami elektronicznymi, to właśnie ten aspekt ma być regulowany w sposób możliwie precyzyjny i spójny za pośrednictwem dyrektywy i konsultowanych Regulacyjnych Standardów Technicznych EBA.
W RST uregulowane szczegółowo zostaną kwestie związane np. z kodem uwierzytelniającym, maksymalną długością sesji dostępu do rachunku, czy też maksymalną liczbą nieudanych prób uwierzytelniania. Wszystko po to, by jak najskuteczniej zapobiegać wyłudzeniom (tzw. fraudom). Jednocześnie proponuje się, by wyłączeniu z obowiązku stosowania silnego uwierzytelniania klienta podlegały sytuacje, gdy użytkownik chce uzyskać dostęp online wyłącznie do informacji o swoich koncie, bez ujawniania informacji wrażliwych, czy też gdy użytkownik inicjuje elektroniczną płatność bezdotykową w ramach określonych limitów kwotowych. Co więcej, standardy mają określać wymogi, jakie muszą spełniać środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkowników usług płatniczych, np. poprzez ustalenie warunków, jakie musi spełniać oprogramowanie uwierzytelniające. W przedmiocie standardów komunikacji, EBA podkreśla zaś bezwzględny obowiązek dwustronnej identyfikacji stron, a także nakazuje odpowiednie szyfrowanie komunikatów.
– Konferencja Przedsiębiorstw Finansowych z uwagą zapoznała się z projektem RST, gdyż stanowić będą one niezwykle ważny element codziennego funkcjonowania wielu firm sektora finansowego, w tym zwłaszcza tych z sektora bankowego i dostawców usług płatniczych – dodaje Mec. Czugan. – Na bazie dokonywanej analizy powstanie stanowisko reprezentowanego przez nas sektora finansowego, które zaprezentujemy EBA podczas trwających konsultacji społecznych.
Na podstawie otrzymanych komentarzy EBA opracuje finalną wersję projektu RST, którą do połowy stycznia przyszłego roku przedstawi do przyjęcia przez Komisję Europejską. W dalszej kolejności EBA będzie dokonywać regularnego przeglądu RST w celu oceny, czy z uwagi np. na innowacje i postęp technologiczny na rynku usług płatniczych, nie trzeba dokonać ich aktualizacji.
Warto wskazać, iż podczas najbliższego V Kongresu Regulacji Rynków Finansowych, organizowanego w dniach 28-30 września przez Instytut Allerhanda, odbędzie się sesja z udziałem ekspertów KPF, dotycząca wpływu nowych regulacji sektora fin-tech na rynek finansowy i jego poszczególnych uczestników. Analiza dyrektywy PSD2 i standardów technicznych EBA będą odgrywały w tej dyskusji znaczącą rolę. Po wprowadzeniu do zmian otoczenia regulacyjnego sektora fin-tech, którego dokona Mec. Marcin Czugan, eksperci i praktycy rynku zastanowią się nad wpływem nowych regulacji fin-tech na rynek finansowy oraz możliwymi synergiami nowych przedsiębiorstw innowacyjnych z pozostałymi uczestnikami „tradycyjnego” rynku finansowego.
– Panel dyskusyjny, w skład którego wejdą wybitni praktycy rynku finansowego i przedsiębiorstw uznawanych za fin-tech pozwoli nam nakreślić przyszłość rynku finansowego, którego nieodłącznym elementem są innowacje i digitalizacja. Już teraz zaobserwować możemy współpracę dotychczasowych uczestników rynku z nowymi przedsiębiorstwami, określanymi mianem fin-tech. Czy jednak, wraz z wejściem nowych regulacji, w tym dyrektywy PSD2, ta współpraca będzie się dalej rozwijać, a jeśli tak, to w jakim kierunku? Na to pytanie będą próbowali odpowiedzieć eksperci biorący udział w panelu – kończy mec. Czugan.
