20 czerwca 2018 roku weszły w życie przepisy Ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw wprowadzające do polskiego prawa regulacje Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego potocznie nazywanej Dyrektywą PSD2 (Payment Services Directive). Zmiany obowiązują na terenie Europejskiego Obszaru Gospodarczego – EOG (Unia Europejska oraz Islandia, Lichtenstein i Norwegia).
Najważniejsze założenia Dyrektywy PSD2 to:
- Zapewnienie bezpieczeństwa oraz ujednolicenie przepisów dotyczących systemu płatności elektronicznych na obszarze EOG;
- Przyspieszenie rozwoju nowych technologii w zakresie usług płatniczych;
- Powszechna dostępność rachunków płatniczych dla każdego obywatela;
- Dopuszczenie do rynku finansowego zewnętrznych dostawców usług płatniczych (fintechów) na równorzędnych warunkach z bankami, mające na celu zwiększenie konkurencji a za tym zmniejszenie opłat.
Dyrektywa PSD2 z punktu widzenia klienta
Z punktu widzenia klienta instytucji finansowych (banków, instytucji płatniczych, fintechów) zmiany sprowadzają się do czterech najważniejszych kwestii:
- Wymóg silnego uwierzytelnienia (autoryzacja logowania);
- Ujednolicenie płatności na rynku unijnym (opłaty i prowizje);
- Autoryzacja transakcji kartami płatniczymi (wymóg podawania PIN przy większej liczbie transakcji, zmniejszenie kwoty, od której bank odpowiada za nieautoryzowane transakcje);
- Niezwłoczny zwrot środków w przypadku nieautoryzowanych transakcji płatniczych;
- Wprowadzenie „otwartej bankowości” (dostęp podmiotów zewnętrznych do rachunków bankowych klientów).
Do 14 września 2019 roku dostawcy usług płatniczych mieli obowiązek technicznie dostosować się do wymogów dotyczących silnego uwierzytelniania i standardów tzw. „otwartej bankowości”.
Silne uwierzytelnienie – Dyrektywa PSD2
Dla zwiększenia bezpieczeństwa płatności drogą elektroniczną wprowadzono wymóg stosowania silnego uwierzytelnienia przy zastosowaniu minimum dwuetapowej weryfikacji na podstawie trzech kategorii, wiedzy, posiadania i cech klienta, np.: hasła i kodu SMS lub odcisku palca, posiadanej karty płatniczej i numeru PIN. Szczegóły dotyczące silnego uwierzytelnienia znajdziesz w oddzielnym wpisie.
Obniżenie kosztów transakcji płatniczych dla klienta
W celu ujednolicenia rynku płatniczego w całej Unii Europejskiej przyjęto zasadę, że koszt płatności transgranicznych w Euro nie może być wyższy niż koszt płatności krajowych w złotych. Podobnie sytuacja wygląda w przypadku wypłat z bankomatów, gdzie koszt wypłaty w Euro z bankomatów obcych za granicą nie może być wyższy niż koszt wypłaty złotych z bankomatów obcych w Polsce. W tym zakresie klienci korzystający z swoich kont i kart poza granicami Polski uzyskali znaczne oszczędności.
W sklepach stacjonarnych oraz w handlu internetowym, sprzedawcy nie mogą obciążać dodatkowymi prowizjami w związku z płatnością kartą płatniczą a nie gotówką. Obowiązkiem sprzedawcy jest dokonać transakcji za taką cenę, jaką prezentuje klientowi. Tylko w wyjątkowych przypadkach może być stosowana opłata uwzględniająca wyłącznie wysokość kosztów realizacji takiej płatności.
Zmiana w rozliczeniach kosztów w przelewach zagranicznych w ramach Europejskiego Obszaru Gospodarczego
Wszystkie przelewy zagraniczne, które są kierowane do banków w Europejskim Obszarze Gospodarczym muszą być realizowane w opcji kosztowej SHA (shared), gdzie nadawca i odbiorca solidarnie ponoszą koszty przelewu, gdzie każdy pokrywa koszty w swoim banku.
Gwarancja bezpłatnego i szybkiego rozwiązania umowy
Zgodnie z art. 35 pkt 1 ustawy o usługach płatniczych właściciel może wypowiedzieć umowę ramową prowadzenia rachunku płatniczego a bank nie może z tego tytułu żądać od klienta opłat. Wyjątek stanowi pierwszych 6 miesięcy, kiedy bank może w zawieranej umowie określić opłatę za wypowiedzenie, jednak w wysokości nie większej niż koszty poniesione w związku z zawarciem tejże umowy. Taki wzór umowy stosuje m.in. BNP Paribas Bank Polska.
Klient ma prawo w każdym czasie złożyć wypowiedzenie umowy ramowej. Bank może określić w umowie klientowi maksymalnie miesięczny okres wypowiedzenia (tak jest w większości banków). Jeśli bank nie określił tego okresu, umowa rozwiązywana jest ze skutkiem natychmiastowym (tak jest w przypadku ING Banku Śląskiego). Jeżeli to bank wypowiada umowę na czas nieokreślony to okres wypowiedzenia nie może być krótszy niż dwa miesiące.
Obowiązek banków do posiadania oferty rachunku podstawowego
W celu przeciwdziałania wykluczeniu finansowemu, każdy obywatel, bez względu na swój status społeczny czy też wiek, ma prawo do otwarcia tzw. rachunku podstawowego, który powinien być prowadzony bezpłatnie w zakresie podstawowych usług takich jak: wpłaty i wypłaty środków, wykonywanie przelewów, użytkowania karty debetowej. Każdy bank ma obowiązek posiadać w swojej ofercie taki rachunek. Szczegółowy opis rachunku podstawowego znajduje się w podlinkowanym wpisie.
Odpowiedzialność dostawców usług płatniczych
Zgodnie z wprowadzonymi przepisami banki ponoszą większą odpowiedzialność w przypadku nieautoryzowanych płatności, ponieważ kwota, do jakiej klient ponosi odpowiedzialność została obniżona ze 150 do 50 Euro. Wyłączeniem (bez względu na kwotę) objęte są przypadki, gdy klient dopuścił się rażącego zaniedbania, np. udostępnił innym osobom dane służące do silnego uwierzytelnienia, które pozwoliły dokonać transakcji. Bank musi jednak udowodnić, że do takiej sytuacji doszło. Odpowiedzialność klienta za nieautoryzowane płatności jest również wyłączona z chwilą poinformowania banku o utracie karty lub kradzieży danych do autoryzacji oraz w przypadku transakcji w internecie, gdzie dostawca usług płatniczych nie stosuje silnego uwierzytelniania.
Jeżeli dojedzie do nieautoryzowanej transakcji płatniczej, środki muszą być zwrócone najpóźniej kolejnego dnia roboczego, zgodnie z zasadą D + 1. Wyjątek stanowi przypadek, gdy dostawca usług płatniczych ma uzasadnione podejrzenie, że transakcja jest próbą oszustwa. Znaczącemu skróceniu, z 30 do 15 dni, uległ termin rozpatrywania reklamacji dotyczących transakcji płatniczych. Na dostawcy usług płatniczych ciąży obowiązek udowodnienia, że reklamacja jest bezpodstawna.
W przypadku płatności kartą, gdzie ostateczna kwota transakcji nie jest określona (np. wynajem samochodu, rezerwacja w hotelu), blokada środków na karcie może być dokonana wyłącznie w uzgodnionej kwocie i za zgodą klienta. W przypadku polecenia zapłaty (upoważnienie dla banku do pobrania środków z konta), wprowadzono przepis umożliwiający na zgłoszenie w ciągu 8 tygodni sprzeciwu a bank musi zwrócić przyjęte środki w ciągu 10 dni roboczych.
Otwarta bankowość w Dyrektywie PSD2
W dobie rozwoju nowych technologii należało uregulować kwestię instytucji odpowiadających za kwestie elektronicznych transakcji płatniczych. Dyrektywa PSD2 wprowadziła całkiem nowe przepisy mające na celu zwiększenie konkurencji a za tym obniżenie kosztów oraz zapewnienie bezpieczeństwa danych klientów dostosowując się do zmieniających się warunków rynku e-commerce i m-commerce czyli handlu internetowego.
Oprócz banków oraz instytucji płatniczych dostęp do rynku płatności elektronicznych uzyskały podmioty zewnętrzne, dostawcy usług płatniczych, tzw. TPP (Third Party Providers). Podmiot taki może działać w zakresie:
- dostępu do informacji o rachunku i jego historii – AIS (Account Information Service)
- inicjowania płatności z rachunku klienta na rzecz innego podmiotu – PIS (Payment Initiation Service)
- potwierdzenia dostępności środków na rachunku klienta – CAF (Confirmation of the Availability of Funds)
Każdy podmiot będący TPP, czyli zarejestrowany w rejestrze dostawców usług płatniczych i wydawców pieniądza elektronicznego prowadzonego przez Komisję Nadzoru Finansowego (KNF) może uzyskać dostęp do informacji wskazanej powyżej ale tylko i wyłącznie gdy klient wyrazi na to zgodę a bank ma obowiązek przekazania informacji takiemu podmiotowi. Dostawcy usług płatniczych TPP nigdy nie uzyskują dostępu do danych logowania klienta. Dostęp otrzymują bezpośrednio z banku wykorzystując tzw. interfejs API.
Czy świadczenie usług płatniczych przez takie podmioty jest bezpieczne? Wszystkie podmioty w tym dostawcy zewnętrzni TPP mają obowiązek udokumentować KNF i stosować należyte środki bezpieczeństwa w celu zapewnienia właściwego zabezpieczenia płatności. Muszą również każdego roku przeprowadzać całościowy audyt bezpieczeństwa usług płatniczych a wyniki przekazywać do KNF.
Szczegółowy opis otwartej bankowości znajdziesz w oddzielnym wpisie.
Podsumowanie
Wprowadzone zmiany są dosyć istotne dla europejskiego rynku usług płatniczych i spowodowały obniżenie opłat bankowych, znacząco poprawiły bezpieczeństwo transakcji płatniczych, zarówno w sklepach stacjonarnych jak i w handlu internetowym. Dyrektywa umożliwiła większą dostępność klientów do konta osobistego oraz wpłynęła na szybki rozwój dostawców usług płatniczych.