Verification of Payee VoP - weryfikacja odbiorcy przelewu jako nowy standard bezpieczeństwa dla płatności SEPA Instant Credit Transfer

W obliczu rosnącej popularności płatności natychmiastowych w ramach Jednolitego Obszaru Płatności w Euro (SEPA), kluczowe znaczenie zyskuje bezpieczeństwo transakcji. Jednym z najczęściej występujących oszustw w płatnościach w UE jest oszustwo typu Authorised Push Payment (APP), gdzie oszuści nakłaniają ofiary do przesłania pieniędzy na niewłaściwe konta. Aby przeciwdziałać temu zagrożeniu i zwiększyć zaufanie użytkowników do usług płatniczych, wprowadzony zostaje nowy obowiązek dla dostawców usług płatniczych (PSP) – usługa Weryfikacji Odbiorcy (Verification of Payee, VoP).

Kluczowe informacje warte zapamiętania – Verification of Payee VoP:

Usługa Weryfikacji Odbiorcy (VoP) jest wykonywana natychmiast po podaniu danych odbiorcy przez płatnika i przed zaoferowaniem mu możliwości autoryzacji przelewu, a cały proces, zaprojektowany tak, by nie spowalniać płatności natychmiastowych, trwa tylko kilka sekund.
W zależności od zgodności podanych danych odbiorcy z tymi zarejestrowanymi w banku odbiorcy, płatnik otrzymuje informację o pełnej zgodności, braku zgodności (z ostrzeżeniem o ryzyku przekazania środków na niewłaściwy rachunek) lub „bliskim dopasowaniu”, w przypadku którego dostawca usług płatniczych płatnika udostępnia dokładną nazwę właściciela konta powiązaną z podanym identyfikatorem rachunku.
Dostawca usług płatniczych nie ponosi odpowiedzialności za wykonanie przelewu na rzecz niezamierzonego odbiorcy, jeśli prawidłowo wykonał usługę VoP, ale w przypadku własnego uchybienia w świadczeniu tej usługi, które skutkuje wadliwie wykonaną transakcją, musi niezwłocznie zwrócić płatnikowi transferowaną kwotę.

Podstawa prawna i cel usługi VoP – Verification of Payee

Usługa VoP jest odpowiedzią na obowiązki prawne określone w rozporządzeniu UE w sprawie płatności natychmiastowych (rozporządzenie 2024/886), które zmienia rozporządzenie SEPA. Rozporządzenie IPR to przyjęte przez Radę UE 26 lutego 2024 r., ma na celu pełne udostępnienie płatności natychmiastowych w euro konsumentom i przedsiębiorstwom w UE i krajach EOG, poprawiając jednocześnie strategiczną autonomię europejskiego sektora gospodarczego i finansowego.

Reklama

VoP ma na celu ochronę przed oszustwami płatniczymi poprzez potwierdzenie, że numer rachunku i imię/nazwa odbiorcy podane przez płatnika odpowiadają danym zarejestrowanym dla rzeczywistego odbiorcy. Zgodnie z poprzednimi przepisami, dostawcy usług płatniczych nie byli zobowiązani do weryfikacji nazwiska odbiorcy, opierając się jedynie na unikatowym identyfikatorze rachunku (np. IBAN). Nowe przepisy wprowadzają obowiązek świadczenia usługi VoP, aby zapobiegać wykonywaniu przelewów na rachunki niezamierzonych odbiorców w wyniku oszustwa lub błędu.

Obowiązek wdrożenia i terminy według Rozporządzenia IPR

Dostawcy usług płatniczych w strefie euro będą zobowiązani do oferowania usługi VoP swoim klientom najpóźniej od 9 października 2025 r.. Dostawcy usług płatniczych w państwach członkowskich, których walutą nie jest euro, mają na to czas do 9 lipca 2027 r.. Państwa członkowskie miały przyjąć i opublikować przepisy krajowe niezbędne do wykonania nowych obowiązków do 9 kwietnia 2025 r..

Warto zauważyć, że Rozporządzenie wiąże obowiązek oferowania usługi weryfikacji odbiorcy z obowiązkiem oferowania usługi wykonywania (wysyłania) poleceń przelewu natychmiastowego w euro. Terminy wdrożenia VoP pokrywają się z terminami wdrożenia usługi wykonywania płatności natychmiastowych dla ogólnych PSP w strefie euro i poza nią.

Jeśli państwo członkowskie, którego walutą nie jest euro, przyjmie euro przed dniem 9 kwietnia 2027 r., dostawcy usług płatniczych w tym państwie członkowskim muszą zacząć stosować się do przepisów dotyczących VoP (oraz innych przepisów zmienionego rozporządzenia, jak obowiązek oferowania płatności natychmiastowych i zasad opłat) najpóźniej rok od daty przyjęcia euro, ale nie później niż w terminach określonych dla państw spoza strefy euro (czyli 9 lipca 2027 r. dla VoP) i nie wcześniej niż w terminach określonych dla państw strefy euro (czyli 9 października 2025 r. dla VoP).

Reklama

Koszty usługi VoP

Co istotne dla użytkowników, usługa weryfikacji odbiorcy musi być świadczona wszystkim użytkownikom usług płatniczych bezpłatnie. Opłaty za wykonanie i odebranie poleceń przelewu natychmiastowego nie mogą być wyższe niż opłaty za inne, analogiczne przelewy.

Jak działa usługa VoP?

Proces weryfikacji odbiorcy rozpoczyna się, gdy płatnik wprowadza dane przed zainicjowaniem polecenia przelewu.

Inicjacja przez płatnika: Płatnik, chcąc wykonać polecenie przelewu, wprowadza do systemu swojego dostawcy usług płatniczych (banku) dane dotyczące odbiorcy płatności. Kluczowe dane to identyfikator rachunku płatniczego (np. numer IBAN) oraz imię i nazwisko odbiorcy (w przypadku osób fizycznych) lub nazwę handlową/prawną (w przypadku osób prawnych).
Żądanie weryfikacji przez bank płatnika: Natychmiast po przekazaniu przez płatnika informacji o odbiorcy i zanim płatnik otrzyma możliwość autoryzacji przelewu, bank płatnika (dostawca usług płatniczych płatnika) wysyła żądanie weryfikacji do banku odbiorcy (dostawcy usług płatniczych odbiorcy), prosząc o potwierdzenie zgodności podanego identyfikatora rachunku płatniczego z nazwą odbiorcy.
Kontrola danych przez bank odbiorcy: Bank odbiorcy sprawdza w swoich systemach, czy identyfikator rachunku płatniczego podany w żądaniu odpowiada nazwie odbiorcy, która jest powiązana z tym rachunkiem w jego ewidencji.
Odpowiedź banku odbiorcy: Bank odbiorcy wysyła odpowiedź z powrotem do banku płatnika, wskazując wynik weryfikacji.

Na jej podstawie bank płatnika informuje o wyniku weryfikacji. Cały proces jest zaprojektowany tak, aby był bardzo szybki, trwając zaledwie kilka sekund i nie opóźniając płatności natychmiastowych.

Możliwe wyniki weryfikacji odbiorcy

Możliwe odpowiedzi zwrotne od dostawcy usług płatniczych odbiorcy obejmują:

Reklama

Zgodność (Match): Podana nazwa jest zgodna z nazwą odbiorcy zarejestrowaną przez dostawcę usług płatniczych odbiorcy. Zgodność oznacza dokładne dopasowanie bez żadnych odchyleń. Usunięte są znaki niealfabetyczne (poza cyframi), tabulatory zamieniane na spacje, usuwane są nadmiarowe spacje przed dokonaniem dopasowania.
Bliskie dopasowanie (Close Match): Nazwy są podobne, ale nie identyczne, np. z powodu literówki, znaków diakrytycznych, różnych transliteracji, różnic między nazwiskami zwyczajowymi a oficjalnymi. W takim przypadku dostawca usług płatniczych płatnika wskazuje płatnikowi dokładną nazwę odbiorcy powiązaną z podanym identyfikatorem rachunku płatniczego (IBAN), zgodnie z informacjami otrzymanymi od dostawcy usług płatniczych odbiorcy.
Brak zgodności (No Match): Nazwy nie są zgodne.
Nie można zweryfikować (Verification check not possible): Dostawca usług płatniczych odbiorcy nie był w stanie zweryfikować informacji.

W przypadku braku zgodności lub niemożności weryfikacji, dostawca usług płatniczych płatnika powiadamia o tym płatnika i informuje go, że autoryzacja polecenia przelewu może skutkować przekazaniem środków na rachunek płatniczy nienależący do odbiorcy wskazanego przez płatnika. W przypadku bliskiego dopasowania, płatnikowi udostępniana jest prawidłowa nazwa odbiorcy.

Dostawcy usług płatniczych muszą zapewnić, aby wykonanie usługi weryfikacji nie uniemożliwiało płatnikom autoryzacji danego przelewu.

Po otrzymaniu wyniku weryfikacji i wszelkich powiadomień, płatnik decyduje, czy chce kontynuować płatność, poprawić dane odbiorcy czy anulować transakcję. Wykonanie usługi VoP i przekazanie powiadomienia o niezgodności nie może uniemożliwiać płatnikowi autoryzacji przelewu.

Szczególne przypadki weryfikacji

Rozporządzenie przewiduje specyficzne zasady weryfikacji dla różnych scenariuszy:

Reklama

Osoby prawne: Jeśli kanał inicjowania płatności umożliwia podanie dodatkowych danych identyfikujących odbiorcę, takich jak numer fiskalny, Niepowtarzalny Identyfikator Europejski (UIE) lub LEI (Legal Entity Identifier), i jeśli te dane są dostępne wewnętrznie u dostawcy usług płatniczych odbiorcy, może on zweryfikować zgodność IBAN z tym dodatkowym identyfikatorem na żądanie dostawcy usług płatniczych płatnika. W przypadku braku zgodności, płatnik jest powiadamiany.
Rachunki prowadzone w imieniu wielu odbiorców (tzw. „single IBAN”): Jeśli rachunek jest prowadzony przez PSP w imieniu więcej niż jednego odbiorcy, płatnik może przekazać dodatkowe informacje umożliwiające jednoznaczną identyfikację odbiorcy. Dostawca rachunku potwierdza, czy wskazany przez płatnika odbiorca należy do grupy osób, w imieniu których rachunek jest prowadzony. Płatnik jest powiadamiany, jeśli wskazany odbiorca nie jest powiązany z rachunkiem. Dostawca usług płatniczych odbiorcy nie musi w odpowiedzi na żądanie VoP przekazywać danych wszystkich odbiorców powiązanych z rachunkiem, a jedynie potwierdzić, czy wskazany przez płatnika odbiorca jest jednym z nich.
Inne przypadki i kanały inicjowania płatności: Jeśli kanał płatności nie wymaga podania zarówno IBAN, jak i nazwy odbiorcy, dostawca usług płatniczych musi zapewnić prawidłową identyfikację odbiorcy i poinformować płatnika w sposób umożliwiający mu weryfikację przed autoryzacją. Usługa VoP musi być oferowana niezależnie od wykorzystywanego kanału inicjowania płatności.
Zlecenia papierowe: W przypadku zleceń płatniczych złożonych w formie papierowej, weryfikacja odbywa się w momencie otrzymania zlecenia, chyba że płatnik nie jest obecny.

Rola Dostawców Usług Inicjowania Płatności (PISP)

Jeśli zlecenie płatnicze jest inicjowane przez dostawcę usług inicjowania płatności (PISP), to PISP odpowiada za zapewnienie prawidłowości danych dotyczących odbiorcy (IBAN i nazwy). PISP nie jest jednak zobowiązany do przeprowadzania weryfikacji VoP dla każdej transakcji, zwłaszcza gdy odbiorca jest znanym klientem PISP (np. w e-commerce). Jeśli jednak płatnik sam wprowadza dane odbiorcy lub odbiorca nie jest klientem PISP, zastosowanie mają zasady ogólne weryfikacji, a PISP w tym kontekście działa jak dostawca usług płatniczych płatnika.

Płatności pakietowe dla użytkowników niebędących konsumentami

Użytkownicy usług płatniczych, którzy nie są konsumentami, mają możliwość rezygnacji z otrzymywania usługi weryfikacji odbiorcy przy składaniu wielu zleceń płatniczych w formie pakietu. Mogą oni w dowolnym momencie przywrócić korzystanie z tej usługi. Mimo rezygnacji, dostawcy usług płatniczych informują takich użytkowników o konsekwencjach dla odpowiedzialności i prawa do zwrotu środków w przypadku zignorowania powiadomienia o niezgodności danych.

Odpowiedzialność w przypadku błędu

Rozporządzenie jasno określa zasady odpowiedzialności. Dostawca usług płatniczych nie ponosi odpowiedzialności za wykonanie przelewu na rachunek niezamierzonego odbiorcy (na podstawie błędnego unikatowego identyfikatora), pod warunkiem że prawidłowo wykonał usługę weryfikacji odbiorcy zgodnie z przepisami.

Jeśli jednak dostawca usług płatniczych płatnika lub PISP nie zastosuje się prawidłowo do wymogów dotyczących VoP, a skutkuje to wadliwie wykonaną transakcją, dostawca usług płatniczych płatnika musi bezzwłocznie zwrócić płatnikowi przekazaną kwotę i przywrócić rachunek do stanu sprzed transakcji. Jeśli błąd wynika z zaniechania dostawcy usług płatniczych odbiorcy lub PISP, są oni zobowiązani do zrekompensowania dostawcy usług płatniczych płatnika poniesionej szkody finansowej. Płatnicy muszą być informowani o konsekwencjach zignorowania powiadomienia o niezgodności danych dla odpowiedzialności PSP i ich prawa do zwrotu środków.

Reklama

VoP a kontrola sankcyjna

Należy wyraźnie rozróżnić usługę weryfikacji odbiorcy (VoP) od obowiązków dostawców usług płatniczych w zakresie weryfikacji użytkowników pod kątem objęcia ukierunkowanymi finansowymi środkami ograniczającymi (sankcjami) przyjętymi zgodnie z art. 215 TFUE. Chociaż oba procesy dotyczą weryfikacji stron transakcji, kontrola sankcyjna odbywa się okresowo, co najmniej raz dziennie, oraz natychmiast po wejściu w życie nowych sankcji lub ich zmianie.

W kontekście płatności natychmiastowych, dostawcy usług płatniczych nie weryfikują płatnika ani odbiorcy pod kątem sankcji podczas samego wykonywania przelewu. Skuteczne wypełnianie obowiązków w zakresie kontroli sankcyjnej jest niezwykle ważne, a naruszenia podlegają surowym karom. Nowe przepisy mają na celu zwiększenie pewności prawa i skuteczności kontroli sankcyjnej w kontekście płatności natychmiastowych poprzez odejście od weryfikacji transakcja po transakcji na rzecz weryfikacji okresowej.

Aspekty techniczne i dalszy rozwój

Wdrożenie usługi VoP w skali całej UE stanowi znaczące wyzwanie technologiczne, wymagające bezpiecznej komunikacji i szybkiego przetwarzania danych. Europejska Rada ds. Płatności (EPC) pracuje nad specyfikacjami technicznymi interfejsów (API) między PSP w oparciu o standard ISO 20022 i format RESTful JSON. Zabezpieczenia będą realizowane między innymi poprzez wzajemne uwierzytelnianie TLS, w tym certyfikaty serwera EV TLS i certyfikaty klienta QWAC PSD2. Eurosystem rozważa również oferowanie usługi VoP, a TARGET Instant Payment Settlement (TIPS) mógłby pełnić rolę modułu routingu i weryfikacji (RVM), choć odpowiedzialność pozostaje po stronie PSP.

Komisja Europejska będzie monitorować wpływ nowych przepisów, w tym zmiany w opłatach i skuteczność działania usługi VoP oraz kontroli sankcyjnej. PSP są zobowiązani do regularnego raportowania właściwym organom informacji o opłatach i wskaźnikach odrzuceń transakcji spowodowanych kontrolą sankcyjną. Planowane są również dalsze analizy dotyczące pozostałych przeszkód w realizacji płatności natychmiastowych i standaryzacji technologii (np. QR, NFC).

Reklama

Podsumowanie

Wprowadzenie usługi Weryfikacji Odbiorcy (VoP) stanowi kluczowy krok w rozwoju bezpieczniejszych i bardziej niezawodnych płatności natychmiastowych w SEPA. Obowiązkowa, bezpłatna weryfikacja danych odbiorcy przed autoryzacją przelewu ma na celu skuteczną walkę z oszustwami typu APP oraz zwiększenie zaufania użytkowników do systemu płatności natychmiastowych. Jasno określone zasady działania, możliwe wyniki weryfikacji, a także zasady odpowiedzialności w przypadku błędu, budują ramy prawne i operacyjne dla tej nowej, istotnej usługi w europejskim ekosystemie płatniczym.

Słownik kluczowych terminów

Verification of Payee (VoP): Usługa weryfikacji odbiorcy polegająca na potwierdzeniu, czy numer rachunku płatniczego i imię/nazwa odbiorcy podane przez płatnika odpowiadają danym zarejestrowanym przez dostawcę usług płatniczych odbiorcy.
SEPA (Single Euro Payments Area): Jednolity Obszar Płatności w Euro, obejmujący kraje UE, EOG i inne, w którym płatności w euro są traktowane jako krajowe.
SEPA Instant Credit Transfer: Usługa płatności umożliwiająca natychmiastowe (w ciągu kilku sekund) przelewy środków w euro między rachunkami w SEPA.
Authorised Push Payment (APP) fraud: Rodzaj oszustwa, w którym ofiara jest nakłaniana przez oszusta do zainicjowania przelewu środków na rachunek kontrolowany przez oszusta.
Dostawca usług płatniczych (PSP): Instytucja uprawniona do świadczenia usług płatniczych, np. banki.
Rozporządzenie IPR (Instant Payments Regulation) / Rozporządzenie 2024/886: Rozporządzenie UE wprowadzające obowiązek udostępnienia płatności natychmiastowych w euro oraz usługi Verification of Payee.
IBAN (International Bank Account Number): Międzynarodowy numer rachunku bankowego, unikalny identyfikator rachunku płatniczego.
Płatnik: Osoba lub podmiot inicjujący polecenie przelewu.
Odbiorca: Osoba lub podmiot, do którego kierowany jest przelew środków.
Dostawca usług inicjowania płatności (PISP): Podmiot uprawniony do inicjowania zleceń płatniczych w imieniu użytkownika usług płatniczych, często wykorzystywany w e-commerce.
Zgodność (Match): Wynik weryfikacji VoP oznaczający dokładne dopasowanie podanej nazwy odbiorcy do nazwy zarejestrowanej przez bank odbiorcy.
Bliskie dopasowanie (Close Match): Wynik weryfikacji VoP oznaczający, że podana nazwa i zarejestrowana nazwa są podobne, ale nie identyczne, z powodu drobnych różnic.
Brak zgodności (No Match): Wynik weryfikacji VoP oznaczający, że podana nazwa i zarejestrowana nazwa nie są zgodne.
Nie można zweryfikować (Verification check not possible): Wynik weryfikacji VoP oznaczający, że bank odbiorcy nie był w stanie przeprowadzić weryfikacji.
LEI (Legal Entity Identifier): Globalny identyfikator podmiotów prawnych uczestniczących w transakcjach finansowych.
UIE (Niepowtarzalny Identyfikator Europejski): Dodatkowy identyfikator, który może być wykorzystany do weryfikacji osób prawnych.
Kontrola sankcyjna: Proces weryfikacji stron transakcji lub użytkowników pod kątem objęcia ukierunkowanymi finansowymi środkami ograniczającymi (sankcjami).
API (Application Programming Interface): Interfejs programistyczny umożliwiający komunikację między różnymi systemami informatycznymi.
ISO 20022: Międzynarodowy standard formatu wiadomości finansowych.
RESTful JSON: Architektura i format danych używane w komunikacji API.
TLS (Transport Layer Security): Protokół kryptograficzny zapewniający bezpieczne połączenie w sieciach komputerowych.
QWAC PSD2: Kwalifikowane certyfikaty do uwierzytelniania witryn internetowych zgodnie z dyrektywą PSD2, wykorzystywane do zabezpieczania komunikacji API w ramach VoP.
TARGET Instant Payment Settlement (TIPS): Usługa Eurosystemu umożliwiająca rozrachunek płatności natychmiastowych w walucie banku centralnego.

Najczęściej zadawane pytania – Verification of Payee VoP

Czy usługa weryfikacji odbiorcy działa dla wszystkich kanałów inicjowania płatności?

Tak, dostawca usług płatniczych płatnika musi oferować usługę weryfikacji odbiorcy niezależnie od kanału inicjowania płatności wykorzystywanego przez płatnika do złożenia zlecenia płatniczego dotyczącego polecenia przelewu. Obejmuje to bankowość internetową, aplikacje mobilne, bankomaty i inne metody dostępne w placówkach dostawcy usług płatniczych. W przypadku zleceń składanych w formie papierowej, weryfikacja odbywa się w momencie otrzymania zlecenia, chyba że płatnik nie jest obecny.

Czy weryfikacja odbiorcy dotyczy tylko osób fizycznych? Jak działa dla osób prawnych lub rachunków wspólnych?

Usługa VoP ma zastosowanie do wszelkich poleceń przelewu w euro.

Dla osób fizycznych weryfikowana jest zgodność imienia i nazwiska.
Dla osób prawnych weryfikowana jest zgodność nazwy handlowej lub prawnej. Dodatkowo, jeśli kanał inicjowania płatności na to pozwala, a bank odbiorcy posiada te dane, można zweryfikować zgodność innych jednoznacznych identyfikatorów, takich jak numer fiskalny, UIE (niepowtarzalny identyfikator europejski) lub LEI (identyfikator podmiotu prawnego), zamiast lub oprócz nazwy. W przypadku niezgodności tych danych, płatnik również jest o tym powiadamiany.
W przypadku rachunków prowadzonych w imieniu więcej niż jednego odbiorcy (np. rachunki wspólne), dostawca usług płatniczych może, na wniosek banku płatnika, potwierdzić, czy odbiorca wskazany przez płatnika znajduje się na liście beneficjentów rachunku. Płatnik jest powiadamiany, jeśli wskazany odbiorca nie należy do osób, w imieniu których rachunek jest prowadzony.

Kto odpowiada za prawidłowość danych odbiorcy, jeśli przelew jest inicjowany za pośrednictwem dostawcy świadczącego usługę inicjowania płatności (PIS)?

Jeżeli identyfikator rachunku płatniczego lub nazwa odbiorcy są podane przez dostawcę świadczącego usługę inicjowania płatności (PIS), a nie bezpośrednio przez płatnika, to ten dostawca PIS jest odpowiedzialny za zapewnienie prawidłowości informacji dotyczących odbiorcy. Zarówno PSP płatnika (w przypadkach, gdy kanał nie wymaga podania pełnych danych przez płatnika), jak i dostawcy PIS muszą utrzymywać solidne wewnętrzne procedury w celu zapewnienia prawidłowości informacji o odbiorcach.

Reklama

Czy usługa weryfikacji odbiorcy może uniemożliwić wykonanie przelewu, jeśli dane się nie zgadzają?

Czy dostawca usług płatniczych odbiorcy lub dostawca PIS mogą ponosić odpowiedzialność, jeśli ich błąd w weryfikacji doprowadzi do wadliwie wykonanego przelewu?

Tak. Jeśli dostawca usług płatniczych płatnika musi zwrócić płatnikowi kwotę przelewu z powodu wadliwie wykonanej transakcji wynikającej z tego, że to dostawca usług płatniczych odbiorcy lub dostawca świadczący usługę inicjowania płatności nie dopełnili swoich obowiązków wynikających z przepisów dotyczących VoP, to dostawca usług płatniczych odbiorcy lub dostawca PIS rekompensują dostawcy usług płatniczych płatnika szkodę finansową wyrządzoną w wyniku tego uchybienia. Wszelkie dalsze straty finansowe płatnika mogą być rekompensowane zgodnie z mającym zastosowanie prawem krajowym.

Reklama