OPIS DYREKTYWY PSD 2

Dyrektywa PSD2 została stworzona na potrzeby zabezpieczenia i uregulowania usług z zakresu open-bankingu. Celem nowelizacji dotychczasowych przepisów unijnych było ich dostosowanie do zmian wynikających z rozwoju rynku usług płatniczych, w szczególności wynikających z dynamicznego rozwoju technologicznego w obszarze płatności elektronicznych i mobilnych oraz pojawienia się nowych rodzajów usług płatniczych. W uproszczeniu założenia sprowadzają się do umożliwienia dostępu firmom trzecim (TPP) do rachunków bankowych płatnika na trzech poziomach dostępu:

  • AIS – Usługa polegająca wyłącznie na dostępie do informacji o rachunku (Firmy nie wymagają zezwoleń KNF, lecz muszą stosować się do wybranych przepisów o PSD2)
  • CAF – Usługa polegająca wyłącznie na sprawdzeniu  dostępności środków płatniczych (Firmy nie wymagają zezwoleń KNF, lecz muszą stosować się do wybranych przepisów o PSD2)
  • PIS – Usługa polegająca na inicjowaniu przelewów bankowych w imieniu klienta (Firmy wymagają zezwoleń KNF)

Największy niepokój związany z dyrektywą PSD2 budzi potencjalne osłabienie pozycji banków jako instytucji finansowych. Aktywnie rozwijające się banki mogą na tym tylko skorzystać, umożliwiając klientom korzystanie z rozwiązań oferowanych przez TTP mogą rozszerzyć ofertę i zbudować sobie markę nowoczesnego banku opartego na zasadach open-bankingu. TPP dostarczają rozwiązań tylko krótkoterminowych, natomiast banki zachowają swoich klientów świadcząc usługi długoterminowe z dostępem dla TPP.

Wymagania techniczne (RTS) wydane do dyrektywy PSD2 mają za zadanie odpowiednie przygotowanie środowiska dla bezpieczeństwa transakcji (banki miały obowiązek w okresie przejściowym uruchomić środowisko testowe dla TPP na okres minimum 6 miesięcy).

Odpowiedzialność za nieuprawniony dostęp do rachunku, lub nieautoryzowaną transakcję płatniczą przejmuje po części TPP, jak i dostawca usług płatniczych. Odpowiedzialność klienta ogranicza się  do wysokości 50 euro za nieautoryzowane transakcje.

W celu zwiększenia bezpieczeństwa transakcji PSD2 wprowadziła silne uwierzytelnianie SCA składające się z trzech elementów:

  • Wiedza – coś, co wie użytkownik (np. pin, hasło itp.)
  • Posiadanie – coś, co użytkownik posiada (np. karta, telefon itp.)
  • Cecha – coś czym jest użytkownik (np. cechy biometryczne)

Dodatkowym zabezpieczeniem jest dostosowanie dostępu przez TPP do procedur RODO.

Aby całkowicie wyeliminować niebezpieczeństwo nieuprawnionego dostępu KNF zakazał dostępu do usług SCREEN SRAPINGU, polegającej na pobieraniu od użytkowników danych do logowania stosowanych powszechnie przez instytucje parabankowe udzielające krótkoterminowych pożyczek.
Kolejnym z zabezpieczeń chroniącym przed nieautoryzowanym dostępem jest stworzony bezpieczny
i jednolity dla wszystkich instytucji standard komunikacji pomiędzy aplikacjami bankowymi i TPP zwany Polish API.

Dla banków istotna jest możliwość zwolnienia z opcji fallback, aby taką możliwość uzyskać, należy spełnić 4 warunki:

  1. musi być dostosowany do wymogów podstawowych Rozporządzenia 2018/389;
  2. został opracowany i przetestowany przez TPP;
  3. jest dostępny od co najmniej trzech miesięcy i jest powszechnie stosowany przez TPP;
  4. wszelkie problemy związane z dostępem do interfejsu rozwiązano bez zbędnej zwłoki.

Spełnienie warunków deklarowane jest na specjalnie opracowanym wniosku.

Aby złożyć wniosek do KNF, bank powinien:

  • Finalizowć środowisko testowego i dokumentację testową.
  • Opracować wstępne opisy i uzasadnienia dla przyjętych lub planowanych procesów w ramach API.
  • Przeprowadzić audyt zgodności API z obowiązującymi przepisami.
  • Przygotować raporty kwartalne ze stress-testów (dobranie odpowiednich KPI)

Po złożeniu kompletnego wniosku, KNF po konsultacji z EBA może wydać zwolnienie po upływie jednego miesiąca od konsultacji, jeżeli nie zostały zgłoszone żadne zastrzeżenia.

Aby poznać szczegółowy zakres audytu prosimy o kontakt: Stanisław Czapnik sczapnik@ntg.pl tel: 503 141 093