Dyrektywa o usługach płatniczych (PSD2 - Payment Service Directive) to nowe przepisy, które mają uwzględnić rozwój technologii oraz nowych usług płatniczych. Jej głównymi celami są:

- stworzenie jednolitego rynku płatności w UE

- zwiększenie bezpieczeństwa transakcji i finansów konsumentów

- możliwości korzystania z tzw. otwartej bankowości

W Polsce przepisy tej dyrektywy wejdą w życie 14 września 2019 i oznaczają zmiany w korzystaniu z usług banków.

Silne uwierzytelnianie - dwuetapowa weryfikacja w bankach

Nowe przepisy nakazały bankom wprowadzić tzw. silne uwierzytelnianie. Oznacza to wprowadzenie dwuetapowego procesu weryfikacji tożsamości klienta banku. Już nie zalogujemy tylko za pomocą loginu i hasła, ale pojawi się potwierdzanie za pomocą SMS-a lub poprzez aplikację.

Rozwiązanie to będzie różnie wyglądało w poszczególnych bankach i nie za każdym razem będziemy musieli przy logowaniu się na konto potwierdzać swoją tożsamość za pomocą kodu.

Niektóre banki umożliwią nam dodanie komputera, z którego się logujemy do urządzeń zaufanych. Dzięki temu dodatkowe potwierdzanie tożsamości będzie występowało rzadziej - raz na 90 dni. Jednocześnie dodatkowe potwierdzenie będzie wymagane za każdym razem, gdy będziemy sprawdzać historię naszego konta starszą niż 90 dni.

Zmiany w płatnościach kartą od 14 września

Nowe regulacje wprowadzają także zmiany przy płatnościach kartami debetowymi i kredytowymi. Do tej pory płatności zbliżeniowe - czyli bez podawania kodu PIN miały tylko jedno ograniczenie. Dotyczyły kwoty do 50 zł, powyżej te sumy trzeba było podawać czterocyfrowy kod.

Wedle nowych przepisów trzeba będzie wpisać PIN po przeprowadzeniu pięciu transakcji zbliżeniowych poniżej 50 PLN. Potem nasz licznik się zresetuje i znowu będziemy mogli przeprowadzić pięć transakcji bez podania PIN-u.

Pojawią się także inne ograniczenia, jak to, że kwota pojedynczej transakcji zbliżeniowej nie będzie mogła być wyższa niż 50 euro (ok. 213 zł), a suma następujących po sobie transakcji bez podania PIN-u nie będzie mogła przekroczyć kwoty 150 euro (ok. 640 zł).

Wyjątkiem będą automatyczne transakcje w transporcie (np. przy bramce na autostradzie) i strefach parkingowych.

Korzyść dla konsumentów

Dodatkową weryfikację tożsamości, chociaż zmiana ta została wprowadzona z myślą o naszym bezpieczeństwie, niektórzy mogą odbierać jako utrudnienie. Jednak dyrektywa o usługach płatniczych wprowadziła także inne rozwiązania, które zdecydowanie trzeba zaliczyć na plus:

- Zmniejsza się odpowiedzialność klienta za nieautoryzowane transakcje płatnicze, np. po kradzieży karty. Do tej pory odpowiadaliśmy za zakupy do kwoty 150 euro, a teraz będzie to maksymalnie 50 euro.

- reklamacje dotyczące transakcji płatniczych mają być szybciej rozpatrywane. Do tej pory banki miały do 30 dni na udzielenie nam odpowiedzi, ale teraz będą mieć do 15 dni.

Otwarta bankowość 

Dyrektywa wprowadza termin „otwartej bankowości”. To usługi płatnicze oferowane przez tzw. zewnętrznych dostawców usług, czyli np. inne banki lub instytucje płatnicze (po angielsku Third Party Providers, stąd skrót TPP, z którym możemy się spotkać).

Zewnętrzni usługodawcy mogą świadczyć trzy rodzaje usług. Polskie banki operują przy tym angielskimi skrótami, dlatego też do nich się odwołamy:

AIS - Account Information Service - Usługa informacji o koncie. Umożliwia ona zewnętrznej instytucji dostęp do informacji o rachunkach klienta w różnych bankach. Dzięki temu mamy dostęp do do różnych rachunków z jednego miejsca albo np. łatwiejsza będzie ocena zdolności kredytowej podczas składania wniosku.

PIS - Payment Initiation Service - Usługa inicjowania płatności. Za zgodą posiadacza konta zewnętrzna firma będzie mogła realizować płatności z jego rachunku bankowego we wcześniej określonej kwocie. To rozwiązanie, które może odnaleźć zastosowanie przy miesięcznych abonamentach za różne usługi.

CAF - Confirmation of the Availability of Funds - Potwierdzenie dostępności funduszy. Ten rodzaj usługi umożliwia zewnętrznemu dostawcy sprawdzenie, czy na rachunku bankowym masz wystarczającą ilość pieniędzy, by wykonać daną płatność kartą.

Banki przestrzegają klientów, by zanim wyrażą zgodę na zewnętrzne usługi powinni upewnić się, czy dana instytucja ma certyfikat wydawany przez Urząd Komisji Nadzoru Finansowego. Należy też pamiętać, że dostawcy zewnętrznych usług nie będą wymagać od klientów żadnych poufnych informacji w tym danych do logowania.  

KNF ostrzega przed oszustami

Chociaż dyrektywę wprowadzono właśnie po to, by zwiększyć bezpieczeństwo i ochronę pieniędzy konsumentów przed oszustami, to właśnie próbują oni wykorzystać moment, gdy wchodzą nowe przepisy. Przestrzega przed tym sam Urząd Komisji Nadzoru Finansowego.

"Urząd Komisji Nadzoru Finansowego zwraca uwagę, że związana z wdrażaniem nowych rozwiązań konieczność wzmożonych kontaktów ze strony dostawców usług płatniczych ze swoimi klientami może zostać wykorzystana przez przestępców do prób wyłudzenia poufnych informacji, w tym poprzez przeprowadzanie ataków phishingowych, a w konsekwencji do kradzieży tożsamości lub kradzieży środków finansowych" - napisano w komunikacie.

Dalej urząd przestrzega, że podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, w szczególności:

- dane logowania do bankowości elektronicznej;

- kody autoryzacyjne i kody PIN;

- dane osobowe;

lub informowany jest o zablokowanym koncie albo proszony jest o:

- kliknięcie w przesłany mailem lub SMSem link internetowy;

- zmianę hasła lub innych danych do logowania za pomocą przesłanego linku internetowego;

- otworzenie podejrzanego załącznika, uruchomienie lub instalację przesłanej aplikacji;

- wykonanie podejrzanej płatności lub przelewu internetowego.