Koniec z rozbieżnościami

Nowe rozporządzenie zmienia brzmienie art. 10 RTS, w którym określono zasady dostępu do informacji o rachunku płatniczym bezpośrednio u dostawcy usług płatniczych prowadzącego rachunek.

Publikacja: 05.06.2023 21:00

Maciej Raczyński radca prawny, partner zarządzający Raczyński Skalski & Partners Radcowie Prawni Adw

Maciej Raczyński radca prawny, partner zarządzający Raczyński Skalski & Partners Radcowie Prawni Adwokaci sp.p.

Foto: fot. monika olszewska

Tomasz Przybytniewski adwokat, Raczyński Skalski & Partners Radcowie Prawni Adwokaci sp.p.

Tomasz Przybytniewski adwokat, Raczyński Skalski & Partners Radcowie Prawni Adwokaci sp.p.

fot. mat. prasowe

Od 25 lipca zacznie obowiązywać rozporządzenie zmieniające rozporządzenie delegowane Komisji (UE) 2022/2360 z 3 sierpnia 2022 r. zmieniające regulacyjne standardy techniczne określone w rozporządzeniu delegowanym (UE) 2018/389 w odniesieniu do obejmującego okres 90 dni wyłączenia dotyczącego dostępu do rachunku („RTS”). Jak wskazywała Komisja Europejska oraz Europejski Urząd Nadzoru Bankowego stosowanie tego wyłączenia doprowadziło do bardzo rozbieżnych praktyk, jeżeli chodzi o stosowanie rozporządzenia delegowanego (UE) 2018/389, ponieważ niektórzy dostawcy usług płatniczych prowadzący rachunek żądają silnego uwierzytelnienia co 90 dni, inni żądają go w krótszych odstępach, a niektórzy nie stosują wyłączenia w ogóle i żądają silnego uwierzytelnienia („SCA”) przy każdym dostępie do rachunku. Rozbieżność ta prowadzi do niepożądanych utrudnień dla klientów przy korzystaniu z usług dostępu do informacji o rachunku i ma negatywny wpływ na usługi dostawców świadczących tę usługę.

Doświadczenie zdobyte w pierwszych latach stosowania RTS pokazało – jak wskazuje Europejski Urząd Nadzoru Bankowego – że w odniesieniu do tego konkretnego wyłączenia, dobrowolny charakter wyłączenia doprowadził do bardzo rozbieżnych praktyk w jego stosowaniu. Część dostawców usług płatniczych zapewniających rachunek płatniczy dla płatnika żądała SCA co 90 dni, inne w krótszych odstępach, podczas gdy pozostała część ASPSP w ogóle nie stosowała wyłączenia i żądała SCA przy każdym dostępie do rachunku. Niespójne stosowanie wyłączenia oraz częste stosowanie SCA doprowadziło do niepożądanych trudności i negatywnego wpływu na usługi AISP. Miało to miejsce szczególnie w przypadku, gdy klient korzystał z usług AISP w celu agregacji wielu rachunków prowadzonych przez różnych dostawców usług i musiał przeprowadzać wiele operacji SCA, po jednej u każdego dostawcy usług w różnych momentach, aby móc nadal korzystać z usług AISP. Dodatkowe problemy generowało pozyskiwanie tego typu informacji w tle np. na potrzeby usług księgowych i rachunkowych.

Rozporządzenie zmienia brzmienie art. 10 RTS, w którym określono zasady dostępu do informacji o rachunku płatniczym bezpośrednio u dostawcy usług płatniczych prowadzącego rachunek. W świetle brzmienia przedmiotowego przepisu dostawcy usług płatniczych (PSP) mogą nie stosować SCA, w przypadku gdy dostęp użytkownika ogranicza się wyłącznie do dostępu (w trybie online) do salda jednego lub większej liczby wyznaczonych rachunków płatniczych lub historii transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem rachunku płatniczego. PSP nie podlegają natomiast wyłączeniu z obowiązku stosowania SCA, jeżeli użytkownik uzyskuje dostęp do salda lub historii transakcji po raz pierwszy lub gdy minie więcej niż 90 dni, odkąd użytkownik po raz ostatni uzyskał dostęp do ww. informacji oraz odkąd ostatni raz zastosowano SCA. Okres, po którym PSP obligatoryjnie będzie zmuszony do zastosowania SCA, wydłuży się do 180 dni, co naturalnie powinno poprawić jakość dostępu oraz user experience.

Podobne przepisy wprowadza również art. 10a RTS, który jednak dla użytkowników usługi dostępu do informacji o rachunku płatniczym świadczonych przez dostawców tzw. AISP wprowadza obligatoryjne zwolnienie dostawców usług płatniczych ze stosowania silnego uwierzytelnienia. Wynika to z sygnałów, które napływały do Europejskiego Urzędu Nadzoru Bankowego o negatywnej ocenie doświadczeń klientów z ponownym wywoływaniem silnego uwierzytelnienia klienta na etapie pozyskiwania danych z usługi. Zgodnie z założeniami zasadą ma być brak silnego uwierzytelnienia w przypadkach określonych w tym przepisie. Natomiast odstępstwem od tej reguły może być wyłącznie sytuacja, w której użytkownik usług płatniczych uzyskuje dostęp do informacji w trybie online po raz pierwszy za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku lub minęło więcej niż 180 dni, odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.

Wprowadzenie obligatoryjnego zwolnienia ze stosowania SCA dla AISP oraz wyliczenie dwóch sytuacji, w których SCA może zostać wywołane na etapie uwierzytelniania, zostało ponadto uzupełnione uniwersalnym uprawnieniem dostawców usług płatniczych do zastosowania silnego uwierzytelnienia ad hoc, pod warunkiem że użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku, a dostawca usług płatniczych ma obiektywnie uzasadnione i należycie udokumentowane powody związane z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego. W takim przypadku dostawca usług płatniczych dokumentuje i należycie uzasadnia swojemu właściwemu organowi krajowemu, na żądanie, powody zastosowania silnego uwierzytelniania klienta. Ponadto dostawcy usług płatniczych oferujący specjalny interfejs (API) nie będą zobowiązani do stosowania wyłączenia, jeśli nie stosują wyłączenia w ramach bezpośredniego interfejsu stosowanego na potrzeby uwierzytelniania swoich użytkowników usług płatniczych i komunikacji z tymi użytkownikami do celów mechanizmu awaryjnego.

Powyższe zmiany powinny przede wszystkim prowadzić do zmniejszenia uciążliwości dla użytkowników podczas przesyłania danych między PISP/AISP a ASPSP. Proponowane zmiany zapewniają dobrą równowagę między doświadczeniem użytkownika a wysokim poziomem bezpieczeństwa. Uciążliwy charakter częstego ponownego uwierzytelniania oraz różne podejście ASPSP powodowały trudności z optymalizacją modelu biznesowego dla klientów, co prowadziło niekiedy do porzucenia usług AISP przez klientów. Usługodawcy AIS argumentowali również, że stwarzało to możliwość do zmniejszenia atrakcyjności innowacyjnych konkurentów (na rzecz największych podmiotów oferujących rachunki) i podważało oczywiste cele dyrektywy PSD2 służące budowaniu tzw. otwartej bankowości. Zgodnie z nowymi przepisami, jeśli stosowanie SCA nie było obligatoryjne, a dostawca wymusił uwierzytelnienie, w tym trybie będzie zobowiązany wskazać związek między wymuszeniem SCA a możliwością wystąpienia dostępu nieautoryzowanego przed organem nadzoru.

Wyżej wymienione zmiany w zakresie stosowania SCA wiążą się z obowiązkiem udostępnienia przez PSP na rzecz TPP (tj. dostawca usług PIS oraz AIS) zmian wprowadzonych do dokumentacji technicznej interfejsu dostępowego nie później niż na dwa miesiące przed wdrożeniem tych zmian, a zatem obowiązująca dokumentacja powinna być już zaktualizowana o najnowszą regulacje RTS.

Felietony
Fundamenty sprzyjają niższym rentownościom
Materiał Promocyjny
Pieniądze od banku za wyrobienie karty kredytowej
Felietony
Nowe spółki a nowe emisje
Felietony
Pułapka samozadowolenia
Felietony
Nowe obowiązki i nowe wątki w transakcjach M&A
Materiał Promocyjny
Sieć T-Mobile Polska nagrodzona przez użytkowników w prestiżowym rankingu
Felietony
Porozmawiaj ze mną, a powiem ci, kim jesteś
Felietony
Nowe rozdanie na parkietach?