Tomasz Przybytniewski adwokat, Raczyński Skalski & Partners Radcowie Prawni Adwokaci sp.p.
Od 25 lipca zacznie obowiązywać rozporządzenie zmieniające rozporządzenie delegowane Komisji (UE) 2022/2360 z 3 sierpnia 2022 r. zmieniające regulacyjne standardy techniczne określone w rozporządzeniu delegowanym (UE) 2018/389 w odniesieniu do obejmującego okres 90 dni wyłączenia dotyczącego dostępu do rachunku („RTS”). Jak wskazywała Komisja Europejska oraz Europejski Urząd Nadzoru Bankowego stosowanie tego wyłączenia doprowadziło do bardzo rozbieżnych praktyk, jeżeli chodzi o stosowanie rozporządzenia delegowanego (UE) 2018/389, ponieważ niektórzy dostawcy usług płatniczych prowadzący rachunek żądają silnego uwierzytelnienia co 90 dni, inni żądają go w krótszych odstępach, a niektórzy nie stosują wyłączenia w ogóle i żądają silnego uwierzytelnienia („SCA”) przy każdym dostępie do rachunku. Rozbieżność ta prowadzi do niepożądanych utrudnień dla klientów przy korzystaniu z usług dostępu do informacji o rachunku i ma negatywny wpływ na usługi dostawców świadczących tę usługę.
Doświadczenie zdobyte w pierwszych latach stosowania RTS pokazało – jak wskazuje Europejski Urząd Nadzoru Bankowego – że w odniesieniu do tego konkretnego wyłączenia, dobrowolny charakter wyłączenia doprowadził do bardzo rozbieżnych praktyk w jego stosowaniu. Część dostawców usług płatniczych zapewniających rachunek płatniczy dla płatnika żądała SCA co 90 dni, inne w krótszych odstępach, podczas gdy pozostała część ASPSP w ogóle nie stosowała wyłączenia i żądała SCA przy każdym dostępie do rachunku. Niespójne stosowanie wyłączenia oraz częste stosowanie SCA doprowadziło do niepożądanych trudności i negatywnego wpływu na usługi AISP. Miało to miejsce szczególnie w przypadku, gdy klient korzystał z usług AISP w celu agregacji wielu rachunków prowadzonych przez różnych dostawców usług i musiał przeprowadzać wiele operacji SCA, po jednej u każdego dostawcy usług w różnych momentach, aby móc nadal korzystać z usług AISP. Dodatkowe problemy generowało pozyskiwanie tego typu informacji w tle np. na potrzeby usług księgowych i rachunkowych.
Rozporządzenie zmienia brzmienie art. 10 RTS, w którym określono zasady dostępu do informacji o rachunku płatniczym bezpośrednio u dostawcy usług płatniczych prowadzącego rachunek. W świetle brzmienia przedmiotowego przepisu dostawcy usług płatniczych (PSP) mogą nie stosować SCA, w przypadku gdy dostęp użytkownika ogranicza się wyłącznie do dostępu (w trybie online) do salda jednego lub większej liczby wyznaczonych rachunków płatniczych lub historii transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem rachunku płatniczego. PSP nie podlegają natomiast wyłączeniu z obowiązku stosowania SCA, jeżeli użytkownik uzyskuje dostęp do salda lub historii transakcji po raz pierwszy lub gdy minie więcej niż 90 dni, odkąd użytkownik po raz ostatni uzyskał dostęp do ww. informacji oraz odkąd ostatni raz zastosowano SCA. Okres, po którym PSP obligatoryjnie będzie zmuszony do zastosowania SCA, wydłuży się do 180 dni, co naturalnie powinno poprawić jakość dostępu oraz user experience.
Podobne przepisy wprowadza również art. 10a RTS, który jednak dla użytkowników usługi dostępu do informacji o rachunku płatniczym świadczonych przez dostawców tzw. AISP wprowadza obligatoryjne zwolnienie dostawców usług płatniczych ze stosowania silnego uwierzytelnienia. Wynika to z sygnałów, które napływały do Europejskiego Urzędu Nadzoru Bankowego o negatywnej ocenie doświadczeń klientów z ponownym wywoływaniem silnego uwierzytelnienia klienta na etapie pozyskiwania danych z usługi. Zgodnie z założeniami zasadą ma być brak silnego uwierzytelnienia w przypadkach określonych w tym przepisie. Natomiast odstępstwem od tej reguły może być wyłącznie sytuacja, w której użytkownik usług płatniczych uzyskuje dostęp do informacji w trybie online po raz pierwszy za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku lub minęło więcej niż 180 dni, odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.