Spolka nalezaca do EVO Payments International

Najważniejsze fakty i pojęcia

Co to jest PSD2?

To skrót nazwy „Payment Services Directive 2”. Odnosi się ona do uchwalonej w listopadzie 2015 r., Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, w sprawie usług płatniczych w ramach rynku wewnętrznego. To już drugi tego rodzaju dokument, który jest rozszerzeniem i zastąpieniem dotychczas obowiązującej (od 2007 r.), dyrektywy 2007/64/WE – czyli tzw. PSD1. Nowa dyrektywa jest odpowiedzią na szybkie zmiany zachodzące na rynku  usług płatniczych wynikające ze stosowania nowoczesnych technologii i usług, wobec których obowiązujące wcześniej regulacje przestały być wystarczające. Wszystkie kraje członkowskie UE, w tym Polska otrzymały dwa lata na dostosowanie się do przepisów nowej dyrektywy. Regulacje wynikające z PSD2 zostały wprowadzone do polskiego porządku prawnego nowelizacją ustawy o usługach płatniczych z dnia 5 czerwca 2018 r.

Czemu służy wprowadzenie PSD2?

Głównymi celami jest:

     

  • Zapewnienie jeszcze większego bezpieczeństwa transakcji m.in. poprzez wprowadzenie obowiązku stosowania mechanizmów tzw. SCA (Strong Customer Autentication), czyli silnego uwierzytelnienia klienta;
  • Zwiększenie stopnia ochrony konsumentów przez zwiększenie odpowiedzialności podmiotów udostępniających usługi za nieautoryzowane transakcje oraz uregulowanie nowych usług płatniczych i objęcie ich nadzorem;
  • Stworzenie międzynarodowych standardów transakcji płatniczych i ujednolicenie rynku płatności w UE;
  • Wprowadzenie nowych kategorii usługodawców mogących świadczyć usługi dodatkowe, wymagające zgody na dostęp do informacji o rachunku Klienta – tzw. TPP (eng. Third Party Providers).
  •  

Co wprowadza dyrektywa PSD2?

Dyrektywa wprowadza szereg nowych zasad oraz obowiązków ciążących na wszystkich instytucjach finansowych, które przetwarzają płatności, a także na podmiotach przyjmujących płatności na terenie Europejskiego Obszaru Gospodarczego. Wśród głównych zmian i nowych rozwiązań wprowadzanych przez dyrektywę, na Państwa szczególną uwagę zasługują:

     

  • Zakaz pobierania dodatkowych opłat/prowizji za płatność dokonywaną konsumencką kartą płatniczą (nadal dozwolone będzie pobieranie surcharge za użycie kart biznesowych).
  • Wprowadzenie SCA – silne uwierzytelnienie klienta stosowanego do autoryzacji płatności kartą na terminalach oraz płatności w internecie i aplikacjach mobilnych.
  •  

Czym jest SCA?

SCA – Strong Customer Authentication (ang.), czyli Silne Uwierzytelnianie Klienta to termin, który pojawił się stosunkowo niedawno i jest jednym z elementów dyrektywy PSD2. W uproszczeniu można powiedzieć, że jest to uwierzytelnienie transakcji płatniczej, które składa się z co najmniej dwóch elementów należących do kategorii:

     

  • Wiedza – do autoryzacji trzeba podać informację, którą zna wyłącznie użytkownik – np. kod PIN;
  • Posiadanie – do autoryzacji trzeba mieć coś, co posiadać może wyłącznie użytkownik – np. karta lub telefon;
  • Tożsamość – autoryzacja może wymagać potwierdzenia cech charakterystycznych wyłącznie dla posiadacza karty – odcisk palca, rysy twarzy, głos (rozwiązania biometryczne).
  •  

 

To sprawia, że dla potwierdzenia niektórych transakcji konieczne będzie np. użycie karty lub smartfona oraz podanie kodu PIN albo  użycie karty lub smartfona oraz podanie kodu potwierdzającego przesłanego SMS-em.

Podobne zasady będą dotyczyły transakcji płatniczych realizowanych przy zakupach przez internet lub aplikacje mobilne, czyli bez fizycznej obecności karty lub jej innego nośnika. W ich przypadku konieczne będzie autoryzowanie transakcji za pomocą rozwiązań 3-D Secure.

Czym jest 3-D Secure i skąd je wziąć?

3-D Secure to zwiększająca bezpieczeństwo metoda autoryzowania transakcji przeprowadzanych bez fizycznego użycia karty (tj. przy użyciu tylko jej danych – numeru, imienia i nazwiska użytkownika, terminu ważności i kodu CVV znajdującego się na odwrocie karty). Rozwiązania 3-D Secure udostępniają m.in. największe organizacje płatnicze ­­– Visa, MasterCard, American Express oraz JCB.

Zabezpieczenie transakcji 3-D Secure polega na identyfikacji i potwierdzeniu uprawnień posiadacza karty. Odbywa się najczęściej przy użyciu jednorazowego hasła wygenerowanego za pomocą tokena lub przesłanego SMS-em na numer telefonu przypisany do konta posiadacza karty. Eliminacja w ten sposób ryzyka nieuprawnionego użycia karty sprawia, że odpowiedzialność za transakcje dokonane przy użyciu 3-D Secure ponosi w całości właściciel karty.

Wymagania dotyczące autoryzacji transakcji z 3D Secure:

     

  • Transakcje muszą być uwierzytelnione z wykorzystaniem przynajmniej dwóch z trzech wymienionych wyżej elementów.
  • Elementy muszą być od siebie niezależne i należeć do różnych kategorii np. utrata telefonu nie oznacza automatycznie kompromitacji hasła.
  • Przy płatnościach zdalnych uwierzytelnienie musi być przypisane do konkretnej kwoty i odbiorcy – tzw. Dynamic Linking.
  •  

Klienci korzystający z bramki do płatności eCommerce w eService mają zapewniona obsługę 3-D Secure w ramach usługi.

Jakie ryzyko niesie brak dostosowania się do wymagań PSD2/SCA?

Niespełnienie wymogów wynikających z nowych regulacji niesie ze sobą szereg konsekwencji. Wśród nich szczególne znaczenie mają:

     

  • Brak możliwości przyjmowania płatności bezgotówkowych od klientów;
  • Brak możliwości sprzedaży towarów i usług drogą elektroniczną (internet, aplikacje) – spadek przychodów, niemożliwość wykonania planu sprzedaży;
  • Niezadowolenie i utrata klientów niemogących robić zakupów i zamawiać usług;
  • Utrata wizerunku dobrze zorganizowanej, sprawnie działającej firmy;
  • Kary finansowe nakładane przez organizacje płatnicze w razie naruszenia obowiązków nakładanych przez PSD2.
  •