Rafał Bujalski: Grudzień ubiegłego roku przyniósł istotne zmiany w regulacji unijnego rynku usług płatniczych w związku z uchwaleniem nowej dyrektywy w tej materii. Które ze zmian ocenia Pan jako najbardziej istotne i dlaczego?
Dr Jan Byrski: Tytułem wstępu należy wskazać, że dyrektywa PSD II (nr 2015/2336 - przyp. red.) wprawdzie obowiązuje, niemniej termin jej implementacji w ustawodawstwach krajowych mija 13 stycznia 2018 r. Powinnyśmy zatem mówić o zmianach, które dopiero nastąpią, ale już teraz trzeba zacząć się do nich przygotować.
Jedną z najdonioślejszych zmian jest objęcie dyrektywą PSD II nowych usług. Dyrektywa PSD II wprowadziła bowiem wprost dwie nowe kategorie usług płatniczych, tj. PIS (usługa inicjowania płatności) i AIS (usługa dostępu do informacji o rachunku). W ślad za tą zmianą dyrektywa PSD II ustanowiła nową kategorię dostawcy usług płatniczych - TPP – third party payment service provider – tzw. osoba trzecia dla relacji płatnik-dostawca usług płatniczych prowadzący rachunek.
Fakt objęcia tych usług reżimem dyrektywy PSD II wynika z postępu technologicznego, który doprowadził do pojawienia się w ostatnich latach wielu usług uzupełniających, takich właśnie jak np. usługi dostępu do informacji o rachunku. Usługi te zapewniają użytkownikowi zagregowane informacje online o rachunku płatniczym (-ych) posiadanych u dostawcy (-ów) usług płatniczych, które to informacje udostępniane są w Internecie. Usługi inicjowania płatności pozwalają z kolei odbiorcy uzyskać pewność ze strony dostawcy świadczącego usługę inicjowania płatności co do tego, że płatność została zainicjowana, wiążą się jednak z przekazaniem odpowiednich chronionych informacji do takiego dostawcy. Usługi te w świetle prawa unijnego nie podlegały do tej pory nadzorowi właściwych organów krajowych. Prawodawca unijny wyszedł zaś z założenia, że z jednej strony, wyraźnie należy dopuścić świadczenie takich usług, z drugiej strony, podmioty je świadczące powinny podlegać nadzorowi. To pierwsza istotna zmiana.
Druga...?
Kolejną ważną zmianą jest to, że pod dyrektywę PSD II będą podlegały nie tylko - jak do tej pory - transakcje płatnicze, w przypadku których dostawca usług płatniczych odbiorcy oraz dostawca usług płatniczych płatnika działają na terytorium UE - wystarczające będzie, aby tylko jeden z nich prowadził w UE swoją działalność. Zrezygnowano więc w niektórych przypadkach z zasady tzw. two legs - wystarczające będzie więc, aby jedna "noga" transakcji płatniczej znajdowała się w UE. Zasada one leg obowiązywać będzie w szczególności w odniesieniu do wymogów informacyjnych przewidzianych w dyrektywie PSD II. To druga, moim zdaniem, istotna zmiana.
Kolejna zmiana to ...?
Istotną zmianą jest również wprowadzenie wymogów silnego uwierzytelnienia. Dyrektywa PSD II stanowi, że należy zastosować co najmniej dwie kategorie uwierzytelniające spośród kategorii: wiedza, posiadanie i cechy klienta (np. hasło + kod generowany przez token, hasło + odcisk palca klienta).
Wreszcie the last but not the least dyrektywa przewiduje również obowiązek dostawców usług płatniczych powiadamiania organów nadzoru o incydentach bezpieczeństwa, np. incydentach zagrażających bezpieczeństwu środków finansowych klienta. Do tej pory taki obowiązek nie ciążył na dostawcy usług płatniczych, a wynikał jedynie z tzw. soft law.
Na działalność jakich podmiotów wpłynie nowa regulacja? Rozumiem, że nie tylko banków?
Zmiany, jakie przewiduje Dyrektywa PSD II wpływać będą na wszystkich dostawców usług płatniczych. Skutki zmian odczują więc nie tylko banki, ale i inni dostawcy usług płatniczych jak np. krajowe instytucje płatnicze, biura usług płatniczych oraz SKOKi.
Zmiany odczują również podmioty świadczące obecnie lub zamierzające świadczyć usługi PIS i AIS - po implementacji przepisów dyrektywy PSD II wykonywanie działalności w tym zakresie będzie wymagało podjęcia działań wobec KNF czyli uzyskania zezwolenia lub rejestracji. Również zawieranie umów z klientami na świadczenie tego rodzaju usług będzie wiązało się z koniecznością spełnienia wymagań przewidzianych w dyrektywie PSD II, w tym wymagań informacyjnych względem klientów.
Z kolei zmiany dotyczące silnego uwierzytelniania wpłyną nie tylko na dostawców usług płatniczych, ale i dostawców usług technicznych dostarczających systemy informatyczne wspomagające proces uwierzytelniania. Systemy te będą musiały spełniać wymagania dyrektywy PSD II dotyczące silnego uwierzytelniania, np. poprzez wdrożenie funkcjonalności uwierzytelniania za pomocą cech biometrycznych klienta, obok mechanizmu wprowadzania hasła/kodu pin. Szczegółowe wymagania techniczne z tym związane ma określić Europejski Urząd Nadzoru Bankowego (ang. EBA) w postaci tzw. regulacyjnych standardów technicznych (ang. RTS).
W tym samym dzienniku UE opublikowano oprócz omawianej dyrektywy również rozporządzenie w sprawie przejrzystości transakcji finansowanych z użyciem papierów wartościowych i ponownego wykorzystania. Z kolei pół roku wcześniej uchwalone zostało inne rozporządzenie w sprawie opłat interchange, do którego zresztą wraz z innymi Autorami opracował Pan komentarz, dostępny w programie LEX Prawo Europejskie. Czy wszystkie te akty łączy coś poza zbliżonym czasem ich uchwalenia?
Wszystkie trzy akty prawne dotyczą szeroko pojętego rynku finansowego. Dyrektywa PSD II oraz Rozporządzenie w sprawie opłat interchange (IF Reg) to akty prawne, które regulują materię związaną z transakcjami płatniczymi. Akty te się wzajemnie uzupełniają i operują zbliżoną siatką pojęć. Inny jest jednak zakres tych aktów prawnych. IF Reg reguluje wyłącznie zagadnienia dotyczące transakcji płatniczych opartych na karcie, podczas gdy Dyrektywa PSD II reguluje całość wymogów związanych ze świadczeniem wszystkich usług płatniczych, nie tylko tych, które wiążą się z płatnością kartą płatniczą. Dyrektywa PSD II, podobnie jak Dyrektywa PSD I, przewiduje wymogi związane z rozpoczęciem działalności w charakterze dostawcy usług płatniczych (w tym wymogi związane z uzyskaniem niezbędnych zezwoleń w UE, tzw. jednolitym paszportem). IF Reg wprowadza natomiast szczególne regulacje dotyczące przeważnie treści umów uczestników rynku kartowego oraz opłat pobieranych od akceptantów (sklepów) w związku z przyjmowaniem transakcji płatniczych kartą płatniczą.
Rozporządzenie dotyczące przejrzystości transakcji finansowanych z użyciem papierów wartościowych i ponownego wykorzystania reguluje zupełnie inną materię niż Dyrektywa PSD II oraz IF Reg. Wprowadza ono szczególne obowiązki, głównie ze strony banków oraz pośredników finansowych, związane z przejrzystością transakcji finansowych z użyciem papierów wartościowych. Rozporządzenie to uzupełnia więc regulacje prawa bankowego oraz przepisy o obrocie instrumentami finansowymi.
Do czasu wprowadzenia w życie nowej dyrektywy w Polsce, co nastąpić powinno do 13 stycznia 2018 r., nadal obowiązują w naszym kraju zapisy dotychczasowej dyrektywy z 2007 roku. Polska miała w przeszłości pewne trudności z implementacją dyrektywy z 2007 roku. W 2010 roku do Trybunału Sprawiedliwości trafiła nawet skarga na nasz kraj. Czy obecny stan prawa polskiego w tej materii jest już zgodny z wymogami unijnymi?
Polska, podobnie jak inne państwa członkowskie UE, ma czas na dostosowanie obowiązujących regulacji do przepisów dyrektywy PSD II do 13 stycznia 2018 r. Z uwagi na to, że dyrektywa PSD II przewiduje znaczące zmiany prace legislacyjne nad implementacją jej przepisów powinny się rozpocząć jak najszybciej. Cała ustawa o usługach płatniczych będzie wymagała przeglądu pod kątem zgodności z nowymi przepisami. Duża część przepisów będzie wymagała nowelizacji. Wskazane jest rozpoczęcie prac już teraz, aby nie było tak jak w przypadku terminu implementacji Dyrektywy PSD I, który znacznie przekroczyliśmy i byliśmy jednym z ostatnich państw UE wdrażającym jej postanowienia do prawa krajowego.
Dziękuję za rozmowę.
Jeśli jesteś zainteresowany zagadnieniami z zakresu prawa europejskiego, czytaj nasze wywiady z ekspertami dotyczące tej tematyki >>>