Dostosowanie do zmian wynikających z rozwoju rynku usług płatniczych, w szczególności wynikających z dynamicznego rozwoju technologicznego w obszarze płatności elektronicznych i mobilnych oraz pojawienia się nowych rodzajów usług płatniczych to główny cel opublikowanej dziś nowej unijnej dyrektywy o usługach płatniczych (PSD II). Postanowienia PSD II wpłyną przede wszystkim na działalność banków, instytucji płatniczych, czy podmiotów oferujących różnego rodzaju karty (sklepowe, paliwowe, itd.).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego przewiduje rozszerzenie zastosowania regulacji zarówno w zakresie terytorialnym, jak i walutowym. Dotyczy to zwłaszcza przejrzystości i wymogów informacyjnych mających zastosowanie do dostawców usług płatniczych oraz przepisów dotyczących praw i obowiązków związanych ze świadczeniem i korzystaniem z usług płatniczych, które w myśl nowych przepisów powinny mieć również – w stosownych przypadkach – zastosowanie do transakcji, w których jeden z dostawców usług płatniczych znajduje się poza terytorium Europejskiego Obszaru Gospodarczego (EOG), aby uniknąć stosowania w poszczególnych państwach członkowskich rozbieżnych podejść ze szkodą dla konsumentów. W stosownych przypadkach zakresem stosowania tych przepisów należy również objąć transakcje we wszystkich walutach urzędowych realizowane między dostawcami usług płatniczych znajdującymi się na terytorium EOG.
PSD II modyfikuje również zakres dotychczasowych wyłączeń spod dyrektywy PSD, w tym między innymi ogranicza wyłączenie transakcji płatniczych realizowanych za pośrednictwem agenta handlowego oraz transakcji płatniczych przeprowadzanych przez dostawcę sieci lub usług łączności elektronicznej.
Kolejną ważną nowością wprowadzoną przez przepisy PSD II jest obowiązek stosowania przez dostawców usług płatniczych mechanizmów tzw. silnego uwierzytelniania użytkownika przy uzyskiwaniu przez użytkownika dostępu on-line do rachunku, inicjacji elektronicznej transakcji płatniczej, czy podejmowaniu innych czynności związanych z ryzykiem nadużyć z wykorzystaniem zdalnego kanału dostępu. Zmodyfikowany zostanie również rozkład odpowiedzialności pomiędzy dostawcą i użytkownikiem za nieautoryzowane transakcje płatnicze, który dodatkowo uzależniony zostanie od tego, czy od użytkownika było wymagane zastosowanie mechanizmów silnego uwierzytelniania.
Dyrektywa przewiduje również zmiany w procesie licencjonowania dostawców usług płatniczych, jak i nakłada na dostawców nowe obowiązki m.in. z zakresu zarządzania ryzykiem operacyjnym (w tym ryzykiem wystąpienia incydentów). Dodatkowo dyrektywa przewiduje wzmocnienie roli Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawowaniu nadzoru nad dostawcami usług płatniczych, który będzie m.in. odpowiedzialny za opracowywanie kierowanych do dostawców wytycznych (standardów technicznych). Ponadto, planowany jest znaczny wzrost uprawnień nadzorczych właściwych organów państw członkowskich w odniesieniu do działalności prowadzonej w formie tzw. paszportowania.
Jedną z najważniejszych zmian przewidzianych przez nowe przepisy jest objęcie regulacją dyrektywy tzw. usług inicjacji płatności (PIS) i usług dostępu do rachunku (AIS), a w konsekwencji objęcie nadzorem podmiotu świadczącego te usługi, czyli dostawcę usług płatniczych będącego osobą trzecią (TPP). Dyrektywa przewiduje szereg mechanizmów i wymogów prawnych mających na celu zapewnienie zarówno możliwości swobodnego korzystania z PIS i AIS, jak i odpowiedniego poziomu ochrony użytkowników tych usług.
W wyniku wprowadzenia postanowień nowej regulacji podmioty prowadzące rachunki płatnicze z dostępem on-line będą miały obowiązek zapewnienia kanału bezpiecznej komunikacji, który będzie mógł być wykorzystywany przez TPP do inicjowania płatności lub pobierania informacji z rachunku. Co więcej, na dostawcach prowadzących rachunki spoczywać będzie wymóg traktowania zleceń płatniczych złożonych za pośrednictwem TPP w sposób niedyskryminujący. Z kolei TPP inicjujący płatności lub pobierający dane z rachunku będą musieli uwierzytelnić się względem dostawcy prowadzącego rachunek. W przypadku wystąpienia nieautoryzowanej transakcji płatniczej zobowiązanie do zwrotu kwoty tej transakcji będzie obciążało dostawcę prowadzącego rachunek, także w przypadku, gdy płatność została zlecona za pośrednictwem TPP. Dostawca ten będzie mógł jednak domagać się stosownej kompensaty od TPP odpowiedzialnego za nieautoryzowaną transakcję.
Kraje UE będą miały czas na dostosowanie swoich porządków prawnych do nowej dyrektywy do 13 stycznia 2018 r. Z tą też datą przestanie obowiązywać dotychczasowa regulacja - dyrektywa 2007/64.
W artykule wykorzystano materiały ze szkolenia "PSD II + TPP" dostępne na witrynie http://www.eufintrack.pl/tpp/