PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Polska dokonała tego poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku. Stanowi ona, że banki i inne instytucje finansowe miały czas na wdrożenie przepisów właśnie do 14 września 2019 roku. 

Czytaj: Banki lepiej zabezpieczą klientów przed oszustami>>
 

PIN, hasło, linie papilarne

Nowe, tzw. silne uwierzytelnienie klienta polega na minimum dwuelementowym potwierdzaniu tożsamości. Pierwszy etap to np. kod PIN, hasło lub inny element, który jest znany tylko klientowi banku. Drugi etap pomaga zweryfikować tożsamość klienta. To może być np. o jego telefon z kartą SIM, na który można przysłać sms z kodem. Trzecim elementem może być tzw. "cecha klienta", czyli np. odcisk palca czy tęczówka oka lub układ żył.

Rozporządzenie wprowadza konieczność stosowania procedur silnego uwierzytelnienia czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do 3 kategorii:

  • Kategoria „wiedza” - to kod (np. PIN), hasło lub inny element, który jest i powinien być znany tylko klientowi - posiadaczowi danego instrumentu płatniczego lub bankowości internetowej,
  • Kategoria „posiadanie” - to element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej,
  • Kategoria „cecha klienta” - to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest biometria w postaci np. odcisku palca, tęczówki oka czy układu żył.


Stosowanie procedur silnego uwierzytelnienia będzie przy dokonywaniu płatności w terminalach płatniczych (POS), płatnościach za zakupy w internecie (e-commerce, m-commerce) oraz logowaniu i korzystaniu z bankowości internetowej czy mobilne.

Czytaj: Dr Kawecki: Bez telefonu nie zrobimy przelewu po 14 września>>
 

Specjalne zabezpieczenia przy e-zakupach

W przypadku dokonywania elektronicznych płatności za zakupy w internecie (m-commerce, e-commerce kwota pojedynczej transakcji nie może przekroczyć 30 EUR, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 EUR a licznik ilościowy liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych i wynosi 5.  Zakup towaru w sklepie internetowym wymagać będzie dwustopniowego uwierzytelnienia.

Zmiany obejmą też dokonywanie transakcji bezgotówkowych kartami. Banki będą zobowiązane do stosowania tak zwanego silnego uwierzytelnienia klienta przy co szóstej transakcji lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro (równowartość ponad 600 złotych).

W tym obszarze wyjątkiem od tych reguł jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych klientów, co pozwala na zastosowanie nieco innych (wyższych) limitów określonych szczegółowo w Rozporządzeniu.