Usługi typu XS2A

Regulacje dotyczące usług opartych na dostępie do rachunku (znane również pod anglojęzycznym skrótowcem XS2A – czyli Access 2 Account) to chyba najsłynniejsza i najbardziej wyczekiwana część PSD2, a co za tym idzie, również nowelizacji ustawy o usługach płatniczych. Dyrektywa wprowadza dwie nowe usługi płatnicze, które do tej pory co prawda funkcjonowały na rynku, jednak przed wejściem w życie PSD2 nie były regulowane. Pierwsza z nich to tzw. usługa dostępu do informacji o rachunku (AIS – Account Information Services), druga to usługa inicjowania transakcji płatniczej (PIS – Payment Initiation Services). Dostawca, który je świadczy, nie wchodzi w posiadanie środków płatniczych dla użytkownika i jest tzw. stroną trzecią, third-party provider (TPP). Następstwem uznania tych usług za usługi płatnicze jest m.in. konieczność wdrożenia przez dostawców rachunków płatniczych (głównie będą to banki) odpowiednich protokołów komunikacyjnych, tzw. API, pozwalających stronie trzeciej, czyliTPP, na świadczenie usług typu XS2A.

Usługi AIS i PIS

Do tej pory usługi płatnicze wiązały się z transferem lub przynajmniej przechowywaniem środków płatniczych przez dostawcę tych usług. Dyrektywa PSD2 wprowadza jednak nowy typ usługi płatniczej, w ramach której dostawca nie tylko nie wchodzi w posiadanie środków, ale też nie zleca ich żadnego transferu. Jest to usługa polegająca wyłącznie na uzyskaniu dostępu do informacji o rachunku płatniczym, w tym przechowywanych tam środkach oraz historii wykonanych transakcji płatniczych. Usługi te – znane szerzej na rynku jako AIS – mogą znaleźć praktyczne zastosowanie m.in. w obszarach związanych z oceną zdolności kredytowej czy zarządzania wieloma rachunkami prowadzonymi przez różne podmioty.

Wraz z wdrożeniem w polskim systemie prawnym usług dostępu do informacji o rachunku pojawi się nowy rodzaj dostawcy usług płatniczych – będzie to dostawca świadczący wyłącznie usługi dostępu do rachunku.

Również w przypadku usług polegających na inicjowaniu transakcji płatniczych dostawca nie wchodzi w posiadanie środków, jednakże w tym przypadku zleca ich transfer. Oznacza to, że podmiot trzeci poprzez dostęp do rachunku prowadzonego przez innego dostawcę będzie miał możliwość zlecenia w imieniu posiadacza tego rachunku dowolnej transakcji płatniczej, którą mógłby zlecić bezpośrednio ten posiadacz. Usługa ta może zatem stać się alternatywą dla płatności kartą czy popularnych w Polsce pay-by-link (PBL), w ramach których użytkownik sam loguje się do swojego banku i zleca transakcję, wykorzystując już uzupełnioną „formatkę” przelewu. Warto odnotować fakt, że takie usługi – choć technologicznie świadczone nie przy użyciu interfejsu komunikacyjnego wymaganego przez PSD2, a tzw. screen scraping – działają w Unii Europejskiej już od dłuższego czasu. Z usług tego typu korzysta m.in. Lufthansa czy PayPal do zasileń sald.

Dostęp do rachunku – API zamiast screen scrapingu

W przypadku usług typu XS2A – niezależnie od tego, czy dostawca uzyskuje wyłącznie dostęp do informacji o rachunku, czy też ma możliwość inicjowania transakcji płatniczej – dostęp do rachunku będzie musiał odbywać się za pomocą stworzonego przez podmiot prowadzący rachunek interfejsu, czyli tzw. API (Application Protocol Interface). W połowie marca 2018 r. Komisja Europejska opublikowała tzw. regulatory technical standards (RTS), czyli standardy techniczne dotyczące m.in. silnego uwierzytelniania (o czym w dalszej części artykułu) oraz wymogów co do komunikacji w ramach usług opartych na dostępie do rachunku, czyli usług PIS i AIS. RTS są niejako przepisami wykonawczymi do dyrektywy PSD2 i ich opublikowanie było długo wyczekiwane przez dostawców usług płatniczych.

Standardy te zaczną obowiązywać we wrześniu 2019 r., a do tego czasu banki oraz inne podmioty prowadzące rachunki płatnicze muszą opracować stosowne interfejsy API umożliwiające stronom trzecim dostęp do rachunków w celu świadczenia usług XS2A. Warto tutaj odnotować fakt, że w Polsce trwają prace nad jednym rekomendowanym standardem komunikacji znanym jako PolishAPI. Niemniej – choć jest to rozwiązanie opracowywane m.in. przez Związek Banków Polskich – dostawcy prowadzący rachunki nie będą zobowiązani do korzystania z PolishAPI, a będą mogli opracować własne protokoły, o ile będą one zgodne z RTS.

Zgodnie z RTS dostawca świadczący usługę opartą na dostępie do rachunku będzie musiał pozwolić zidentyfikować się podmiotowi prowadzącemu rachunek. Dodatkowo protokół komunikacyjny będzie musiał umożliwić „zaprezentowanie” i wykonanie przez TTP tylko tego, na co zgodził się użytkownik, dla którego jest prowadzony rachunek. Oznacza to, że jeśli w ramach usługi AIS dostawca będzie łączył się np. z bankiem, to może uzyskać dostęp tylko do informacji o tych rachunkach, na które zgodę wyraził ich posiadacz, a nie o wszystkich rachunkach prowadzonych dla danego użytkownika.

W większości przypadków podmiot prowadzący rachunek będzie musiał zapewnić dostępność i funkcjonalność API identyczną z tą, którą ma oferowany przez niego dostęp do rachunku przez standardowy interfejs użytkownika tego rachunku (np. przez przeglądarkową wersję e-bankowości). Komunikacja z wykorzystaniem bezpiecznego i zgodnego z RTS protokołu zastąpi rozwiązania funkcjonujące do tej pory, które są oparte na tzw. screen scraping, czyli emulowanie działań użytkownika przez podmiot uzyskujący w imieniu użytkownika dostęp do rachunku. W praktyce najczęściej było to logowanie się do rachunku w imieniu użytkownika przez klasyczny interfejs przeglądarkowy – z wykorzystaniem loginu, hasła i często również np. kodu SMS dostarczonych temu użytkownikowi. Jest to znaczący krok do przodu w zakresie bezpieczeństwa użytkowników usług płatniczych.

Silne uwierzytelnianie użytkownika

Jedną z największych zmian w zakresie bezpieczeństwa usług płatniczych, którą przewiduje dyrektywa PSD2, a w ślad za nią do polskiego systemu prawnego wprowadzi ją nowelizacja ustawy o usługach płatniczych, jest tzw. silne uwierzytelnianie użytkownika – osobom śledzącym prace nad PSD2 może być ono również znane jako SCA (strong customer authentication).

Silne uwierzytelnianie ma polegać na zapewnieniu poufności danych użytkownika, w tym także autoryzowaniu transakcji płatniczej, na podstawie co najmniej dwóch z trzech elementów wymienionych w przepisach. Są to:

1. wiedza o czymś, co wie wyłącznie użytkownik (coś, co wie);
2. posiadanie czegoś, co posiada wyłącznie użytkownik (coś, co ma);
3. cechy charakterystyczne użytkownika (coś, czym jest).

Pierwszy z elementów silnego uwierzytelniania – coś, co użytkownik wie – to przede wszystkim wszelkiego rodzaju hasła, kody pin czy loginy. Są to wszelkie elementy oparte na wiedzy, które nie wymagają od użytkownika niczego innego niż tylko dobrej pamięci. Te elementy są stosunkowo łatwo narażone na utratę poufności, np. w wyniku złamania lub odgadnięcia hasła.

Drugi element – coś, co użytkownik ma – odnosi się w szczególności do urządzeń lub innych przedmiotów mających cechy fizyczne, które mogą być przez użytkownika wykorzystane niezależnie od jego wiedzy. Są to kody SMS czy komunikaty typu push, które wymagają od użytkownika posiadania określonego urządzenia. Może to być np. telefon komórkowy o określonym numerze. Elementem, który użytkownik ma, jest również karta płatnicza pod warunkiem, że jest fizycznie obecna przy zlecaniu transakcji płatniczej. Nie będzie natomiast elementem „coś, co ma” informacja zapisana na tej karcie (np. kod CVV). Tę informację można co najwyżej klasyfikować w kategorii „coś, co wie”, choć i to może być dyskusyjne.

Ostatni element, który może być wykorzystany w ramach silnego uwierzytelniania użytkownika, to cecha użytkownika. Chodzi przede wszystkim o dane biometryczne, takie jak odcisk linii papilarnych, obraz tęczówki czy – coraz popularniejsze w powszechnym użyciu – skanowanie twarzy.

Jak już wspomniano, dostawca powinien zapewnić użytkownikowi autoryzowanie transakcji płatniczej za pomocą co najmniej dwóch z tych elementów. Oznacza to, że nie wystarczy samo wykorzystanie np. loginu i hasła wzbogaconych o trzeci element wiedzy, jakim jest PIN. Muszą zostać wykorzystane elementy z dwóch różnych grup, czyli np. fizycznie obecna karta (a nie tylko dane karty, takie jak jej numer czy kod CVV) oraz kod PIN.

Kiedy nie trzeba stosować silnego uwierzytelniania użytkownika?

Choć stosowanie silnego uwierzytelniania jest zasadą dla autoryzacji transakcji płatniczych, to w ramach wspomnianych już regulatory technical standards przewidziano szereg wyjątków, które pozwalają odstąpić od SCA. Wyjątki te bez wątpienia ułatwią życie użytkownikom oraz dostawcom, gdyż wdrożenie silnego uwierzytelnienia przy każdej transakcji płatniczej negatywnie odbiłoby się na wygodzie związanej z szybkim realizowaniem transakcji (np. w przypadku płatności niskokwotowych).

Do najistotniejszych wyłączeń stosowania silnego uwierzytelniania użytkownika trzeba zaliczyć m.in.:

1. płatności zbliżeniowe – przy czym kwota transakcji nie może przekraczać 50 euro, zaś samo SCA musi być zastosowane zawsze wtedy, gdy łączna kwota transakcji wykonanych od ostatniego stosowania silnego uwierzytelniania przekracza 150 euro, a także co piątą transakcję;
2. zdalne transakcje niskokwotowe – podobnie jak w przypadku transakcji zbliżeniowych w ramach RTS przewidziano jednak limity tych transakcji. Transakcją niskokwotową jest wyłącznie transakcja, która nie przekracza 30 euro, zaś ponowne stosowanie SCA jest wymagane za każdym razem, gdy łączna kwota tych transakcji przekracza 100 euro lub co piątą transakcję;
3. transakcje na rzecz zaufanych odbiorców – o ile ich dodanie do grupy zaufanych odbiorców wiązało się z silnym uwierzytelnianiem;
4. transakcje cykliczne (tzw. rekurencja) – przy czym w tym przypadku do zainicjowania samej transakcji cyklicznej należy skorzystać z silnego uwierzytelniania.

Dodatkowo w przypadku gdy dostawca zamierza odstąpić od stosowania silnego uwierzytelniania, musi on uprzednio stwierdzić, czy transakcja jest transakcją niskiego ryzyka. Zgodnie ze standardami technicznymi za taką nie będzie można uznać transakcji, jeśli np. wydatek lub zachowanie użytkownika odbiegają od jego zachowań standardowych czy też transakcja jest wykonywana w sposób odpowiadający znanemu scenariuszowi oszustw. Dostawca powinien analizować również lokalizację użytkownika i jeśli nie jest ona jego standardową lokalizacją, zastosować SCA.

Małe Instytucje Płatnicze

Zupełną nowością w polskim systemie prawnym będzie Mała Instytucja Płatnicza (MIP). Jest ona nie tylko alternatywą dla Krajowych Instytucji Płatniczych (KIP), ale przede wszystkim dla biur usług płatniczych (BUP). Przy niewiele większych nakładach organizacyjnych względem BUP MIP pozwala bowiem na świadczenie większości usług płatniczych, które do tej pory mogły być świadczone wyłącznie przez BUP-y.

Uproszczenie procedury, która ma charakter zgłoszeniowy, a nie licencyjny, powinno pozwolić na znaczne skrócenie czasu, jaki upływa od złożenia w Komisji Nadzoru Finansowego stosownego wniosku do momentu, kiedy dostawca może rozpocząć działalność. Dla porównania – BUP-y, które także są wpisywane na listę dostawców w ramach procedury zgłoszeniowej, trafiały tam w kilkanaście dni od wysłania wniosku. Tymczasem w przypadku KIP-ów, których wpis na listę był poprzedzony postępowaniem licencyjnym, czas ten wynosił kilkanaście miesięcy. Dzięki temu MIP w miarę sprawnie będzie mógł rozpocząć działalność w obszarach dotychczas zarezerwowanych dla KIP-ów. Chodzi przede wszystkim o polecenia przelewu, acquiring (rozliczanie transakcji wykonywanych przy użyciu instrumentów płatniczych, np. kart) czy choćby prowadzenie rachunków płatniczych.

Oczywiście nie oznacza to, że MIP-y będą mogły zacząć działać bez spełnienia jakichkolwiek wymogów prawnych. Projekt ustawy zakłada, że MIP będzie musiał posiadać choćby plan działalności, program finansowy oraz rozwiązania w zakresie zarządzania ryzykiem i procedury przeciwdziałania praniu pieniędzy.

Limity dla MIP-ów

Projekt nowelizacji ustawy o usługach płatniczych przewiduje kilka ograniczeń w zakresie działalności Małej Instytucji Płatniczej względem Krajowej Instytucji Płatniczej. Są to zarówno ograniczenia w zakresie katalogu usług, które będą mogły być świadczone przez MIP, jak i w zakresie wolumenów kwot transakcji przez nie realizowanych, a także – co bardzo istotne, a często pomijane – w zakresie terytorialnym działania MIP-ów.

Przede wszystkim MIP będzie mógł realizować transakcje na łączną średnią kwotę nieprzekraczającą 1[nbsp]500[nbsp]000 euro miesięcznie. Ponad 6[nbsp]000[nbsp]000 złotych kwoty zrealizowanych w danym miesiącu transakcji nie jest co prawda kwotą zawrotną, niemniej jest to aż trzy razy więcej niż limit przewidziany dla biur usług płatniczych. A co jeśli MIP przekroczy limit łącznej kwoty zrealizowanych transakcji? W takim wypadku zostanie zastosowany znany już z sektora biur usług płatniczych mechanizm – taka Mała Instytucja Płatnicza będzie miała do wyboru dwie możliwości:

1. dostosowanie działalności do limitu i zmniejszenie wolumenu kwotowego realizowanych transakcji;
2. złożenie wniosku o udzielenie zezwolenia na prowadzenie działalności w charakterze Krajowej Instytucji Płatniczej.

Co istotne, złożenie wniosku sprawia, że MIP może w zasadzie w dalszym ciągu przekraczać limit 1[nbsp]500[nbsp]000 euro miesięcznie do czasu rozpatrzenia tego wniosku. Tym samym instytucja, która postanowi wystąpić o szerszą licencję, może liczyć na pewien bonus w postaci możliwości dalszego rozwoju działalności. Co ważne, na złożenie wniosku MIP będzie miał 30 dni od końca okresu, w którym nastąpiło przekroczenie kwoty średniorocznej. W praktyce oczywiście okres trzydziestu dni może nie wystarczyć na przygotowanie właściwego wniosku, a tym bardziej wdrożenie bardziej rygorystycznych mechanizmów zarządzania ryzykiem czy kontroli wewnętrznej, których wymaga się od Krajowej Instytucji Płatniczej. Tym samym MIP-y powinny nie tylko na bieżąco monitorować wolumeny transakcji, ale też pójść dalej i weryfikować oraz szacować, czy przypadkiem w najbliższym czasie nie pojawi się ryzyko przekroczenia limitu ustawowego. Trzeba podkreślić, że cały czas mówimy o kwocie średniej wyliczanej na przestrzeni ostatnich 12 miesięcy. Oznacza to, że Mała Instytucja Płatnicza będzie miała możliwość przewidzenia przekroczenia limitu z wyprzedzeniem czasowym i przygotowania się do podjęcia stosownych działań.

Drugim ograniczeniem kwotowym jest limit środków przechowywanych na rachunkach płatniczych prowadzonych dla użytkownika. W stosunku do jednego użytkownika Mała Instytucja Płatnicza nie będzie mogła przechowywać kwoty większej niż 2000 euro. Niestety, jest to kwota rażąco niska i w wielu przypadkach sprawiająca, że z biznesowego punktu widzenia prowadzenie rachunków płatniczych przez MIP-y będzie czysto iluzoryczne. O ile w przypadku usług świadczonych na rzecz konsumentów (czyli b2c) równowartość 2000 euro pozwala na opracowanie usług mających rynkowe zastosowanie, o tyle w przypadku usług adresowanych do przedsiębiorców (czyli b2b) kwota stanowiąca niecałe 10[nbsp]000 złotych nie pozwala na rozwinięcie skrzydeł i zaoferowanie przedsiębiorcy usług mogących być pewną alternatywą dla usług bankowych. Tak niski limit pozbawia racji bytu prowadzenie rachunków płatniczych np. dla małych przedsiębiorców w ramach oferowania im usług acquiringu czy bramek płatniczych. O ile np. Krajowe Instytucje Płatnicze oferują w tej chwili przedsiębiorcom z sektora e-commerce takie rachunki – np. w celu ułatwienia im zarządzania płatnościami przyjmowanymi w sklepie internetowym – o tyle MIP-y, chociaż teoretycznie będą mogły te rachunki zaoferować, to w praktyce będą to rachunki martwe. Limit 2000 euro może bowiem zostać wyczerpany nawet jedną wpłatą przyjętą dla przedsiębiorcy sprzedającego np. elektronikę czy materiały budowlane. Tym samym wiele podmiotów z tzw. sektora FinTech, choć może być zainteresowanych samą ideą małej instytucji płatniczej, to i tak pozostaje zdanych na długie i kosztowne postępowanie w zakresie licencji Krajowej Instytucji Płatniczej. O ile limit wolumenu łącznego transakcji (tj. 1[nbsp]500[nbsp]000 euro średniomiesięcznie) jest limitem, który możemy określić „sanowanym” czy wręcz „przekraczalnym” i nawet w przypadku jego przekroczenia Mała Instytucja Płatnicza będzie mogła – po zawnioskowaniu o licencję KIP – dalej rozwijać działalność w sposób zgodny z przepisami ustawy, o tyle przekroczenie limitu środków przechowywanych na rachunkach płatniczych nie może w żaden sposób być naprawione. Co więcej, w niektórych przypadkach może wręcz stanowić podstawę do odpowiedzialności karnej za czyn z art. 150 ust. 1 ustawy o usługach płatniczych – tj. prowadzenie działalności bez uprawnienia, a także podstawę do wpisu na listę ostrzeżeń publicznych prowadzoną przez Komisję Nadzoru Finansowego.

Oczywiście, w przypadku limitu 2000 euro jest mowa o środkach na rachunku płatniczym, a nie o tzw. środkach w locie, czyli tych, które zostaną danemu użytkownikowi przekazane w terminach ustawowych, tj. najczęściej w tzw. D+1, czyli do końca następnego dnia roboczego. Może się więc zdarzyć sytuacja, w której MIP, choć przechowuje na rachunkach danego użytkownika wyłącznie równowartość kwoty limitu ustawowego, to faktycznie jest zobowiązany do wypłaty temu użytkownikowi kwoty znacznie większej. Niemniej, jeśli kwota ta zostanie przekazana w terminie ustawowym z pominięciem rachunku płatniczego prowadzonego dla tego użytkownika, nie będzie to stanowić naruszenia ustawy.[nbsp][nbsp]

PSD2 to więcej możliwości, ale też obowiązki

Jak widać, zarówno dyrektywa PSD2, jak i jej krajowa implementacja w drodze nowelizacji ustawy o usługach płatniczych to wiele nowych możliwości dla dostawców usług płatniczych, które nie tylko ułatwią wdrażanie nowych modeli biznesowych (usługi XS2A), ale również pozwolą zacząć działalność mniejszym podmiotom. Założenie Małej Instytucji Płatniczej – co przy dobrych wiatrach może zająć mniej niż miesiąc, włączając w to rejestrację spółki – wydaje się być bardzo kuszącą alternatywą dla czasochłonnego postępowania w zakresie zezwolenia dla Krajowej Instytucji Płatniczej. Niemniej PSD2 to również szereg obowiązków związanych z zapewnieniem bezpieczeństwa transakcji płatniczych, w tym stosowaniem silnego uwierzytelniania. Finalnie jednak rachunek zysków i strat powinien wypaść z korzyścią zarówno dla dostawców usług płatniczych, jak i dla użytkowników. Ci pierwsi otrzymują nowe możliwości i zwiększenie konkurencyjności rynku, ci drudzy – wygodniejsze i jednocześnie bezpieczne usługi płatnicze.

[nbsp]

Tomasz Klecor

partner w Kancelarii Legal Geek,

specjalista w obszarze FinTech i instytucji finansowych

[nbsp]

Artykuł pochodzi z[nbsp]Biuletynu Euro Info 3 (180) 2018