Przepisy stanowią, że po wykonaniu pięciu transakcji bezstykowych będzie potrzebna autoryzacja PIN-em, nawet jeśli płatność opiewa na drobną kwotę
Dyrektywa PSD II przewiduje obowiązek stosowania przez dostawców usług płatniczych silnego uwierzytelniania klienta (strong customer authentication – SCA). Będzie to konieczne w trzech przypadkach: gdy użytkownik uzyskuje dostęp do rachunku, gdy inicjuje elektroniczną transakcję płatniczą oraz gdy dokonuje czynności za pośrednictwem kanału zdalnego, która może wiązać się z ryzykiem oszustwa. Szczegółowe kwestie związane z tym mechanizmem mają określić regulacyjne standardy techniczne (Regulatory Technical Standards), których projekt został opracowany przez Europejski Urząd Nadzoru Bankowego (EBA) i opublikowany w lutym bieżącego roku.
Zgodnie z PSD II, aby możliwe było zastosowanie silnego uwierzytelniania klienta, konieczne jest użycie dwóch z trzech elementów – wiedza (coś co użytkownik wie), posiadanie (coś co użytkownik posiada) oraz cechy użytkownika (coś czym użytkownik jest, czyli np. odcisk palca bądź inne cechy biometryczne). Silne uwierzytelnianie klienta nie jest szczególną nowością, było znane na rynku już wcześniej, m.in. dzięki wytycznym EBA i KNF dotyczącym bezpieczeństwa transakcji płatniczych w Internecie.
RTS przewiduje szereg wyłączeń od zasad ogólnych stosowania SCA. Wyłączeniami zostaną objęte m.in. transakcje niskiego ryzyka, transakcje nisko kwotowe do równowartości 30 euro, transakcje do zaufanych odbiorców, a także transakcje zbliżeniowe w punktach sprzedaży.
Dla konsumentów szczególnie istotnym wyłączeniem będzie to ostanie. Będzie ono mogło zostać zastosowane pod pewnymi warunkami. Przede wszystkim pojedyncza transakcja nie będzie mogła przekroczyć kwoty 50 euro. Ten warunek będzie musiał być zawsze spełniony, a dodatkowo wymagany będzie jeden z dodatkowych warunków: suma transakcji od ostatniego stosowania silnego uwierzytelnienia nie będzie mogła przekroczyć 150 euro lub liczba transakcji od ostatniego zastosowania SCA nie będzie mogła przekroczyć pięciu.
Jeżeli chodzi o kwestie limitów kwotowych, to na warunki polskie są one dość wysokie, rzadko kiedy jednorazowo dokonywana jest transakcja zbliżeniowa, której równowartość przekracza 50 euro. Według danych Narodowego Banku Polskiego w 2016 roku średnia jej wartość nie przekroczyła 41 zł, a obecnie nadal wynosi poniżej 50 zł. W związku z tym także łączna kwota transakcji, która wymuszałaby zastosowanie SCA, nie powinna zostać w polskich realiach osiągnięta zbyt szybko. Największym problemem może się okazać liczba transakcji. Z łatwością można sobie wyobrazić, iż pięć płatności zbliżeniowych dokonuje się podczas codziennych zakupów, a kolejna transakcja przypada akurat na automat z napojami, którego terminal nie pozwala na wpisanie PIN-u.
O ile brak możliwości zrealizowania transakcji w automacie z napojami u większości z użytkowników nie powinien wywołać większej frustracji, o tyle gorszym scenariuszem byłaby podobna sytuacja podczas dokonywania opłaty za przejazd autostradą, zwłaszcza przy okazji świątecznego lub wakacyjnego ruchu na drogach. Pierwotny projekt RTS nie przewidywał wyłączenia dla tego typu transakcji, jednakże w obecnej wersji oddzielnym wyłączeniem zostały objęte także opłaty transportowe i parkingowe – pozostaje mieć nadzieję, iż wyłączenia te zostaną utrzymane w finalnej wersji RTS.
Dane NBP pokazują, że Polacy przyzwyczaili się do płatności zbliżeniowych i chętnie korzystają z tej funkcji kart płatniczych podczas zakupów – rok do roku rośnie zarówno liczba kart z funkcją zbliżeniową, jak i transakcji zbliżeniowych. Czas pokaże, czy uda się pogodzić bezpieczeństwo oraz wygodę użytkownika. W każdym razie najbliższe świąteczne zakupy będzie można wykonać jeszcze na dotychczasowych zasadach, bo nadal nie ma finalnej wersji RTS. Ma się ukazać lada chwila, ale dostawcy będą musieli wdrożyć określone w nich zasady stosowania SCA dopiero po 18 miesiącach od wejścia tych wytycznych w życie.
---
Tomasz Fus, dLK Legal
Artykuł powstał przy współpracy z kancelarią dLK Legal
Autor jest aplikantem adwokackim w dLK Legal. Jest absolwentem prawa na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie. Dotychczasowe doświadczenie zdobywał m.in. w dziale prawnym w oddziale zagranicznego zakładu ubezpieczeń, a także w renomowanej kancelarii międzynarodowej. Zainteresowania zawodowe koncentruje wokół prawa bankowego, instytucji finansowych, a także usług płatniczych. Brał udział w licznych projektach z zakresu bankowości, technologii finansowych oraz doradztwa w procesie legislacyjnym.