Zgodnie z wydanymi dziś rekomendacjami nadzór chce także, aby płatności kartami w internecie były dodatkowo zabezpieczone. I stara się utrudnić dostęp do rachunków tzw. podmiotom trzecim
Komisji spieszyło się z przyjęciem ostatecznego kształtu dokumentu, aby zdążyć przed publikacją unijnej dyrektywy PSD II. Ta ujrzy światło dzienne w ciągu kilku tygodni, a wówczas swoboda działania naszego nadzoru w kwestii regulacji płatności internetowych zostanie w pewnym stopniu ograniczona.
Chodzi o to, że przez dwa lata, czyli do czasu implementacji PSD II, nadzorcy w poszczególnych krajach członkowskich nie będą mogli wprowadzać przepisów ograniczających działanie tzw. podmiotów trzecich w zakresie dostępu do rachunków bankowych. PSD II reguluje działalność takich firm i wprowadza zasady, w myśl których banki nie będą mogły blokować takich usług.
Chodzi np. o tanie i szybkie płatności bezpośrednio z konta bankowego, inicjowane dzięki podaniu przez klienta danych koniecznych do zalogowania się na rachunek. Tego rodzaju usługi świadczy np. firma Sofort. Ale polski nadzór jest im stanowczo przeciwny, bo uważa, że stwarzają zagrożenie dla oszczędności zgromadzonych na kontach. Ogłoszenie rekomendacji teraz ma więc zablokować dostęp do rachunków podmiotom trzecim tak długo, jak się da, czyli do czasu implementacji PSD II.
Jednoznaczne stanowisko KNF-u w tej sprawie przedstawił dwa tygodnie temu Tomasz Piwowarski, dyrektor departamentu inspekcji bankowych, instytucji płatniczych i SKOK-ów w Komisji Nadzoru Finansowego, podczas konferencji Payment Meeting. Piwowarski powiedział, że intencją KNF jest zakazanie do czasu implementacji dyrektywy PSD II wszelkich usług opartych o dostęp do rachunku przez tzw. podmioty trzecie.
Czy to się udało? Rekomendacje wymagają, aby banki informowały posiadaczy rachunków o zakazie ujawniania spersonalizowanych danych do logowania oraz aby wyraźnie wskazywały, że takie ujawnienie skutkuje odpowiedzialnością posiadacza. Dodatkowo wymagają zapewnienia w umowie z klientem, że mogą zablokować bankowość elektroniczną w razie posłużenia się nimi przez osobę nieuprawnioną, w domyśle między innymi tę, której udostępniono dane do logowania.
- Dalszą konsekwencją jest to, że same instytucje nie mogą oferować usług opartych na pozyskiwaniu od klienta danych do logowania. W tym zakresie KNF wychodzi ponad rekomendacje europejskiego nadzoru, na którą się powołuje, oraz - co interesujące - przyjmuje ostrzejsze stanowisko niż w projekcie przedłożonym do konsultacji społecznych – mówi dr Krzysztof Korus, radca prawny z kancelarii dLK Korus Okoń.
Zdaniem Korusa rekomendacja wzmacnia pozycję banków zwalczających dotychczas ujawnianie danych do logowania w usługach tzw. sektora Fintech, wspieranych jednoznacznie przez projekt dyrektywy PSD II. - W żadnym zakresie nie zamyka jednak drogi dla dalszego oferowania tych usług w Polsce przez instytucje nienadzorowane przez KNF, do których rekomendacja nie ma zastosowania. Do momentu implementacji w Polsce PSD II tak jak dotychczas korzystanie z tych usług następować będzie jednak na odpowiedzialność klienta – uważa Korus.
Spodziewać się należy, że wytyczne polskiego nadzoru wywołają ożywioną dyskusję w Polsce i Unii Europejskiej, gdyż stoją w jednoznacznej opozycji do działań organów Unii Europejskiej, które dyrektywą PSD II otwarły drogę do usług opartych na dostępie do rachunku. Co ciekawe dyrektywę poparli niemal wszyscy polscy eurodeputowani głosujący w tej sprawie.
Ponadto rekomendacje KNF zobowiązują banki do osobistego potwierdzania tożsamości klienta otwierającego nowy rachunek. To ogranicza więc oferowanie coraz popularniejszej na naszym rynku usługi, polegającej na aktywacji nowego konta przelewem z innego banku. Wciąż będzie to możliwe tylko wtedy, gdy otwarte w ten sposób konto nie będzie służyło do uruchomienia rachunku w kolejnym banku. - Ale to jest w praktyce niewykonalne, więc banki będą musiały zrezygnować z tej usługi w jej obecnym kształcie - mówi Krzysztof Korus.
Dodaje jednak, że jeśliby interpretować literalnie rekomendację KNF, w dalszym ciągu możliwe będzie zakładanie „na przelew” lokat oraz udzielanie kredytów. – Weryfikacja klientów „na przelew” pozostaje także dostępna dla otwierania rachunków płatniczych ze swojej istoty nieumożliwiających wykonywanie przelewów wychodzących – mówi radca z dLK Korus Okoń.
Takie stanowisko nadzoru to efekt tego, że usługa zdalnej aktywacji konta stała się doskonałym narzędziem do zakładania rachunków na ludzi – słupy przez przestępców. Banki zastanawiały się długo, w jaki sposób problem rozwiązać. Teraz nie muszą już myśleć, bo KNF zrobiła to za nich.
Projekt rekomendacji nakazuje też bankom stosowanie tzw. silnego uwierzytelnienia przy dokonywaniu transakcji płatniczych przez klientów. Oznacza to konieczność stosowania przynajmniej dwóch zabezpieczeń przy autoryzacji płatności w internecie. W praktyce, aby móc oferować płatności internetowe kartami, banki będą musiały wdrożyć tzw. system 3D Secure, dzięki któremu płatności autoryzuje się hasłem SMS-owym na tej samej zasadzie, jak przelewy w systemie internetowym.
Rezygnacja z silnego uwierzytelnienia będzie możliwia tylko w stosunku do transakcji o niewielkim ryzyku lub niewielkiej wartości oraz w przypadku operacji dokonywanych portfelami cyfrowymi, takimi jak MasterPass czy V.me.