PSD3/PSR, czyli poprawa bezpieczeństwa transakcji

Dynamiczny rozwój rynku usług płatniczych sprawia, że regulacje prawne, szczególnie w kwestiach bezpieczeństwa, nie zawsze za nim nadążają. Dlatego instytucje UE stale pracują nad kolejnymi aktami, poprawiającymi te, które już obowiązują. I tak w najbliższych latach będzie wprowadzony pakiet płatniczy obejmujący m.in. nowy akt PSD3, zastępujący poprzedni – PSD2. Sceduje on na banki jeszcze większą odpowiedzialność za przelewy zautoryzowane transakcji zlecanych przez klientów podmiotów finansowych.

Młyny mielą powoli

Starożytne powiedzenie o młynach, które mielą powoli, można odnieść również do sposobów i czasu ustanawiania aktów prawnych w UE. W czerwcu 2023 r. Komisja Europejska ogłosiła nowy pakiet legislacyjny, który ma zmodernizować sektor usług płatniczych. Chodzi o trzecią wersję dyrektywy dotyczącej usług płatniczych (PSD3 – Third Payment Service Directive) i rozporządzenie w sprawie usług płatniczych (PSR – Payment Service Regulation). Nowe przepisy mają uprościć procesy płatnicze, zwiększyć ich bezpieczeństwo i stworzyć bardziej spójny i przejrzysty rynek finansowy. 

Na jakim etapie jest praca nad przepisami? 

Zgodnie z informacjami na stronie Parlamentu Europejskiego, pakiet jest w trakcie procedury legislacyjnej – pod koniec ub.r. przeszedł pierwsze czytanie w PE, a obecnie jest w trakcie negocjacji międzyinstytucjonalnych (tzw. trilogów). Oczekiwany termin wejścia w życie tych przepisów to 2028 r., po dwuletnim okresie przejściowym. 

Jak konkretnie PSD3 i PSR wzmocni ochronę klientów banków?

Oto najważniejsze aspekty poprawy bezpieczeństwa transakcji zlecanych przez klientów instytucji finansowych: 

• Lepsza ochrona przed oszustwami – banki będą musiały skuteczniej wykrywać i zapobiegać oszustwom, np. poprzez bardziej zaawansowane systemy monitorowania podejrzanych transakcji.
• Silniejsze uwierzytelnianie płatności – regulacje jeszcze bardziej zaostrzą wymogi dotyczące uwierzytelniania klientów, np. przez dodatkowe weryfikacje przy transakcjach online. W zakresie Silnego Uwierzytelniania Klienta (SCA) projekt m.in. rozszerzy definicję cech klienta: przewiduje się możliwość uwzględnienia cech środowiskowych i behawioralnych, takich jak lokalizacja użytkownika, czas wykonania transakcji czy wykorzystywane urządzenie, jako elementy uwierzytelniania.
• Większa przejrzystość w płatnościach – klienci zyskają lepszy dostęp do informacji o kosztach i warunkach transakcji, co zmniejszy ryzyko ukrytych opłat.
• Nowe prawa klientów w przypadku nieautoryzowanych transakcji – skrócony zostanie czas reakcji banku na zgłoszenie oszustwa, a klienci będą szybciej otrzymywać zwrot środków.
• Na dostawców usług płatniczych nałożony będzie obowiązek weryfikacji rachunku odbiorcy z danymi odbiorcy w zleceniu przelewu z każdego kanału zlecania przelewu on-line.

Nowe obowiązki

Regulacje zawsze oznaczają, że instytucje, których dotyczą, muszą dostosować swoje technologie i procesy do nowych zasad. I tak nowością dla banków (po części skopiowaną z przepisów Instant Payments Regulation, IPR, czyli rozporządzenia o płatnościach natychmiastowych w EURO) będzie konieczność weryfikacji IBAN i odbiorcy. Oznacza to, że instytucja płatnicza obsługująca zleceniodawcę (dostawca płatnika) powinna w czasie rzeczywistym skontaktować się z instytucją obsługującą odbiorcę (dostawca odbiorcy). Dostawca odbiorcy poinformuje natomiast o zgodności sprawdzanych danych lub o stopniu niezgodności. Różnicą w stosunku do przepisów IPR jest to, że w sytuacji nieznacznej niezgodności, dostawca odbiorcy nie przekaże oryginalnej nazwy odbiorcy widniejącej w jego systemach (czyli nie ujawni tajemnicy bankowej). 

Potencjalna rola KIR i STIR w nowej rzeczywistości

Realizując obowiązek weryfikacji danych w czasie rzeczywistym, dostawcy z EOG, będą musieli stworzyć wspólną bazę numerów rachunków, względnie rozwiązania lokalne z dostępem API. Możliwe, że w przypadku Polski takim hubem dla banków, odpytującym poszczególne bazy w ramach EOG, będzie KIR. W przypadku zaś naszych rachunków krajowych taka funkcjonalność weryfikacji mogłaby zostać oparta na danych zgromadzonych w STIR. Czas pokaże, w którym kierunku pójdzie spełnianie tego wymagania rozporządzenia.

Instytucje płatnicze bezpośrednio zaangażowane

Komisja Europejska dostrzegła też problemy instytucji płatniczych m.in. w przetwarzaniu płatności. Proponowane są takie zmiany w prawie UE, aby instytucje płatnicze mogły na takich samych warunkach jak banki uczestniczyć w krajowych systemach płatności (obecnie instytucje płatnicze mają dostęp np. do Elixir poprzez banki pośredniczące). Prócz zmian po stronie izb rozliczeniowych to także wyzwanie dla instytucji płatniczych, aby zintegrować się z systemami i procesami po stronie krajowych izb rozliczeniowych (np. integracja z Elixir).

Nie bez znaczenia zatem będzie dostosowanie systemów IT instytucji finansowych i konieczność wprowadzenia zmian w infrastrukturze technologicznej, aby spełnić nowe wymogi prawne.

BMS od ponad 25 lat wspiera największe banki w Polsce w modernizowaniu systemów informatycznych tak, aby spełniały najwyższe standardy bezpieczeństwa i były zgodne z obowiązującymi regulacjami prawnymi w Polsce i całej UE. 

Jednym z naszych rozwiązań jest OZYRYS – hub płatniczy dedykowany do obsługi obszaru przetwarzania płatności w bankach. Jest to rozwiązanie, które zapewnia komunikację pomiędzy systemem centralnym banku, a wszystkimi dostępnymi kanałami płatności zarówno przychodzących z zewnątrz (od innych banków), jak i wychodzącymi na zewnątrz (do innych banków). System jest też odpowiedzialny za realizację płatności wewnętrznych pomiędzy różnymi systemami produktowymi w banku. W ramach przetwarzania płatności OZYRYS zapewnia unifikację (ujednolicenie) przetwarzania płatności. Jest zgodny z obowiązującym w Polsce systemem prawnym oraz wymaganiami regulatorów rynku bankowego.