Bezpieczeństwo w finansach

PSD2 – jak zmieniło się bezpieczeństwo w finansach dzięki unijnym przepisom?

10 lip

PSD2 – rewolucja w bezpieczeństwie płatności. Co zmieniła i co jeszcze budzi wątpliwości? Dyrektywa PSD2 zmieniła sposób, w jaki płacimy, logujemy się i udostępniamy dane bankowe. Wprowadziła silne uwierzytelnianie (SCA), otwartą bankowość (open banking) i nowe obowiązki dla instytucji finansowych oraz pośredników. Ale czy rynek naprawdę nadążył za regulacjami? Dowiedz się, jak PSD2 wpłynęła na bezpieczeństwo, co wciąż działa niedoskonale i dlaczego zgodność z przepisami to dziś nie tylko obowiązek, ale też przewaga konkurencyjna.

PSD2 – jak zmieniło się bezpieczeństwo w finansach dzięki unijnym przepisom?

Od 2018 r. obowiązuje w Unii Europejskiej dyrektywa PSD2 (Payment Services Directive 2), która wprowadziła rewolucyjne zmiany w obszarze usług płatniczych i bezpieczeństwa transakcji online. Jej skutki odczuli nie tylko klienci, banki i fintechy, ale również pośrednicy kredytowi i firmy oferujące produkty finansowe z komponentem płatności.

Choć minęło kilka lat od wdrożenia, efekty PSD2 nadal kształtują rynek, a praktyka pokazuje, że wiele podmiotów nadal nie w pełni wdrożyło wszystkie jej zasady – zwłaszcza w zakresie silnego uwierzytelniania klienta (SCA), agregacji danych i otwartej bankowości (open banking).

Co zmieniła PSD2 w praktyce?

1. Silne uwierzytelnianie klienta (SCA)

Najważniejszy element z punktu widzenia bezpieczeństwa. Od stycznia 2021 r. każda operacja płatnicza – zarówno przez aplikację, jak i w przeglądarce – musi być potwierdzona co najmniej dwoma niezależnymi elementami:

  • coś, co klient zna (np. hasło, PIN),
  • coś, co klient posiada (np. telefon, aplikacja mobilna),
  • cecha biometryczna (np. odcisk palca, rozpoznawanie twarzy).

Przykład: logowanie do bankowości mobilnej musi wymagać np. PIN + odcisk palca. Jedno kliknięcie „zaloguj” to za mało.

2. Otwarcie dostępu do rachunków (open banking)

PSD2 zmusiła banki do otwarcia dostępu do danych klienta – za jego zgodą – dla licencjonowanych podmiotów trzecich (TPP – third-party providers). Efekt?

  • Pojawiły się aplikacje do agregacji finansów, łączące dane z różnych banków,
  • Możliwe stało się udzielanie pożyczek na podstawie bieżącej analizy historii rachunku – bez zaświadczeń,
  • Rozwinęły się usługi AIS (Account Information Service) i PIS (Payment Initiation Service).

Jakie obowiązki dla instytucji i pośredników?

Dla instytucji płatniczych i kredytodawców:

  • Zapewnienie bezpiecznego API do komunikacji z TPP,
  • Stosowanie SCA w każdej transakcji (z wyjątkami określonymi w RTS),
  • Obowiązek zgłoszenia naruszeń danych do KNF i UODO.

Dla pośredników:

  • Współpraca tylko z autoryzowanymi dostawcami usług płatniczych,
  • Odpowiedzialność za zgodność systemów CRM i aplikacji z zasadami SCA (np. przy integracjach z bramkami płatniczymi),
  • Edukacja klienta na temat autoryzacji i ochrony danych.

Co się poprawiło w bezpieczeństwie?

  • padek liczby fraudów – szczególnie w płatnościach kartą i logowaniach do bankowości internetowej,
  • Standaryzacja procesów autoryzacji – każdy operator płatności działa w podobnym reżimie,
  • Zwiększenie świadomości klientów – wiele osób zaczęło zwracać uwagę na to, komu udzielają dostępu do konta,
  • Transparentność transakcji – klient zawsze wie, kto i na jakiej podstawie zainicjował płatność.


Co nadal budzi wątpliwości?

  • Brak pełnej kompatybilności niektórych systemów z SCA – szczególnie u mniejszych pośredników,
  • Problemy techniczne z integracją API – banki stosują różne standardy mimo regulacji,
  • Niewystarczająca kontrola klientów nad zgodami dla TPP – wiele osób nie rozumie, jak wycofać dostęp.


Podsumowanie

PSD2 ujednoliciła i wzmocniła bezpieczeństwo w europejskim systemie finansowym. Dla pośredników to nie tylko kwestia zgodności – ale również szansa na budowanie zaufania poprzez stosowanie najlepszych praktyk w autoryzacji i ochronie danych.

Na dalszym etapie rynek spodziewa się kolejnej fazy regulacji – PSD3 – która może jeszcze bardziej uregulować działania TPP oraz rozszerzyć odpowiedzialność instytucji za narzędzia cyfrowe.


Podstawa prawna i źródła:

  • Dyrektywa (UE) 2015/2366 (PSD2)
  • Rozporządzenie delegowane 2018/389 (RTS on SCA)
  • Komunikaty KNF, EBA i UOKiK
  • Wytyczne EBA w zakresie PSD2 compliance


Zoptymalizuj swoje finanse już dziś

Zainwestuj w swoją przyszłość finansową. Sprawdź nasze usługi, które pomogą Ci w zarządzaniu kredytami i finansami.
Napisz do nas
Kontakt

Skontaktuj się z nami