PSD2 – jak zmieniło się bezpieczeństwo w finansach dzięki unijnym przepisom?

Od 2018 r. obowiązuje w Unii Europejskiej dyrektywa PSD2 (Payment Services Directive 2), która wprowadziła rewolucyjne zmiany w obszarze usług płatniczych i bezpieczeństwa transakcji online. Jej skutki odczuli nie tylko klienci, banki i fintechy, ale również pośrednicy kredytowi i firmy oferujące produkty finansowe z komponentem płatności.

Choć minęło kilka lat od wdrożenia, efekty PSD2 nadal kształtują rynek, a praktyka pokazuje, że wiele podmiotów nadal nie w pełni wdrożyło wszystkie jej zasady – zwłaszcza w zakresie silnego uwierzytelniania klienta (SCA), agregacji danych i otwartej bankowości (open banking).

Co zmieniła PSD2 w praktyce?

1. Silne uwierzytelnianie klienta (SCA)

Najważniejszy element z punktu widzenia bezpieczeństwa. Od stycznia 2021 r. każda operacja płatnicza – zarówno przez aplikację, jak i w przeglądarce – musi być potwierdzona co najmniej dwoma niezależnymi elementami:

• coś, co klient zna (np. hasło, PIN),
• coś, co klient posiada (np. telefon, aplikacja mobilna),
• cecha biometryczna (np. odcisk palca, rozpoznawanie twarzy).

Przykład: logowanie do bankowości mobilnej musi wymagać np. PIN + odcisk palca. Jedno kliknięcie „zaloguj” to za mało.

2. Otwarcie dostępu do rachunków (open banking)

PSD2 zmusiła banki do otwarcia dostępu do danych klienta – za jego zgodą – dla licencjonowanych podmiotów trzecich (TPP – third-party providers). Efekt?

• Pojawiły się aplikacje do agregacji finansów, łączące dane z różnych banków,
• Możliwe stało się udzielanie pożyczek na podstawie bieżącej analizy historii rachunku – bez zaświadczeń,
• Rozwinęły się usługi AIS (Account Information Service) i PIS (Payment Initiation Service).

Jakie obowiązki dla instytucji i pośredników?

Dla instytucji płatniczych i kredytodawców:

• Zapewnienie bezpiecznego API do komunikacji z TPP,
• Stosowanie SCA w każdej transakcji (z wyjątkami określonymi w RTS),
• Obowiązek zgłoszenia naruszeń danych do KNF i UODO.

Dla pośredników:

• Współpraca tylko z autoryzowanymi dostawcami usług płatniczych,
• Odpowiedzialność za zgodność systemów CRM i aplikacji z zasadami SCA (np. przy integracjach z bramkami płatniczymi),
• Edukacja klienta na temat autoryzacji i ochrony danych.

Co się poprawiło w bezpieczeństwie?

• padek liczby fraudów – szczególnie w płatnościach kartą i logowaniach do bankowości internetowej,
• Standaryzacja procesów autoryzacji – każdy operator płatności działa w podobnym reżimie,
• Zwiększenie świadomości klientów – wiele osób zaczęło zwracać uwagę na to, komu udzielają dostępu do konta,
• Transparentność transakcji – klient zawsze wie, kto i na jakiej podstawie zainicjował płatność.

Co nadal budzi wątpliwości?

• Brak pełnej kompatybilności niektórych systemów z SCA – szczególnie u mniejszych pośredników,
• Problemy techniczne z integracją API – banki stosują różne standardy mimo regulacji,
• Niewystarczająca kontrola klientów nad zgodami dla TPP – wiele osób nie rozumie, jak wycofać dostęp.

Podsumowanie

PSD2 ujednoliciła i wzmocniła bezpieczeństwo w europejskim systemie finansowym. Dla pośredników to nie tylko kwestia zgodności – ale również szansa na budowanie zaufania poprzez stosowanie najlepszych praktyk w autoryzacji i ochronie danych.

Na dalszym etapie rynek spodziewa się kolejnej fazy regulacji – PSD3 – która może jeszcze bardziej uregulować działania TPP oraz rozszerzyć odpowiedzialność instytucji za narzędzia cyfrowe.

Podstawa prawna i źródła:

• Dyrektywa (UE) 2015/2366 (PSD2)
• Rozporządzenie delegowane 2018/389 (RTS on SCA)
• Komunikaty KNF, EBA i UOKiK
• Wytyczne EBA w zakresie PSD2 compliance