- Ustawodawca unijny chce zdynamizować rynek płatności, wprowadzić na niego nowe podmioty z branży fintech, ale zadbał też o odpowiednie zabezpieczenie transakcji - uważa Jacek Wiśniewski radca prawny w kancelarii Squire Patton Boggs.
Polska powinna wkrótce wdrożyć drugą unijną dyrektywę w sprawie usług płatniczych, tzw. PSD 2. Tyle że już teraz wielu ekspertów kreśli czarny scenariusz, wskazując, że nowe przepisy będą ogromnym zagrożeniem dla bezpieczeństwa konsumentów.
Rzeczywiście można usłyszeć takie głosy. Dyrektywa, która musi zostać wdrożona do stycznia 2018 r., reguluje między innymi kwestie elektronicznych płatności dokonywanych przez konsumentów w internecie. A więc coś, co jest coraz bardziej istotne w życiu przeciętnego człowieka. Być może dlatego niektórzy są zaniepokojeni.
Pytanie, czy słusznie.
Moim zdaniem niesłusznie. PSD 2 stanowi bowiem tylko i aż odpowiedź na postęp technologiczny i zmieniające się realia rynkowe. Pamiętajmy, że pierwsza wersja dyrektywy o usługach płatniczych pochodzi z 2007 r. Od tamtego czasu technologie informatyczne bardzo szybko zmieniają świat usług finansowych – unijny prawodawca nie mógł więc nie uwzględnić tej okoliczności w przepisach.
Ale czy nie poszedł za daleko? Pytamy głównie w kontekście rozwiązań dających pośrednikom dostęp do inicjowania płatności internetowych oraz do historii rachunków bankowych klientów.
Tak, być może te nowe i bardzo ciekawe rozwiązania mogą wywoływać najwięcej wątpliwości sceptyków. W uproszczeniu w pierwszym z nich chodzi o to, że będziemy mogli zlecić instytucji płatniczej, tzw. podmiotowi trzeciemu (zwanemu z angielska third party provider – TPP), wykonanie płatności elektronicznej w naszym imieniu. Drugie rozwiązanie polega na tym, że podmiot trzeci, za naszą zgodą, będzie mógł uzyskiwać informacje o historii naszego rachunku bankowego. I wykonania żadnej z tych operacji bank nie będzie mógł odmówić. Obecnie banki często nie akceptują takich rozwiązań, bo wiążą się z przekazaniem danych do logowania do bankowości elektronicznej osobie trzeciej. Nowe przepisy PSD 2 i nowe rozwiązania technologiczne (tzw. otwarte API) takie bezpieczne usługi umożliwią. W efekcie może powstać wiele nowych podmiotów na rynku usług finansowych (tzw. fintechów), które będą takie nowe usługi świadczyć. W zamyśle regulatora unijnego zwiększy się dzięki temu konkurencja na rynku. Skorzystają też oczywiście konsumenci, którzy będą mieli większy wybór.
Czy na pewno skorzystają? Komisja Nadzoru Finansowego obecnie stanowczo sprzeciwia się rozwiązaniom opartym na przekazywaniu danych do logowania do bankowości elektronicznej. Ostrzega również, że konsumenci mogą stracić wskutek wzrostu ryzyka phishingu, czyli podszywania się przez oszustów pod uprawnione zgodnie z PSD 2 do uzyskania danych instytucje.
Nie można oczywiście wykluczać sytuacji, w której nowe rodzaje transakcji i udział w nich nowych niebankowych podmiotów przełożą się na wzrost liczby wyłudzeń. Tyle że z takimi problemami mierzymy się zawsze, gdy chcemy wprowadzić coś innowacyjnego. Należy też pamiętać, że nowe przepisy wprowadzą nowe podwyższone standardy bezpieczeństwa transakcji.
Mimo wszystko znajdą się więc osoby, które stracą przez to pieniądze.
Nie demonizowałbym problemu zwiększonego ryzyka tzw. phishingu po wdrożeniu PSD 2 do krajowego porządku prawnego. Gdy mówimy o wyłudzeniach, często przedstawiamy jako potencjalną ofiarę nowego użytkownika internetu, najczęściej starszego, który usiłuje wykonać przelew za pośrednictwem sieci. I nieświadomy zagrożeń pada ofiarą przestępstwa. Musimy oczywiście o takich użytkownikach również zawsze pamiętać, jednak moim zdaniem w przypadku nowych rozwiązań przewidzianych w PSD 2 z usług nowych podmiotów zechcą skorzystać przede wszystkim użytkownicy zaznajomieni z nowoczesnymi technologiami. Ci, którym standardowy przelew internetowy już nie wystarcza, dla których oferta banku to za mało. Te osoby są mniej podatne na wyłudzenia.
Dlaczego więc KNF tak negatywnie ocenia dyrektywę PSD 2?
Wdrożenie PSD 2 może doprowadzić do pewnej rewolucji na rynku finansowym. Być może ta potencjalna skala zmiany jest problematyczna dla KNF? Pamiętajmy też, że polski nadzór bankowy generalnie prezentuje podejście raczej konserwatywne, które w dobie kryzysu finansowego po 2007 r. znakomicie się sprawdziło. Podkreślam jednak, że PSD 2 przewiduje także szereg rozwiązań, które poziom bezpieczeństwa użytkowników wręcz zwiększą, a nie osłabią.
Na przykład?
Kluczowy przykład to wprowadzenie silnego uwierzytelniania klienta. Polegać ono będzie na tym, że dla zrealizowania każdej płatności elektronicznej niezbędne będzie zastosowanie co najmniej dwóch z trzech metod uwierzytelniania klienta (opartych na wiedzy, posiadaniu lub cechach klienta). Przykładowo, bank może wymagać od nas danych biometrycznych (np. odcisku palca lub analizy siatkówki oka) oraz wprowadzenia SMS-owego kodu. Paradoksalnie, obecnie toczy się dyskusja, czy te wymogi nie są zbyt duże, czy nie utrudnią za bardzo dokonywania transakcji. Można zatem powiedzieć, że ustawodawca unijny chce zdynamizować rynek płatności, wprowadzić na niego nowe podmioty z branży fintech – ale zadbał też o odpowiednie zabezpieczenie transakcji.
Zakładamy, że mało komu spodoba się rozwiązanie polegające na zwiększeniu uciążliwości przy realizacji płatności. Przecież obecnie obserwujemy trend upraszczania wszelkich operacji finansowych.
Uproszczenie jest często zaletą, ale specjaliści od cyberbezpieczeństwa czy zapobiegania nadużyciom podkreślają, że nie może ono prowadzić do naruszenia bezpieczeństwa użytkowników – i ja się z tym podejściem zgadzam. Warto też pamiętać, że dyrektywa PSD 2 dodatkowo przewiduje poprawę sytuacji konsumentów w razie dokonywania nieautoryzowanych transakcji z ich rachunków bankowych. Obecnie klient może ponosić odpowiedzialność za takie transakcje do kwoty 150 euro, co, zwłaszcza w Polsce, jest dużą sumą. Wraz z implementacją dyrektywy PSD 2 próg ten zostanie zmniejszony do 50 euro. To ewidentna korzyść dla klientów.
Czyli reasumując: nie ma się czego bać?
Każda innowacja może oczywiście budzić pewne obawy, zwłaszcza na początku. Niemniej dostrzegam o wiele więcej zalet nowej dyrektywy, zwłaszcza z punktu widzenia klientów. Zwiększy się konkurencja na rynku płatniczym i bankowym, należy spodziewać się, jak już wspominałem, rozwoju branży fintech. To z jednej strony pozwoli korzystać z innowacyjnych rozwiązań stworzonych przez nowe firmy, a z drugiej zmobilizuje banki do tworzenia jeszcze ciekawszej i po prostu lepszej oferty dla swoich klientów. Ponadto rząd, z wicepremierem Mateuszem Morawieckim na czele, wiele uwagi zamierza poświęcać innowacyjności, zachęcaniu młodych Polaków do zakładania firm i tworzenia nowych rozwiązań technologicznych. Jako prawnikowi zajmującemu się usługami finansowymi trudno mi sobie wyobrazić branżę bardziej pasującą do tej wizji gospodarczego rozwoju Polski niż właśnie branża fintech.