Zasadniczą kwestią dla bezpieczeństwa klienta jest to, kto będzie posiadał dane uwierzytelniające do rachunku i przede wszystkim jak będzie je chronił.
Marcel Góra, radca prawny w APLaw Artur Piechocki / Media / Kamil Cichon

Pod koniec 2015 roku Parlament Europejski uchwalił dyrektywę regulującą rynek płatności - Payment Services Directive 2 (PSD 2), która zastąpiła w styczniu 2016 r. dotychczasową dyrektywę PSD, a kraje członkowskie, by dostosować swoje regulacje do przepisów PSD 2 mają czas do 13 stycznia 2018 r.

- Warto także wspomnieć, że dyrektywa PSD 2 stanowi, że TPP nie może pozyskiwać od użytkownika szczególnie chronionych danych dotyczących płatności związanych z rachunkami płatniczymi. TPP może uzyskiwać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związanych z nimi transakcji płatniczych. Ponadto zabronione jest użycie, uzyskanie lub przechowywanie przez TPP w toku świadczenia usługi jakichkolwiek danych do celów innych niż wyraźnie zleconych przez klienta. TPP nie może zatem korzystać z tych informacji w sposób dowolny, w szczególności zaś TPP powinien dbać o zgodność świadczenia usługi z przepisami o ochronie danych osobowych - informuje Marcel Góra, radca prawny w APLaw Artur Piechocki.

Niemniej jednak, przyznanie TPP dostępu do rachunku płatniczego klienta dla każdego banku jest dodatkowym ryzykiem w zakresie ochrony danych osobowych i tajemnic zawodowych oraz przeciwdziałania innym nadużyciom. Przy czym dyrektywa PSD 2 modyfikuje zasady odpowiedzialności za nieautoryzowaną transakcję poprzez zobowiązanie dostawcy usług płatniczych do niezwłocznego zwrotu płatnikowi kwoty nieautoryzowanej transakcji. Płatnik nie będzie również ponosił odpowiedzialności, jeżeli nie mógł sobie zdawać sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego.

- Z punktu widzenia nowych możliwości płatności ważny jest także inny nowy obowiązek nałożony przez PSD 2 tj. stosowania przez dostawców usług płatniczych mechanizmów silnego uwierzytelniania użytkownika (strong customer authenticaion), który ma również zastosowanie w przypadku korzystania z usług TPP. Mechanizm ten znany nad Wisłą już od lat, dotąd był tylko rekomendowany m.in. przez KNF, lecz nie był obowiązkiem, a oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do trzech kategorii: wiedza (coś, o czym wie tylko użytkownik np. hasło), posiadanie (coś, co posiada wyłącznie użytkownik np. spersonalizowane tokeny), cechy klienta (coś, co jest charakterystyczne dla samego użytkownika np. linie papilarne). Przy czym – jak wskazano - elementy te powinny być od siebie niezależne w taki sposób, aby naruszenie jednego z nich nie osłabiało wiarygodności pozostałych. Jak wiadomo jednak z praktyki, silne uwierzytelnienie nie chroni całkowicie klienta, gdyż przestępcy stosują coraz bardziej skuteczne metody kradzieży danych uwierzytelniających - zauważa Marcel Góra.

Zasadniczą kwestią zatem, mającą ogromne znaczenia dla bezpieczeństwa klienta jest to, kto będzie posiadał dane uwierzytelniające do rachunku i przede wszystkim jak będzie je chronił. Wydaje się zatem, że należy z dużą ostrożnością podejść do nowych możliwości jakie daje omawiana dyrektywa, albowiem można mieć obawy co do tego, jak zabezpieczone będą nasze dane, które udostępnimy PTT. Jak wiadomo nawet banki miewają problemy z ochroną danych swoich klientów, pomimo iż dokonały ogromnego postępu w tej dziedzinie.