5

Ustawa o PSD2 przyjęta przez polski rząd, to niesamowita szansa dla polskich fintechów

To oznacza, że prawdopodobnie jeszcze w tym półroczu będziemy mogli zacząć korzystać z nowych usług finansowych. To spore pole do popisu dla młodych polskich firm z kategorii fintech.

O założeniach dyrektywy PSD2 pisaliśmy Wam już wielokrotnie, w dużym skrócie wprowadza ona dwie nowe usługi płatnicze: (Payment Initiation Service, PIS) oraz (Account Information Service, AIS). Świadczone będą przez firmy trzecie TPP (Third Party Provider).

(Payment Initiation Service, PIS) to usługa inicjowania transakcji płatniczych, dzięki której firmy trzecie będą mogły realizować płatności w imieniu klienta, po podaniu danych do logowania w bankowości internetowej przez klienta.

Firmy świadczące tego typu usługi będą musiały uzyskać specjalne zezwolenie w przeciwieństwie do firm świadczących drugi rodzaj usług, gdzie wymagana będzie tylko rejestracja, gdyż (Account Information Service, AIS) to usługa dostępu jedynie do informacji do rachunku. Dzięki niej, klienci będą mogli uzyskać dostęp do informacji o stanie konta bankowego czy historii transakcji również poza serwisem transakcyjnym swojego banku. Dane te będą mogły być pobierane przez zewnętrzne aplikacje za pomocą np. udostępnionego przez bank API. W ten sposób w jednym miejscu uzyskają dostęp do informacji o więcej niż jednym rachunku prowadzonych przez kilku dostawców usług płatniczych, gdzie będzie mógł szybko i łatwo zarządzać nimi wszystkim, bez konieczności każdorazowego logowania się do każdej z nich z osobna.

Jeśli chodzi o bezpieczeństwo tego typu nowych usług projekt ustawy wprowadza konieczność stosowania przy nich silnego uwierzytelniania użytkowników – o tym również pisaliśmy w osobnym wpisie. Generalnie chodzi o zastosowanie co najmniej dwóch elementów autoryzacyjnych takich jak numeru rachunku, hasło jednorazowe lub autoryzacja biometryczna. Do tej pory wymagane to było podczas dokonywania przelewów, z chwilą wejścia ustawy będzie to też konieczne podczas logowania do systemu transakcyjnego.

Dostawca będzie musiał stosować silne uwierzytelnianie w przypadku, gdy płatnik: uzyskuje dostęp do swojego rachunku w trybie online; inicjuje elektroniczną transakcję płatniczą; przeprowadza czynność za pomocą kanału zdalnego, która może się wiązać z ryzykiem oszustwa płatniczego lub innych nadużyć. To rozwiązanie znacznie poprawi bezpieczeństwo płatności elektronicznych.

Warto tu jeszcze wspomnieć o odpowiedzialności za nieautoryzowane transakcje. Będzie ona spoczywać na dostawcach tych usług od kwoty transakcji przekraczającej 50 euro, aktualnie próg ten wynosi 150 euro.

Z jednej strony zmniejszenie progu odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami płatniczymi, oznacza zwiększenie jego ochrony, z drugiej – chodzi o zdyscyplinowanie dostawców usług płatniczych do przestrzegania najwyższych standardów bezpieczeństwa płatności elektronicznych.

Wraz z pojawieniem się nowego rodzaju usług płatniczych pojawią się nowe podmioty, które je będą świadczyły – Małe Instytucje Płatnicze (MIP). Będą to mogły być osoby fizyczne, prawne lub jednostki niebędące osobą prawną mającą zdolność prawną. Firmy takie będą wpisane do rejestru małych instytucji płatniczych, prowadzonego i nadzorowanego przez Komisję Nadzoru Finansowego. Firmy MIP będą miały ograniczenie obrotu realizowanego w miesiącu do kwoty 1,5 mln euro.

Nadzór nad działalnością MIP będzie sprawować KNF. Oceniono, że MIP może być atrakcyjną formą prowadzenia działalności przez podmioty dopiero rozpoczynające działalność na rynku usług płatniczych, w szczególności z tzw. sektora fintech, tj. z tej części rynku finansowego, która dostarcza usługi i rozwiązania wykorzystujące najnowocześniejsze technologie, takie jak sztuczna inteligencja, automatyczne doradztwo, biometria czy analizy dużych baz danych. MIP będzie miała także pozytywny wpływ na mikro-, małe i średnie przedsiębiorstwa.

Nowe przepisy mają obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw.

Źródło: KPRM.

Photo: rsedlacek/Depositphotos

  • Petru-Dolary

    Później E-Sąd, który sprawdza tylko PESEL i nazwisko, i już masz bez twojej wiedzy wyrok który szybko się uprawomocnia i już masz konto zajęte przez komornika.

    Typowe przy ukradzeniu danych osobowych.

    Teraz Unia chce byśmy na lewo i prawo rozdawali różnym małym podmiotom nasze login i gasło do banku.

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Nikomu nie bedziesz dawac loginu i hasła do banku. To będzie rozwiązanie w stylu oauth gdzie będziesz tylko wyrażać zgodę na np pobranie stanu konta.

    • YY

      Zakładam że to będzie dobrowolne tak jak skorzystanie z Blika czy płacenie smartfonem przez NFC

  • Zajcef Fizzlewick

    Proszę nie wprowadzać w błąd. Uprawnieniem będzie nie login/hasło do bankowości, tylko token wystawiany przez bank na dany zakres danych (np. tylko lista transakcji z ostatniego miesiąca), dla danego pośrednika finansowego, o ważności ograniczonej czasowo. Nie będzie w nim zawartych ani loginu, ani hasła.

    • Bękart Mroku

      A już się przeraziłem, że chcą usankcjonować takie naruszenie bezpieczeństwa. Na portalu technologicznym raczej takich błędów nie powinno być w artykułach.