Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partnerzy wspierający
Partnerzy merytoryczni
Te przepisy oznaczają pożegnanie z łatwymi płatnościami w internecie. One click odejdzie w przeszłość?

Chodzi o projekt standardów technicznych do dyrektywy PSD II, opublikowany niedawno przez Europejski Urząd Nadzoru Bankowego

Druga dyrektywa dotycząca rynku usług płatniczych od dawna wzbudza kontrowersje, m.in. w środowisku bankowym. PSD II wprowadza bowiem szereg rozwiązań, których celem jest zwiększenie konkurencji na rynku usług finansowych, na czym banki mogą sporo stracić. Mowa na przykład o dostępie do rachunków przez tzw. podmioty trzecie. Jak w praktyce będzie to wyglądało, dotychczas nikt nie wiedział, bo brakowało tzw. RTS-ów, czyli technicznych standardów, według których systemy informatyczne podmiotów trzecich i banków miałyby ze sobą rozmawiać.

Projekt RTS-ów właśnie został opublikowany przez Europejski Urząd Nadzoru Bankowego (EBA) a ja mogę się założyć, że po lekturze tego dokumentu wielu specjalistów przeciera oczy ze zdumienia. Bo o ile można powiedzieć, że PSD II mocno otwiera rynek finansowy na nowe usługi, o tyle projekt RTS-ów jest mocno konserwatywny, a zawarte w nim wymagania stawiają pod znakiem zapytania wiele rozwiązań, do których klienci już zdołali się przyzwyczaić.

Przeczytajcie także: Wielki wyciek danych z bazy Pesel. Jak się bronić?

Ale po kolei. Można było się spodziewać, że RTS-y wprowadzą wymóg stosowania tzw. silnego uwierzytelnienia podczas logowania na rachunek. Oznacza to, że aby dostać się na własne konto, nie wystarczy podanie loginu i hasła, ale potrzebne będzie potwierdzenie tego jeszcze hasłem jednorazowym, tak jak potwierdzacie przelewy jednorazowe. Specjaliści spodziewali się tego, o czym mogliście przeczytać na Cashless już w kwietniu w tekście, który znajduje się tutaj.

Natomiast zaskakujące jest wprowadzenie obowiązku silnego uwierzytelnienia dla większości transakcji w środowisku e-commerce czy m-commerce. Oznacza to praktycznie koniec płatności nazywanych dziś umownie one clickami, a opartych o karty płatnicze, pay by linki czy wirtualne portmonetki. Pod znakiem zapytania staje więc rozwój w Unii Europejskiej takich produktów jak MasterPass, Visa Checkout, PayPal One Touch czy PayU PayTouch.

Przeczytajcie także: Tak byście płacili, gdyby Zachód zaatakował PRL

W projekcie przepisów zaproponowanym przez EBA jest jednak kilka wyjątków od wymogu silnego uwierzytelnienia. Jeden z nich dotyczy zdalnych transakcji płatniczych o pojedynczej wartości do 10 euro, jednocześnie będących w sekwencji, której łączna wartość nie przekracza 100 euro.

– Wydaje się, że europejskiemu nadzorcy chodzi o to, aby te niewielkie transakcje nie musiały być silnie uwierzytelniane. Niestety projekt przepisu został w tym zakresie skonstruowany nieco wadliwie. W przypadku jego zbyt literalnej interpretacji można byłoby uznać, że jego autorzy chcieli zdalne transakcje zwolnić nie od obowiązku silnego uwierzytelnienia klienta, ale tylko od konieczności podawania w SMS-ie autoryzacyjnym danych odbiorcy lub kwoty transakcji, a przecież trudno przypuszczać, by o to chodziło EBA. W toku dalszych konsultacji na pewno zostanie to wyjaśnione – uważa dr Konrad Stolarski, specjalista z zakresu prawa regulacji rynków finansowych w kancelarii dLK Korus Okoń.

Przeczytajcie także: Kupowanie polisy już nie może być prostsze

Wyjaśnienia wymagać też będzie kwestia limitu dla sekwencji transakcji, wynoszącego 100 euro. O ile jasne jest to, że w przypadku przekroczenia limitu 100 euro trzeba będzie zastosować silne uwierzytelnienie transakcji, o tyle nie jest do końca jasne w jakim okresie transakcje będą do tego limitu zliczane, czy np. przez tydzień, miesiąc czy, że limitu czasowego nie będzie w ogóle.

Ponadto z RTS-ów wynika, że jednym z elementów silnego uwierzytelnienia nie może być tzw. biometria behawioralna. Rozwiązanie to polega na analizie zachowań transakcyjnych klientów. Jeżeli na przykład dana osoba zwykle w ostatni piątek miesiąca kupuje artykuły spożywcze w sklepie internetowym za podobną kwotę, to po pewnym czasie, przy kolejnej transakcji można założyć, że płaci ta sama osoba. A nie na przykład haker, który przejął kontrolę nad jej rachunkiem czy kartą. Część dostawców usług płatniczych argumentowała więc, że w takim wypadku wystarczy jedno zabezpieczenie, np. podanie numeru CVV/CVC z rewersu karty płatniczej bez konieczności autoryzacji kodem jednorazowym. Projekt RTS-ów jednak na to nie pozwala.

To dopiero projekt wytycznych technicznych, który może ulec zmianie. Najbliższa taka możliwość nadarzy się we wrześniu, kiedy odbędą się konsultacje z zainteresowanymi uczestnikami rynku.

KATEGORIA
TEMAT DNIA
UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies