W parlamencie kończą się prace nad przepisami, które mają usunąć bariery rozwoju branży fintechów. Dzięki nim dostawcy nowatorskich usług zyskają m.in. dostęp do rachunku klientów banków.
Eksperci mówią: to największa rewolucja w przepisach dotyczących usług płatniczych od co najmniej dekady. I to taka, która w założeniu jest niekorzystna dla największych korporacji, w tym banków, zaś dobra dla mniejszych przedsiębiorców – chcących nowatorskimi pomysłami podbić branżę finansową. Ale do tej beczki miodu dorzucają łyżkę dziegciu: sektor małych i średnich przedsiębiorstw rzeczywiście na tym rynku może więcej i łatwiej pozyskać klientów, tyle że najpierw musi poznać i przystosować się do nowych reguł gry. Dodatkowo w wielu przypadkach będzie musiał się podporządkować nadzorowi Komisji Nadzoru Finansowego. A tego nikt nie lubi – ani duzi gracze, ani tym bardziej mali. Mowa tutaj o ustawie o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, którą pod koniec marca uchwalił Sejm, a w najbliższych dniach zajmie się nią Senat (ustawa ma wejść w życie w 14 dni po jej opublikowaniu w Dzienniku Ustaw, więc najprawdopodobniej w maju).
Nowelizacja to efekt implementacji dyrektywy PSD2 (z ang. Payment Services Directive 2; powinniśmy ją w Polsce wdrożyć do 13 stycznia 2018 r., więc już i tak występuje opóźnienie). Jej uchwalenie było nieuniknione, gdyż od czasu przyjęcia w ramach Unii Europejskiej jej poprzedniczki, dyrektywy PSD, regulującej rynek płatności detalicznych (dyrektywa 2007/64/WE Parlamentu Europejskiego i Rady z 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego; Dz.Urz. UE L 319/1), na rynku zaszły znaczne zmiany. Przede wszystkim – nastąpił gwałtowny wzrost innowacji technicznych, przejawiający się gwałtownym wzrostem liczby płatności elektronicznych i płatności realizowanych za pośrednictwem urządzeń przenośnych oraz pojawieniem się nowych rodzajów usług płatniczych. Mówiąc wprost: przepisy się mocno zestarzały i potrzebne okazały się nowe, podążające za duchem czasu, których naczelnym celem – czego unijni decydenci nie ukrywali – byłoby ożywienie rynku usług płatniczych, by nie był on zdominowany przez największe podmioty. Wówczas bowiem – jak wynika z analiz Komisji Europejskiej – brakuje wystarczającej konkurencji, co z kolei odbija się na kosztach ponoszonych przez konsumentów. PSD2 więc w największym skrócie to dyrektywa korzystna dla małych firm i klientów usług finansowych, zaś duże wyzwanie dla banków, które – ustępując im pola – mogą utracić część swoich wpływów.
Trzecia strona mocy, czyli co się zmieni
PSD2 w dużej mierze reguluje działanie podmiotów, które pojawiały się w ostatnich latach, tyle że działały bez legislacyjnego wsparcia. Dyrektywa – a w ślad za nią rodzima ustawa o usługach płatniczych – wprowadza nowy rodzaj usługodawców na rynku usług płatniczych, tzw. TPP (z ang. Third Party Provider), czyli dostawców niezależnych. Będą oni świadczyli przede wszystkim dwa rodzaje usług. Po pierwsze, możliwe stanie się inicjowanie transakcji płatniczej (tzw. PIS). Po drugie, pojawi się usługa dostępu do informacji o rachunku (tzw. AIS). Dostawca ją świadczący zapewni klientowi uporządkowane informacje online o co najmniej jednym lub kilku rachunkach płatniczych prowadzonych przez dostawców płatniczych.
W praktyce największą zmianą jest przyzwolenie na inicjowanie transakcji. W dużym uproszczeniu będzie ono polegać na udzieleniu dostawcy dostępu do rachunku online płatnika – w celu sprawdzenia dostępności środków, zainicjowania płatności, a następnie przedstawienia konsumentowi informacji o tym, że została ona zrealizowana. Zatem zewnętrzny podmiot (w założeniu: fintech) będzie legalnie uzyskiwał dostęp do wykonywania operacji na rachunku bankowym klienta danego podmiotu finansowego. To wręcz rewolucja, bo do tej pory większość polskich banków w swych regulaminach zabraniała bowiem udostępniania rachunku osobom trzecim. Sankcją było niemalże automatyczne odrzucenie reklamacji, jeśli doszło do jakichkolwiek nieprawidłowości w toku płatności. Ba, banki szły nawet dalej i odrzucały reklamacje dotyczące innych kwestii, wskazując na złamanie regulaminu w zakresie udostępniania danych dostępowych do rachunku! To blokowało – także zdaniem Ministerstwa Finansów – rozwój sektora finansowego. „W ciągu ostatnich lat pojawili się nowi dostawcy usług w dziedzinie płatności internetowych oferujący konsumentom możliwość płatności natychmiastowych za rezerwacje internetowe lub zakupy online, bez konieczności posiadania karty kredytowej (około 60 proc. ludności UE nie posiada karty kredytowej). Usługi te ustanawiają powiązanie płatności między płatnikiem a sprzedawcą internetowym za pośrednictwem modułu bankowości internetowej płatnika. Te innowacyjne i konkurencyjne cenowo rozwiązania płatnicze nazywane są usługami inicjowania płatności i są już dostępne w wielu państwach członkowskich (np. Sofort w Niemczech, IDeal w Holandii, Trustly w Szwecji)” – czytamy w uzasadnieniu do polskiej ustawy wdrożeniowej.
Co istotne, po zmianach tego typu usługodawcy nie wejdą w posiadanie środków pieniężnych klienta, który jedynie ma im zlecać wydawanie dyspozycji co do przekazywania środków. TPP będzie odpowiadał za przelew od klienta do osoby trzeciej. Zanim jednak taki podmiot zacznie świadczyć usługi płatnicze w Polsce, będzie musiał uzyskać pozwolenie na tego typu działalność oraz posiadać ubezpieczenie odpowiedzialności cywilnej. Przy czym wymogi dotyczące zezwolenia nie będą dotyczyły fintechów świadczących jedynie usługę dostępu do informacji o rachunku. W ich przypadku wystarczy rejestracja. Rodzimy ustawodawca, w ślad za unijnym prawodawcą, uznał bowiem, że usługi AIS mają charakter informacyjny i bliżej im do dobrego organizera płatności niż usługi, która jest z płatnościami związana w ścisłym znaczeniu.
Do inicjowania transakcji płatniczej przez niezależnych dostawców TPP chłodno podchodziły do tej pory organy nadzoru wielu państw członkowskich UE, w tym polska Komisja Nadzoru Finansowego. Głównie z powodu obaw o bezpieczeństwo klientów. Zasadniczo bowiem im mniej podmiotów ma dostęp do danych dostępowych do rachunku bankowego klienta – tym lepiej. I choć dyrektywa PSD2 i polskie przepisy nie rozwiewają wszystkich obaw, to tworzą system, w którym klienci podmiotów finansowych powinni czuć się względnie bezpieczni.
Ograniczenie odpowiedzialności
Najważniejsza zmiana dla przeciętnego obywatela to modyfikacja zasad odpowiedzialności za nieautoryzowaną transakcję na korzyść najsłabszych uczestników rynku. W PSD2 oraz w polskiej ustawie ograniczono odpowiedzialność płatnika (czyli klienta). Polegać to będzie w szczególności na zobowiązaniu dostawców usług płatniczych do niezwłocznego zwrotu płatnikowi kwoty nieautoryzowanej transakcji. Płatnik nie będzie również ponosił odpowiedzialności, jeżeli nie mógł sobie zdawać sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego. Mówiąc obrazowo: jeśli fintech nie zagwarantuje odpowiedniego poziomu bezpieczeństwa transakcji, to on będzie musiał pokryć powstałe wskutek tego straty (przed wejściem dyrektywy PSD2 bardzo często się zdarzało, że były one przerzucane na klienta).
Odpowiednie zabezpieczenia. Czyli jakie?
Aby zapewnić maksymalne możliwe bezpieczeństwo, dostawcy usług płatniczych będą mieli obowiązek stosowania mechanizmów tzw. silnego uwierzytelniania użytkownika.
Zgodnie z unijnymi wytycznymi silne uwierzytelnianie to takie, które jest oparte o zastosowanie co najmniej dwóch elementów spośród kategorii:
● wiedza (coś, co wie wyłącznie użytkownik; np. hasło, numer PIN);
● posiadanie (coś, co posiada wyłącznie użytkownik; np. telefon, na którym można odebrać wiadomość);
● cecha (coś, czym jest użytkownik; głównie elementy zabezpieczenia związane z biometrią).
Przykład silnego uwierzytelnienia? Klient usługi wprowadza cyfrowy kod do systemu dostępowego, a następnie przykłada kciuk do czytnika linii papilarnych na swoim telefonie.
Eksperci przewidują, że to właśnie metody silnego uwierzytelniania staną się głównym orężem podmiotów TPP. Większość z nich bowiem będzie świadczyła podobne usługi. Rywalizacja pojawi się zaś w aspekcie bezpieczeństwa – by z jednej strony spełnić wymóg silnego uwierzytelnienia, a z drugiej by obrany sposób był jak najmniej uciążliwy dla klienta. Bowiem ten ostatni – jak pokazują wszystkie analizy – nie lubi wprowadzania np. siedmiu różnych haseł i potwierdzania chęci wykonania transakcji zarówno na laptopie, jak i w telefonie komórkowym, w tym głosowo – gdy zadzwoni konsultant.
Konieczność zagwarantowania silnego uwierzytelniania – pomijając prawny obowiązek – jest korzystna dla odbiorców usług także z innego powodu. Otóż gdy dostawca usługi nie będzie wymagał silnego uwierzytelnienia, wówczas to on w całości poniesie odpowiedzialność za nieautoryzowaną transakcję. Oczywiście może próbować zrzucać winę na klienta, ale w takiej sytuacji to na nim będzie spoczywać ciężar udowodnienia złej wiary płatnika. Podobnie będzie w przypadku transakcji z udziałem dostawcy PIS – to on będzie musiał udowodnić, że dokonana transakcja płatnicza została uwierzytelniona, dokładnie zapisana i że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą, za którą dostawca odpowiada.
Na korzyść klientów zmieni się także wysokość progu transakcji, za którą odpowiada instytucja płatnicza. Obecnie próg odpowiedzialności płatnika (klienta) za straty spowodowane nieautoryzowanymi transakcjami płatniczymi wynosi 150 euro. Po wejściu w życie ustawy będzie wynosił zaledwie 50 euro.