Dostosowanie polskiego prawa do unijnej dyrektywy PSD2, regulującej usługi płatnicze w internecie - to przedmiot nowelizacji ustawy o usługach płatniczych, którą we wtorek ma się zająć rząd.
Na implementacje PSD2 do prawa krajowego państwa członkowskie Unii Europejskiej mają czas do 13 stycznia 2018 roku. Zgodnie z zapisami polskiego projektu ustawy, którą we wtorek zajmie się rząd, wejdzie ona w życie 14 dni po jej ogłoszeniu.
Płatności w internecie
Pierwsza dyrektywą PSD wprowadziła między innymi wymóg, że przelew międzybankowy musi dojść najpóźniej następnego dnia od wysłania. Obecna PSD2 reguluje kwestię cyberbezpieczeństwa i płatności w internecie. Chodzi między innymi o zasadę, że muszą występować dwa czynniki różnej natury, które będą uwierzytelniać daną płatność.
W ciągu ostatnich lat pojawili się nowi dostawcy usług, oferujący konsumentom możliwość płatności natychmiastowych za rezerwacje internetowe lub zakupy online, bez konieczności posiadania karty kredytowej (około 60 proc. ludności UE nie posiada karty kredytowej). Usługi te ustanawiają powiązanie płatności między płatnikiem a sprzedawcą internetowym za pośrednictwem modułu bankowości internetowej płatnika. Do tej pory działalność tych nowych dostawców nie była regulowana na poziomie UE. PSD2 obejmuje tych dostawców, regulując kwestie odnoszące się do poufności, pewności i bezpieczeństwa takich transakcji. Dyrektywa, a w ślad za nią projekt nowelizacji ustawy, wprowadza więc nowe kategorie instytucji płatniczych. Będą to tzw. podmioty trzecie (TPP - third party providers), działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych. Będą się do nich zaliczać dwie kategorie podmiotów - instytucje płatnicze, inicjujące płatność (świadczące usługę przeprowadzenia płatności w internecie w imieniu klienta tzw. PIS), a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji - tzw. AIS). Podmioty trzecie będą musiały być zarejestrowane i posiadać licencję Komisji Nadzoru Finansowego. W Polsce takie podmioty już funkcjonują - świadczą np. usługi realizacji płatności w sklepach internetowych.
Instytucja płatnicza
Nowela wprowadza też kolejny podmiot, uprawniony do świadczenia usług płatniczych - małą instytucję płatniczą (MIP). Chodzi o "osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, wpisaną do rejestru małych instytucji płatniczych, prowadzącą działalność w zakresie usług płatniczych". MIP będą mogły wykonywać swoją działalność wyłącznie na terytorium Rzeczypospolitej Polskiej po uzyskaniu wpisu do rejestru małych instytucji płatniczych. Dozwolone będzie także prowadzenie działalności gospodarczej innej, przy czym ograniczono wielkość obrotu do 1,5 mln euro miesięcznie.
Konsumenci będą lepiej chronieni
Wprowadzane przez projekt noweli zmiany, jak wynika z uzasadnienia, ograniczają odpowiedzialność konsumenta. Płatnik nie będzie np. ponosił odpowiedzialności, "jeżeli nie mógł sobie zdawać sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego". W razie braku wymogu silnego uwierzytelnienia klienta - płatnik nie poniesie odpowiedzialności za zaistniałą szkodę. Nowe przepisy zmniejszają próg odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami płatniczymi ze 150 euro do 50 euro. PSD2 i wdrażająca dyrektywę nowela ma także pomóc obniżyć opłaty dla konsumentów i zakazuje pobierania dodatkowych prowizji za płatność kartami w zdecydowanej większości przypadków, zarówno dla płatności internetowych, jak i w tradycyjnych. "Konsumenci będą lepiej chronieni przed nadużyciami finansowymi dzięki odpowiednim zabezpieczeniom. Nowe regulacje zawężą i dalej ujednolicą zasady odpowiedzialności w zakresie nieautoryzowanych transakcji, zapewniając lepszą ochronę płatników. Z wyjątkiem przypadków oszustwa lub rażącego niedbalstwa płatnika, maksymalna kwota, którą płatnik może być zobowiązany do zapłaty w przypadku nieautoryzowanej transakcji płatniczej będzie się zmniejszać od 150 euro do 50 euro" - głosi uzasadnienie. "Nowe przepisy przewidują także wysoki poziom bezpieczeństwa płatności. Jest to kluczowa kwestia dla wielu użytkowników usług płatniczych, a zwłaszcza konsumentów płacących za pośrednictwem Internetu. Wszyscy dostawcy usług płatniczych, w tym banki, instytucje płatniczych lub dostawcy zewnętrzni - dostawcy niezależni, tzw. TPP (TPP - third party providers), będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności. Dostawcy usług płatniczych będą musieli przeprowadzać ocenę ryzyka operacyjnego i ryzyka w zakresie zabezpieczeń, jak również podejmowanych działań w tym zakresie, w stosunku rocznym" - czytamy.
Potencjalne zagrożenia
Dyrektor Przedstawicielstwa Związku Banków Polskich w Brukseli Piotr Gałązka mówił jednak niedawno, że dyrektywa PSD2 niesie ze sobą także pewne zagrożenia, bo w myśl nowych przepisów będzie możliwość podania loginu i hasła do konta bankowego na stronie instytucji płatniczej, czyli TPP. - Do tej pory obowiązywała zasada, że loginu i hasła używało się tylko na stronie banku i nie podawało ich na innych stronach. To gwarantowało bezpieczeństwo środków, jeśli hasło nie zostało nikomu ujawnione. Wraz z nowymi przepisami ta sztywna zasada trochę się rozmywa - zwracał uwagę Gałązka. - Pojawia się bowiem pytanie, czy wszyscy konsumenci będą w stanie prawidłowo rozpoznawać takie podmioty trzecie - mówił przedstawiciel ZBP.
Jak czytamy w uzasadnieniu, "nowe przepisy powinny przyczynić się do zwiększenia konkurencji na rynku płatności elektronicznych, przez zapewnienie niezbędnego zabezpieczenia prawnego dla firm rozpoczynających działalność bądź kontynuujących funkcjonowanie na rynku".
Autor: mb, ps/ms / Źródło: PAP, tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock