Co unijna dyrektywa PSD3 zmieni w otwartej bankowości? 

Regulacje związane z unijną dyrektywą PSD2 obowiązują w Polsce już od ponad trzech lat. Komisja Europejska rozpoczęła konsultacje związane z kolejną wersją Payment Service Directive. Co może zmienić PSD3?

PSD3 – określający nowe standardy otwartej bankowości – będzie dotyczyć silnego uwierzytelniania klienta (SCA). Ma to ograniczyć liczbę oszustw związanych z płatnościami elektronicznymi. Wprowadzenie do porządku prawnego nowej unijnej dyrektywy ma skutkować ułatwieniem zawierania transakcji przez konsumentów ze sprzedawcami i bankami. Celem jest również przyspieszenie wymiany informacji między bankami oraz organami podatkowymi i podmiotami przetwarzającymi płatności.

W Authologic rozwijamy platformę koordynującą i agregującą różne metody weryfikacji tożsamości. Open banking już teraz umożliwia nam szybkie i bezpieczne uwierzytelnienie klienta czy przekazywanie danych z historii rachunku do systemów scoringowych. 

Co nas czeka? Projekt wstępny dyrektywy PSD3 ma być opracowany do połowy przyszłego roku. Wejdzie on jednak w życie najwcześniej trzy lata później. Z naszej perspektywy, jednym z najciekawszych rozwiązań z zakresu open bankingu mogą stać się – realizowane przez dostawców usług inicjowania płatności – przelewy między rachunkami (A2A). To umożliwiłoby transfer środków bez konieczności korzystania z pośredników, jakimi są np. karty bankowe. 

Jakie zmiany mogą nas czekać w związku z PSD3? Swój komentarz przygotowałem w oparciu o konsultację prawną, jakiej mi udzielił Krzysztof Korus z kancelarii DLK Legal.

PSD3 skłoni bank do szerszego dzielenia się informacjami z zewnętrznymi dostawcami usług finansowych

Samo PSD3 powinno nakazać bankom dostarczania podmiotom typu AISP (tj. dostawcom świadczącym wyłącznie usługę dostępu do informacji o rachunku) konkretnych informacji z rachunku klienta, chociażby takich jak imię i nazwisko, czy PESEL. W takiej sytuacji bank mógłby stać się również źródłem informacji o tożsamości osoby, która przeprowadza transakcję, bardzo ułatwiając wiele procesów biznesowych. 

Aktualnie, trzy lata po wprowadzeniu PSD2, nadal mamy banki, które nie udostępniły interfejsów dostępowych, a niektóre nie zwracają danych, mimo że mają taki obowiązek. Spodziewamy się, że przy okazji kolejnej dyrektywy płatniczej banki zostaną bezwzględnie zobowiązane do udostępnienia swojego API. Krzysztof Korus z kancelarii DLK Legal uważa, że PSD3 będzie zawierało także nowe przepisy o open finance, czyli umożliwienie dostępu do kolejnych informacji bankowych, takich jak oszczędności, ubezpieczenia i produkty inwestycyjne danego klienta (oczywiście za jego zgodą).

Zmiany w PSD3 w zakresie bezpieczeństwa transakcji i silnego uwierzytelniania klienta (SCA)

Krzysztof Korus spodziewa się rozszerzenia SCA (silnego uwierzytelnienia klienta) na wybrane płatności MIT (card on file) oraz na wybrane transakcje podmiotów zwolnionych (np. na karty paliwowe).

W open banking spodziewamy się umożliwienia podmiotom trzecim (tzw. TPP, zewnętrzny dostawca usług) stosowania własnego silnego uwierzytelniania w miejsce SCA dostawcy usług płatniczych (Account Servicing Payment Service Provider), czyli np. banku. Przewidujemy rozszerzenie obowiązku silnego uwierzytelnienia klienta także na inne niż rachunki płatnicze produkty finansowe. 

Regulacje nowych rodzajów płatności w PSD3

Czy dyrektywa powinna regulować płatności kryptograficzne czy odroczone? Kancelaria DLK Legal zauważa, że płatności krypto reguluje projekt MiCA (rozporządzenie w sprawie rynków kryptowalutowych), którego uchwalenia spodziewamy się w listopadzie 2022 roku, razem z DORA. Uregulowanie obejmie kryptowaluty o charakterze stable coins. 

Płatności odroczone uregulowane zostaną całkowicie przez II dyrektywę o kredycie konsumenckim, przede wszystkim w taki sposób, iż niezależnie od konstrukcji BNPL (czy koszty pokrywane przez kupującego czy merchanta) w każdym przypadku będzie on objęty przepisami o kredycie konsumenckim (przede wszystkim obowiązkiem oceny zdolności kredytowej).

PSD3 może ułatwić pracę przedsiębiorców

Wspomniane wcześniej zmiany w zakresie open finance (czyli włączenie do otwartych API bankowych pozostałych produktów finansowych, w tym inwestycyjnych i ubezpieczeniowych) umożliwią rozwój aplikacji do zarządzania całymi finansami w jednym miejscu.

Wprowadzenie obowiązku wdrożenia API i dostarczania informacji o tożsamości będzie sprzyjać dalszemu rozwojowi produktów opartych o otwartą bankowość. Będzie również krokiem w kierunku zwiększenia bezpieczeństwa tożsamości w internecie.

By to wszystko było możliwe i działało w odpowiedni sposób, dyrektywa PSD3 powinna wprowadzić rozliczalność banków za dostępność ich interfejsów. Mimo istniejących już zapisów, praktyka pokazuje, że API banków nie jest traktowane, pod względem dostępności, na równi z ich bankowością internetową.

Autor

Krzysztof Klimczak, Authologic. Konsultacja prawna: Krzysztof Korus, DLK Legal