PSD2: Wszystko, co powinieneś wiedzieć

Dyrektywa w sprawie usług płatniczych 2 (PSD2) to europejskie rozporządzenie, które tworzy bardziej otwarty, konkurencyjny i bezpieczny krajobraz płatności w całej Europie. PSD2 zawiera wymagania dotyczące silnego uwierzytelniania klienta (ang. SCA - Strong Customer Authentication).

Silne uwierzytelnianie klienta (SCA) jest wymogiem dyrektywy PSD2. To połączenie trzech elementów, których firmy mogą używać do uwierzytelniania płatności. Elementy te obejmują coś, co znasz, posiadasz i czym jesteś - na przykład hasło, telefon i odcisk palca.

3D Secure to jeden z przykładów wykorzystania SCA do uwierzytelniania płatności.

Dyrektywa PSD1 została zatwierdzona w 2007 roku w celu stworzenia jednolitego rynku płatności w UE. Uprościła ona przetwarzanie płatności i stworzyła zasady i przepisy dotyczące usług płatniczych w UE. Otworzyło to drogę dla nowych dostawców usług płatniczych - jednym z nich jest Adyen. Dyrektywa PSD stworzyła podstawy prawne dla europejskiej infrastruktury płatności bankowych (SEPA - ang. Single Euro Payments Area), opartej na numerach IBAN i poleceniach zapłaty.

Dlaczego wprowadzono PSD?

Dyrektywa PSD weszła w życie w 2009 roku i reguluje płatności elektroniczne i bezgotówkowe na terenie Europejskiego Obszaru Gospodarczego. Obszar ten obejmuje Unię Europejską, Islandię, Norwegię i Liechtenstein. Przepisy zostały wprowadzone, by zapewnić szereg korzyści dla europejskiej gospodarki, takich jak: szybsze płatności, większą przejrzystość dla konsumentów i wzmocnione prawa zwrotu środków. Dyrektywa PSD zapewnia ramy prawne, w których muszą działać wszyscy dostawcy usług płatniczych.

Dlaczego PSD2 zastąpiło PSD1?

W 2013 roku Komisja Europejska opublikowała propozycję zaktualizowanej wersji Dyrektywy Dotyczącej Usług Płatniczych, mającej na celu zapewnienie ochrony konsumenta we wszystkich rodzajach płatności oraz stworzenie bardziej otwartego, konkurencyjnego krajobrazu płatności w Europie. Dyrektywa PSD2 została zatwierdzona w 2015 roku, a państwa członkowskie miały czas do 13 stycznia 2018 roku na jej wdrożenie do prawa krajowego.

Aby poprawić konkurencję w krajobrazie płatności, Komisja Europejska postanowiła, że Dyrektywa PSD2 powinna otworzyć drzwi dla instytucji finansowych spoza sektora bankowego, umożliwiając im dostęp do danych i rachunków bankowych. Wniosek o dostęp opierał się na idei, że dane i konta należą do klientów, a nie do banku.

Każda regulowana instytucja będzie miała dostęp do rachunków bankowych każdego, pod warunkiem uzyskania zgody właściciela (konsumenta) rachunku na wykonanie konkretnej czynności. Może to być np. uzyskanie informacji ze wyciągu bankowego lub dokonanie płatności.

Efektem tego jest ekosystem nowych i istniejących dostawców rozwiązań, którzy mogą rozwijać nowe metody płatności, takie jak otwarta bankowość, platformy doradztwa inwestycyjnego czy produkty do zarządzania finansami.

Z szansą pojawia się odpowiedzialność. Dlatego kompromisem są surowe wytyczne dotyczące tego, w jaki sposób nowi dostawcy uzyskują zgodę od konsumentów na dostęp do ich kont. Zgodnie z zapisami PSD2, wszystkie transakcje płatnicze między krajami UE muszą być regulowane, a wszyscy dostawcy usług płatniczych muszą być gotowi do spełnienia wymogów.

Dyrektywa PSD2 wprowadziła nowe usługi - AISP - dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku oraz PISP - dostawców usług inicjowania transakcji płatniczej. Istnieje jednak kilka wymogów, których muszą oni przestrzegać:

• PISP mogą inicjować przelewy SEPA. Ale w przeciwieństwie do poleceń zapłaty, przelewy będą ostateczne. Oznacza to, że nie mogą zezwolić na obciążenia zwrotne, a transakcje będą realizowane szybciej.

• AISP mogą wykorzystywać dane kont bankowych firm do tworzenia usług o wartości dodanej do celów weryfikacji, doradztwa inwestycyjnego i oszczędnościowego oraz prostego zarządzania pieniędzmi.

• Firmy takie jak organizatorzy wydarzeń i linie lotnicze nie mogą pobierać dodatkowej opłaty za płatność dokonywaną kartą.

• Aby poprawić ochronę klientów podczas płatności online, PSD2 wymaga większego bezpieczeństwa i nakazuje silne uwierzytelnianie klienta (SCA), zwane również uwierzytelnianiem dwuskładnikowym. Może to być postrzegane jako negatywny efekt uboczny bezpieczeństwa, ponieważ przerwa w procesie płatności może prowadzić do porzucenia koszyka. Istnieją jednak sposoby, by poprawić doświadczenie kupującego dzięki 3DS.

Dyrektywa PSD1 traktowała platformy jako obszar o niejasnych zasadach, co skutkowało rozbieżnościami, ponieważ różne kraje interpretowały PSD1 na różne sposoby. Zamiast być stroną odpowiedzialną za transakcje zakupu i sprzedaży, platformy były postrzegane jako usługodawcy, co ostatecznie zwalniało je z obowiązku przestrzegania regulacji.

PSD2 miała na celu zwiększenie bezpieczeństwa oraz poprawę doświadczenia klienta. Oznaczało to również wyeliminowanie obszaru niejasności dotyczącego platform, nakładając na nie wymóg posiadania takiej samej licencji płatniczej jak inne przedsiębiorstwa, jeśli działają w imieniu kupującego i sprzedającego.

Odkąd Wielka Brytania opuściła UE, nie ma już dostępu do rynku płatności stworzonego przez PSD2. W rezultacie biznes między Wielką Brytanią a UE stał się bardziej wymagający niż wcześniej. Spowodowało to wzrost kosztów i dodatkowe wymagania dotyczące danych, co z kolei skutkuje opóźnieniami w przelewach oraz trudnościami w terminowym regulowaniu płatności dla międzynarodowych dostawców.

Państwa członkowskie miały dwa lata, do stycznia 2018 roku, na wprowadzenie zmian w swoich krajowych prawach. W czerwcu 2017 roku Europejski Urząd Nadzoru Bankowego (ang. European Banking Authority) odpowiedział Komisji Europejskiej końcowym projektem Regulacyjnych Standardów Technicznych (ang. RTS - Regulatory Technical Standards) dotyczących Silnego Uwierzytelniania Klienta (SCA) oraz komunikacji w ramach PSD2.

Od czasu wprowadzenia PSD2 wiele się zmieniło, co skłoniło do aktualizacji regulacji. 28 czerwca 2023 roku Komisja Europejska zaproponowała zmiany i unowocześnienie PSD2, które stanie się PSD3, wprowadzając jednocześnie Rozporządzenie w sprawie Usług Płatniczych (PSR).

Jako w pełni regulowany dostawca usług płatniczych zgodny z PSD, jesteśmy dostępni, aby pomóc Ci dostosować się do zmian i zapewnić ciągłe usługi bez zakłóceń.

Chcesz być na bieżąco z najnowszymi zmianami w PSD? Sprawdź naszego bloga, aby dowiedzieć się więcej na temat Dyrektywy w sprawie Usług Płatniczych 3 (PSD3).