Partnerzy strategiczni
MasterCard Visa BLIK
Partnerzy wspierający
KIR ITCARD Polcard
Partnerzy wspierający
Elavon Hitachi Vivus
Partnerzy wspierający
Pekao Wesub
Partnerzy wspierający
LexisNexis Autopay
Partnerzy merytoryczni
Związek Banków Polskich Polska bezgotówkow
Jacek Uryniuk

26.08.2016 17:40

Te przepisy oznaczają pożegnanie z łatwymi płatnościami w internecie. One click odejdzie w przeszłość?
TEMAT DNIA
7

Chodzi o projekt standardów technicznych do dyrektywy PSD II, opublikowany niedawno przez Europejski Urząd Nadzoru Bankowego

Druga dyrektywa dotycząca rynku usług płatniczych od dawna wzbudza kontrowersje, m.in. w środowisku bankowym. PSD II wprowadza bowiem szereg rozwiązań, których celem jest zwiększenie konkurencji na rynku usług finansowych, na czym banki mogą sporo stracić. Mowa na przykład o dostępie do rachunków przez tzw. podmioty trzecie. Jak w praktyce będzie to wyglądało, dotychczas nikt nie wiedział, bo brakowało tzw. RTS-ów, czyli technicznych standardów, według których systemy informatyczne podmiotów trzecich i banków miałyby ze sobą rozmawiać.

Projekt RTS-ów właśnie został opublikowany przez Europejski Urząd Nadzoru Bankowego (EBA) a ja mogę się założyć, że po lekturze tego dokumentu wielu specjalistów przeciera oczy ze zdumienia. Bo o ile można powiedzieć, że PSD II mocno otwiera rynek finansowy na nowe usługi, o tyle projekt RTS-ów jest mocno konserwatywny, a zawarte w nim wymagania stawiają pod znakiem zapytania wiele rozwiązań, do których klienci już zdołali się przyzwyczaić.

Przeczytajcie także: Wielki wyciek danych z bazy Pesel. Jak się bronić?

Ale po kolei. Można było się spodziewać, że RTS-y wprowadzą wymóg stosowania tzw. silnego uwierzytelnienia podczas logowania na rachunek. Oznacza to, że aby dostać się na własne konto, nie wystarczy podanie loginu i hasła, ale potrzebne będzie potwierdzenie tego jeszcze hasłem jednorazowym, tak jak potwierdzacie przelewy jednorazowe. Specjaliści spodziewali się tego, o czym mogliście przeczytać na Cashless już w kwietniu w tekście, który znajduje się tutaj.

Natomiast zaskakujące jest wprowadzenie obowiązku silnego uwierzytelnienia dla większości transakcji w środowisku e-commerce czy m-commerce. Oznacza to praktycznie koniec płatności nazywanych dziś umownie one clickami, a opartych o karty płatnicze, pay by linki czy wirtualne portmonetki. Pod znakiem zapytania staje więc rozwój w Unii Europejskiej takich produktów jak MasterPass, Visa Checkout, PayPal One Touch czy PayU PayTouch.

Przeczytajcie także: Tak byście płacili, gdyby Zachód zaatakował PRL

W projekcie przepisów zaproponowanym przez EBA jest jednak kilka wyjątków od wymogu silnego uwierzytelnienia. Jeden z nich dotyczy zdalnych transakcji płatniczych o pojedynczej wartości do 10 euro, jednocześnie będących w sekwencji, której łączna wartość nie przekracza 100 euro.

– Wydaje się, że europejskiemu nadzorcy chodzi o to, aby te niewielkie transakcje nie musiały być silnie uwierzytelniane. Niestety projekt przepisu został w tym zakresie skonstruowany nieco wadliwie. W przypadku jego zbyt literalnej interpretacji można byłoby uznać, że jego autorzy chcieli zdalne transakcje zwolnić nie od obowiązku silnego uwierzytelnienia klienta, ale tylko od konieczności podawania w SMS-ie autoryzacyjnym danych odbiorcy lub kwoty transakcji, a przecież trudno przypuszczać, by o to chodziło EBA. W toku dalszych konsultacji na pewno zostanie to wyjaśnione – uważa dr Konrad Stolarski, specjalista z zakresu prawa regulacji rynków finansowych w kancelarii dLK Korus Okoń.

Przeczytajcie także: Kupowanie polisy już nie może być prostsze

Wyjaśnienia wymagać też będzie kwestia limitu dla sekwencji transakcji, wynoszącego 100 euro. O ile jasne jest to, że w przypadku przekroczenia limitu 100 euro trzeba będzie zastosować silne uwierzytelnienie transakcji, o tyle nie jest do końca jasne w jakim okresie transakcje będą do tego limitu zliczane, czy np. przez tydzień, miesiąc czy, że limitu czasowego nie będzie w ogóle.

Ponadto z RTS-ów wynika, że jednym z elementów silnego uwierzytelnienia nie może być tzw. biometria behawioralna. Rozwiązanie to polega na analizie zachowań transakcyjnych klientów. Jeżeli na przykład dana osoba zwykle w ostatni piątek miesiąca kupuje artykuły spożywcze w sklepie internetowym za podobną kwotę, to po pewnym czasie, przy kolejnej transakcji można założyć, że płaci ta sama osoba. A nie na przykład haker, który przejął kontrolę nad jej rachunkiem czy kartą. Część dostawców usług płatniczych argumentowała więc, że w takim wypadku wystarczy jedno zabezpieczenie, np. podanie numeru CVV/CVC z rewersu karty płatniczej bez konieczności autoryzacji kodem jednorazowym. Projekt RTS-ów jednak na to nie pozwala.

To dopiero projekt wytycznych technicznych, który może ulec zmianie. Najbliższa taka możliwość nadarzy się we wrześniu, kiedy odbędą się konsultacje z zainteresowanymi uczestnikami rynku.

KATEGORIA
TEMAT DNIA
UDOSTĘPNIJ TEN ARTYKUŁ
TAGI: PSD II, PŁATNOŚCI INTERNETOWE, PAY BY LINK, ONE CLICK
Jacek Uryniuk
Redaktor naczelny
Aktywny od:12.01.2015 · Dodał(a): 7829 artykułów

Inne artykuły tego autora

Kolejne obowiązki instytucji finansowych wobec KNF. Rząd pracuje nad projektem ustawy dotyczącej cyberbezpieczeństwa
Nowe rozwiązanie dla firm transportowych: kasa fiskalna, terminal płatniczy oraz bileterka w jednym urządzeniu
Blik Płacę Później już nie tylko w VeloMarkecie. Nowa metoda płatności pojawiła się w sklepie Morele
158 zł. Tyle operatorzy niezależni zarabiają miesięcznie na obsłudze jednego bankomatu
Dobra informacja dla SkyCash. Odmowa wszczęcia dochodzenia po doniesieniu KNF – decyzją sądu – prawomocna
Pokaż wszystkie artykuły autora

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies