04 września 2024

Zmiany prawne wynikające z pakietu legislacyjnego PSR/PSD3

Prace nad nowym pakietem regulacyjnym obejmującym rozporządzenie ws. usług płatniczych (PSR) oraz nową dyrektywę ws. usług płatniczych (PSD3) jeszcze trwają. Co prawda Parlament Europejski przyjął 23 kwietnia 2024 r. tekst obu aktów prawnych, jednak prace nad pakietem będą kontynuowane przez nowy Parlament Europejski, Komisję Europejską oraz Radę Unii Europejskiej. Obserwując zakres i doniosłość uwag zgłaszanych do projektów, m.in., przez środowisko bankowe skupione w European Banking Federation, a także konieczność dalszego doprecyzowania niektórych obszarów w przepisach wykonawczych, ostateczny kształt nowych regulacji może ulec daleko idącym zmianom.

dr Wojciech Iwański, Adwokat, partner w kancelarii Sołtysiński Kawecki & Szlęzak

dr Mateusz Blocher, Adwokat, Senior Counsel w kancelarii Sołtysiński Kawecki & Szlęzak

Odnosząc się jednak do obecnie przyjętego tekstu, w naszej ocenie za najistotniejsze z punktu widzenia banków spółdzielczych mogą być uznane następujące zmiany:

1. Zaostrzenie odpowiedzialności za transakcje nieautoryzowane – w szczególności zmiana w art. 55 ust. 1 PSR względem dotychczasowego brzmienia art. 72 ust. 1 PSD2 (zastąpienie słowa „uwierzytelnienie” słowem „autoryzacja”, zmiana definicji autoryzacji poprzez jej ścisłe powiązanie z elementem pełnej świadomości płatnika co do istotnych elementów transakcji oraz przeniesienie na dostawców usług płatniczych, w tym banki spółdzielcze, odpowiedzialności za skutki niektórych oszustw, których ofiarami stali się ich klienci (podszycie się pod pracownika banku – projektowany art. 59 PSR). Jeżeli proponowane obecnie rozwiązania zostaną rzeczywiście przyjęte, będą oznaczały znaczny wzrost ryzyka operacyjnego po stronie banków spółdzielczych. Niekorzystne (przynajmniej w Polsce) orzecznictwo oraz stanowiska organów ochrony konsumentów, w połączeniu z nowymiprzepisami będą oznaczały, że obrona banków przed skrajnie negatywnymi konsekwencjami będzie wymagała wdrażania bardzo zaawansowanych (i drogich) rozwiązań antyfraudowych.

2. Weryfikacja unikatowego identyfikatora odbiorcy (tzw. IBAN-check, VoP – verification of payee) – czyli obowiązek poinformowania płatnika, w czasie rzeczywistym, po wpisaniu danych odbiorcy, ale przed złożeniem zlecenia płatniczego, o zgodności bądź stopniu
braku zgodności pomiędzy wskazaną przez płatnika nazwą odbiorcy, a podanym unikatowym identyfikatorem (np. numerem rachunku bankowego). Analogiczne rozwiązanie już zostało przewidziane w rozporządzeniu o płatnościach natychmiastowych w euro,
natomiast w świetle PSR będzie wymagane w przypadku wszystkich rozliczeń. Sektorowi bankowemu nie sprzyja także fakt, że pomiędzy rozwiązaniami przyjętymi w ramach rozporządzenia o płatnościach natychmiastowych w euro, a rozwiązaniami projektowanymi w PSR, występują istotne różne. Funkcjonalność taka, choć niewątpliwie korzystna dla klientów i podwyższająca ich bezpieczeństwo, będzie wymagała stworzenia odpowiednich rozwiązań strukturalnych na poziomie całego rynku europejskiego. Obecnie nie jest jasne, kto powinien je stworzyć i czy będą one odpowiednie dla mniejszych
podmiotów.

3. Zmiana zasad stosowania silnego uwierzytelniania użytkownika (SCA) – czyli, z jednej strony, rezygnacja z pewnych obciążających banki wymogów wprowadzonych wskutek przyjęcia PSD2 (np. wymogu stosowania elementów z dwóch różnych kategorii SCA),
ale jednocześnie zakaz konstruowania procesów SCA w sposób opierający się wyłącznie na smartfonach oraz konieczność uwzględnienia potrzeb osób ze szczególnymi potrzebami, osób starszych oraz osób o niższych umiejętnościach cyfrowych. Nowe, szczegółowe wymogi mają zostać doprecyzowane w przyszłych regulacyjnych standardach technicznych, jednak już teraz wiemy, że konieczna będzie dywersyfikacja i uproszczenie niektórych sposobów silnego uwierzytelniania użytkowników wypracowanych w ostatnich latach. Nie jest wykluczone, że aby sprostać nowym wymogom regulacyjnym w tym obszarze, banki będą musiały powrócić do rozwiązań technicznych stopniowo wycofywanych od czasu wejścia w życie PSD2 (np. tokenów fizycznych).

Termin na dostosowanie się uczestników rynku do nowych rozwiązań nie będzie przesadnie długi – najprawdopodobniej ograniczy się do 21 miesięcy od daty finalnego ich przyjęcia na poziomie europejskim, z pewnymi wyjątkami (np. w zakresie IBAN check). Co istotne, nie należy zapominać, że PSR jest rozporządzeniem, nie dyrektywą – jak PSD2. PSR nie wymaga więc implementacji i będzie stosowane w Polsce bezpośrednio. Sektor bankowy powinien śledzić więc na bieżąco postępy unijnych prac legislacyjnych, gdyż to od ich postępu będzie zależeć konieczność rozpoczęcia działań w celu dostosowania się banków do nowych ram prawnych. Do czasu przyjęcia ostatecznego teksu nowych aktów prawnych podejmowanie pełnych prac wdrożeniowych może być jednak przedwczesne. Niemniej zaangażowanie w prace legislacyjne i zgłaszanie uwag sektorowych, oraz rozpoczęcie wstępnych analiz z punktu widzenia stosowanych obecnie rozwiązań, są jak najbardziej wskazane.

DR WOJCIECH IWAŃSKI
Doktor nauk prawnych, adwokat, partner w jednej z największych polskich kancelarii. Specjalizuje się w regulacji usług finansowych, przede wszystkim bankowych i płatniczych. Wyróżniony przez Dziennik Gazetę Prawną tytułem Rising Star w 2015 r. Od 2020 r. indywidualnie rekomendowany w międzynarodowych rankingach Chambers FinTech (Band 1) oraz Chambers Europe Banking & Finance: Regulatory (Band 3). Wykładowca studiów podyplomowych na Uczelni Łazarskiego oraz w ramach Cyber Science (wspólnego projektu Uniwersytetu Śląskiego, Politechniki Śląskiej, Uniwersytetu Ekonomicznego w Katowicach oraz NASK).

DR MATEUSZ BLOCHER
Doktor nauk prawnych, adwokat, specjalizuje się w prawie bankowym publicznym i prywatnym, ze szczególnym uwzględnieniem problematyki usług płatniczych, kredytu konsumenckiego oraz przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Członek Stowarzyszenia Prawa Nowych Technologii. Indywidualnie rekomendowany w rankingach Legal 500 oraz Chambers FinTech Legal w kategorii „Star Associates".

×

Niezbędne pliki cookies

Te pliki cookie są niezbędne do działania strony i nie można ich wyłączyć. Służą na przykład do utrzymania zawartości koszyka użytkownika. Możesz ustawić przeglądarkę tak, aby blokowała te pliki cookie, ale wtedy strona nie będzie działała poprawnie.

Zawsze aktywne

Analityczne pliki cookie

Te pliki cookie pozwalają liczyć wizyty i źródła ruchu. Dzięki tym plikom wiadomo, które strony są bardziej popularne i w jaki sposób poruszają się odwiedzający stronę. Wszystkie informacje gromadzone przez te pliki cookie są anonimowe.