Zmiany prawne wynikające z pakietu legislacyjnego PSR/PSD3
Prace nad nowym pakietem regulacyjnym obejmującym rozporządzenie ws. usług płatniczych (PSR) oraz nową dyrektywę ws. usług płatniczych (PSD3) jeszcze trwają. Co prawda Parlament Europejski przyjął 23 kwietnia 2024 r. tekst obu aktów prawnych, jednak prace nad pakietem będą kontynuowane przez nowy Parlament Europejski, Komisję Europejską oraz Radę Unii Europejskiej. Obserwując zakres i doniosłość uwag zgłaszanych do projektów, m.in., przez środowisko bankowe skupione w European Banking Federation, a także konieczność dalszego doprecyzowania niektórych obszarów w przepisach wykonawczych, ostateczny kształt nowych regulacji może ulec daleko idącym zmianom.
dr Wojciech Iwański, Adwokat, partner w kancelarii Sołtysiński Kawecki & Szlęzak
dr Mateusz Blocher, Adwokat, Senior Counsel w kancelarii Sołtysiński Kawecki & Szlęzak
Odnosząc się jednak do obecnie przyjętego tekstu, w naszej ocenie za najistotniejsze z punktu widzenia banków spółdzielczych mogą być uznane następujące zmiany:
1. Zaostrzenie odpowiedzialności za transakcje nieautoryzowane – w szczególności zmiana w art. 55 ust. 1 PSR względem dotychczasowego brzmienia art. 72 ust. 1 PSD2 (zastąpienie słowa „uwierzytelnienie” słowem „autoryzacja”, zmiana definicji autoryzacji poprzez jej ścisłe powiązanie z elementem pełnej świadomości płatnika co do istotnych elementów transakcji oraz przeniesienie na dostawców usług płatniczych, w tym banki spółdzielcze, odpowiedzialności za skutki niektórych oszustw, których ofiarami stali się ich klienci (podszycie się pod pracownika banku – projektowany art. 59 PSR). Jeżeli proponowane obecnie rozwiązania zostaną rzeczywiście przyjęte, będą oznaczały znaczny wzrost ryzyka operacyjnego po stronie banków spółdzielczych. Niekorzystne (przynajmniej w Polsce) orzecznictwo oraz stanowiska organów ochrony konsumentów, w połączeniu z nowymiprzepisami będą oznaczały, że obrona banków przed skrajnie negatywnymi konsekwencjami będzie wymagała wdrażania bardzo zaawansowanych (i drogich) rozwiązań antyfraudowych.
2. Weryfikacja unikatowego identyfikatora odbiorcy (tzw. IBAN-check, VoP – verification of payee) – czyli obowiązek poinformowania płatnika, w czasie rzeczywistym, po wpisaniu danych odbiorcy, ale przed złożeniem zlecenia płatniczego, o zgodności bądź stopniu
braku zgodności pomiędzy wskazaną przez płatnika nazwą odbiorcy, a podanym unikatowym identyfikatorem (np. numerem rachunku bankowego). Analogiczne rozwiązanie już zostało przewidziane w rozporządzeniu o płatnościach natychmiastowych w euro,
natomiast w świetle PSR będzie wymagane w przypadku wszystkich rozliczeń. Sektorowi bankowemu nie sprzyja także fakt, że pomiędzy rozwiązaniami przyjętymi w ramach rozporządzenia o płatnościach natychmiastowych w euro, a rozwiązaniami projektowanymi w PSR, występują istotne różne. Funkcjonalność taka, choć niewątpliwie korzystna dla klientów i podwyższająca ich bezpieczeństwo, będzie wymagała stworzenia odpowiednich rozwiązań strukturalnych na poziomie całego rynku europejskiego. Obecnie nie jest jasne, kto powinien je stworzyć i czy będą one odpowiednie dla mniejszych
podmiotów.
3. Zmiana zasad stosowania silnego uwierzytelniania użytkownika (SCA) – czyli, z jednej strony, rezygnacja z pewnych obciążających banki wymogów wprowadzonych wskutek przyjęcia PSD2 (np. wymogu stosowania elementów z dwóch różnych kategorii SCA),
ale jednocześnie zakaz konstruowania procesów SCA w sposób opierający się wyłącznie na smartfonach oraz konieczność uwzględnienia potrzeb osób ze szczególnymi potrzebami, osób starszych oraz osób o niższych umiejętnościach cyfrowych. Nowe, szczegółowe wymogi mają zostać doprecyzowane w przyszłych regulacyjnych standardach technicznych, jednak już teraz wiemy, że konieczna będzie dywersyfikacja i uproszczenie niektórych sposobów silnego uwierzytelniania użytkowników wypracowanych w ostatnich latach. Nie jest wykluczone, że aby sprostać nowym wymogom regulacyjnym w tym obszarze, banki będą musiały powrócić do rozwiązań technicznych stopniowo wycofywanych od czasu wejścia w życie PSD2 (np. tokenów fizycznych).
Termin na dostosowanie się uczestników rynku do nowych rozwiązań nie będzie przesadnie długi – najprawdopodobniej ograniczy się do 21 miesięcy od daty finalnego ich przyjęcia na poziomie europejskim, z pewnymi wyjątkami (np. w zakresie IBAN check). Co istotne, nie należy zapominać, że PSR jest rozporządzeniem, nie dyrektywą – jak PSD2. PSR nie wymaga więc implementacji i będzie stosowane w Polsce bezpośrednio. Sektor bankowy powinien śledzić więc na bieżąco postępy unijnych prac legislacyjnych, gdyż to od ich postępu będzie zależeć konieczność rozpoczęcia działań w celu dostosowania się banków do nowych ram prawnych. Do czasu przyjęcia ostatecznego teksu nowych aktów prawnych podejmowanie pełnych prac wdrożeniowych może być jednak przedwczesne. Niemniej zaangażowanie w prace legislacyjne i zgłaszanie uwag sektorowych, oraz rozpoczęcie wstępnych analiz z punktu widzenia stosowanych obecnie rozwiązań, są jak najbardziej wskazane.
DR WOJCIECH IWAŃSKI DR MATEUSZ BLOCHER |