PSD2

Długo wyczekiwany komunikat KNF w sprawie silnego uwierzytelnienia klienta już online. Jakie wnioski dla sektora?

Michał Nowakowski

Dzisiaj Komisja Nadzoru Finansowego (KNF) opublikowała długo wyczekiwany komunikat w sprawie silnego uwierzytelnienia klienta (SCA) odnoszącego się do płatności e-commerce oraz w terminalach. KNF przedstawił oczekiwania względem banków, które obowiązane są stosować SCA. W komunikacie krajowy regulator wskazał, że dane zgromadzone przez Europejski Urząd Nadzoru Bankowego (EBA) wskazują na niedostateczne przygotowanie uczestników rynku usług płatniczych pod kątem spełnienia wymagań Rozporządzenia 2018/389. To co wydaje się najważniejsze z punktu widzenia rynku to określenie planu działania i współpracy z regulatorem dla dostawców, którzy przewidują trudności z pełnym wdrożeniem SCA. Jakie konsekwencje rodzi to dla całego rynku oraz jego użytkowników?

W aspekcie „edukacyjnym” KNF przypomniał w jakich sytuacjach stosujemy SCA (dostęp do rachunku online; inicjacja elektronicznej transakcji płatniczej; czynności związane z ryzykiem nadużycia) wskazując na przykłady takie jak dostęp do bankowości elektronicznej czy płatności internetowe.

To co zwraca uwagę to pewne pozorne „odstępstwo” od wytycznych EBA w sprawie SCA w kontekście oceny elementów „posiadania” (possession) (więcej w tym artykule). Chodzi mianowicie o zakwalifikowanie karty płatniczej jako posiadania bez wskazywania w jakich konkretnie sytuacjach taka karta może być zakwalifikowana jako possession. Wydaje się, że komunikat należy czytać z opinią EBA w sprawie SCA, która wyraźnie wskazuje na dwie tego typu sytuacje:

  1. Płatność wykonywana z użyciem czytnika kart;
  2. Karta płatnicza z tzw. dynamicznym kodem bezpieczeństwa (CVV2/CVC).

KNF precyzuje również, że dla spełnienia wymogu SCA ważne jest, aby te elementy były względem siebie niezależne, a także należały do dwóch różnych kategorii.

Plany migracji

EBA w swojej ostatniej opinii zachęcała krajowe organy nadzoru do zastosowania bardziej elastycznego podejścia do kwestii SCA, przy jednoczesnym nakreśleniu wymogów w zakresie współpracy pomiędzy dostawcami (ale również sprzedawcami – merchantami), w tym w zakresie tworzenia i monitorowania tzw. planów migracji.

Komisja Nadzoru Finansowego, uwzględniając poziom przygotowania całego rynku usług płatniczych, zadecydowała o dopuszczeniu „odstępstwa” dla płatności ecommerce z wykorzystaniem kart płatniczych oraz płatności zbliżeniowych (bezstykowych) w terminalach płatniczych (przypomnijmy tutaj wyłączenie z art. 11 Rozporządzenia 2018/389). Odstępstwo polega na niestosowaniu środków nadzorczych (określonych m.in. w art. 138 i następne Prawa bankowego), a które mogłyby wpływać również na ocenę BION zgodnie z metodyką KNF (zgodność z Rozporządzeniem 2018/389 jest jednym z elementów badania), chyba że dostawca nie będzie realizował planu migracji w sposób prawidłowy.

Warunkiem zastosowania takiego podejścia jest jednak spełnienie następujących warunków:

  1. Zgłoszenie KNF potrzeby zastosowania takiego rozwiązania w odniesieniu do banku (lub innego podmiotu) przed 14 września;
  2. Przygotowanie planu migracji (roadmap) do pełnej zgodności z SCA – musi być on „realny”;
  3. Uzgodnienia planu migracji z KNF;
  4. Realizacja planu migracji i – jak zakładam – monitoring ze strony regulatora i informowania go o kamieniach milowych projektu.

KNF wskazał również, że maksymalne terminy na wdrożenie rozwiązań w zakresie SCA zostaną przedstawione po uzgodnienia z EBA, co powinno nastąpić dopiero po 14 września. Warto tutaj wskazać, że FCA (regulator brytyjski) udzielił ostatnio rynkowi 18-miesięcznego odroczenia w tym przedmiocie.

Co z ryzykiem nieautoryzowanych transakcji?

Tak jak można było założyć, samo wprowadzenie planu migracji przez dostawcę nie będzie miało wpływu na zakres odpowiedzialności dostawcy (płatnika/odbiorcy) lub merchanta. KNF wyraźnie wskazał, że w przypadku niestosowania SCA przez dostawcę po 13 września dostawca nadal pozostanie odpowiedzialny za nieautoryzowane transakcje. Oznacza to, że zastosowanie będzie miał art. 46 ust. 4a ustawy o usługach płatniczych (więcej na ten temat w tym artykule), który zwalnia od odpowiedzialności płatnika, jeżeli dostawca nie zastosował SCA do którego był zobowiązany (chyba, że działał umyślnie).

W praktyce oznacza to, że dostawcy będą musieli oszacować ryzyko związane z nieautoryzowanymi transakcjami i uwzględnić to również w procesie analizy ryzyka.

Jaka konsekwencja dla użytkowników?

Dla użytkowników wskazanych wyżej kanałów w bankach, które będą wdrażały plany migracji, będzie to miało istotne znaczenie. W początkowym okresie wdrożenia nie wpłynie to na ich „odczucia” w zakresie wykonywania określonych transakcji płatniczych, jednakże wraz z kolejnymi etapami realizacji roadmap’y będą oni musieli również „migrować” na nowe rozwiązania (wymagające np. zainstalowania aplikacji mobilnej z wykorzystaniem biometrii). Tutaj niezwykle istotna będzie odpowiednia komunikacja z klientami, co z pewnością będzie elementem planów migracji uzgadnianych z KNF.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *