PSD2

Usługa inicjowania płatności, czyli Payment Initation Service – czym jest i jakie wymogi prawne ciążą na dostawcy? Część 1. Ustawa.

Michał Nowakowski

Usługa inicjowania płatności (Payment Initation Service – PIS) nie jest zupełnym novum na rynku usług płatniczych, choć nowelizacja ustawy o usługach płatniczych oraz Rozporządzenie 2018/389 uporządkowały jej status prawny. Funkcjonowała ona już na naszym rynku jako tzw. pay-by-linki, choć oczywiście występowały (występują) pewne różnice. Polega ona na przekazaniu (zainicjowaniu) zlecenia płatniczego (za zgodą i na wniosek użytkownika) z rachunku prowadzonego u innego dostawcy. Wydawać by się mogło, że ponieważ taki dostawca nie wchodzi w posiadanie środków pieniężnych użytkownika, to wymogi prawne nie będą nadmiernie surowe. W praktyce jest jednak inaczej. Na dostawcy PIS ciąży wiele obowiązków w kontekście ochrony wrażliwych danych użytkownika (art. 2 pkt 26c uUP) oraz bezpieczeństwa. Przyjrzyjmy się im bliżej.

Zakres tych wymogów jest dość szeroki. Zaczynając od ustawy o usługach płatniczych (uUP) (głównie art. 59q i 59r, ale tak naprawdę przepisy „rozsiane” są po całej ustawie) oraz Rozporządzenia 2018/389, poprzez projekt Rozporządzenia Ministra Finansów w sprawie dokumentów niezbędnych w procesie licencyjnym dla Krajowych Instytucji Płatniczych, wytyczne EBA w sprawie zezwoleń, Rozporządzenie w sprawie obowiązkowego ubezpieczenia (więcej w tym temacie w tym artykule) czy wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa oraz wytyczne unijnego nadzorcy w zakresie outsourcingu. Nie zapominajmy także o rekomendacjach w zakresie bezpieczeństwa grupy ds. PolishAPI przy ZBP (więcej w cyklu artykułów). W dużym skrócie, bo mamy jeszcze przecież liczne opinie i wytyczne/rekomendacje KNF oraz EBA, a także wytyczne w sprawie raportowania fraudów oraz incydentów (+ komunikat KNF). Prawda, że całkiem sporo?

Zacznijmy od ustawy o usługach płatniczych i podstawowych obowiązków

Jak wspomniałem na początku, najważniejsze będą w zasadzie art. 59q i 59r uUP. Zacznijmy od kwestii podstawowych, głównie w zakresie bezpieczeństwa. Punktem wyjścia będzie tutaj art. 59r ust. 3, który określa podstawowe obowiązki dostawcy PIS, którymi są:

  1. Zakaz wchodzenia w posiadanie środków pieniężnych płatnika – na żadnym etapie realizacji usługi nie może on więc przechowywać środków użytkownika;
  2. Ochrona danych uwierzytelniających (głównie Indywidualnych Danych Uwierzytelniających – IDU) przed nieuprawnionym dostępem – tutaj ważne będzie zapewnienie zgodności z rekomendacjami i wytycznymi w zakresie bezpieczeństwa teleinformatycznego (w tym cyberbezpieczeństwa, np. OWASP – więcej w tym artykule);
  3. Obowiązek przekazywania IDU z użyciem bezpiecznych i wydajnych kanałów (tutaj wymogi bardziej szczegółowo opisuje Rozporządzenie 2018/389; tutaj warto zwrócić uwagę, że różne mogą być sposoby przekazywania IDU ze względu na stosowaną metodę (np. redirection, embedded etc.);
  4. Konieczność zapewnienia, aby informacje inne niż uwierzytelniające (np. dotyczące płatności) były przekazywane tylko odbiorcy i wyłącznie za zgodą użytkownika (tutaj mamy również art. 36 ust. 4 Rozporządzenia 2018/389, który ogranicza zakres przekazywanych informacji do banku do tych, które są niezbędne do wykonania polecenia przelewu);
  5. Obowiązek identyfikowania się względem banku (lub innego dostawcy rachunku płatniczego) z użyciem certyfikatów eIDAS (więcej o tym tutaj) oraz komunikacji zgodnej z wymaganiami art. 34-36 Rozporządzenia 2018/389;
  6. Zakaz przechowywania szczególnie chronionych danych dotyczących płatności (te rozumieć należy jako dane, w tym IDU, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku);
  7. Brak możliwości żądania od użytkownika przekazania innych danych niż te które są niezbędne do wykonania usługi (ponownie przywołuję art. 36 ust. 4 Rozporządzenia 2018/389);
  8. Zakaz używania, uzyskiwania oraz przechowywania danych do celów innych niż usługa PIS (na podstawie stosownej umowy lub zgody użytkownika) – oznacza to, że jeżeli dostawca PIS wejdzie w posiadanie jakichkolwiek danych, np. wysokości opłat za przelewy, to nie powinien wykorzystywać ich np. do celów analitycznych;
  9. Obowiązek pozostawienia kwoty, odbiorcy i innych danych transakcji płatniczej w niezmienionej formie (zgodnie z dyspozycją użytkownika).

Należy podkreślić jeszcze jedną kwestię związaną z tajemnicą zawodową. Ujawnienie informacji stanowiącej np. tajemnicę bankową dostawcy PIS (w ramach tej usługi) nie stanowi ujawnienia tajemnicy zawodowej (art. 12 ust. 1 pkt 5 uUP). Takie informacje mogą być jednak wykorzystywane tylko zgodnie z celem przekazania (czyli np. zrealizowania obowiązku informacyjnego względem użytkownika-klienta).

Ustawa nakłada także inne obowiązki

Ale już względem klienta. Art. 59q stawia kolejne wyzwania przed dostawcami PIS. Jeżeli bowiem użytkownik składa zlecenie właśnie takiemu podmiotowi, to musi on niezwłocznie po skutecznym otrzymaniu takiego zlecenia:

  1. Potwierdzić użytkownikowi prawidłowe złożenie zlecenia w banku (czyli już po przeprowadzeniu inicjacji);
  2. Przekazać użytkownikowi oraz odbiorcy numer identyfikacyjny transakcji (w razie potrzeby numer płatnika) oraz inne informacje przekazane wraz z transakcją;
  3. Dostarczyć informacje o:
    1. Kwocie transakcji
    2. Łącznej kwocie opłat na rzecz dostawcy PIS.

Dodatkowo, dostawca PIS musi przekazać bankowi odpowiedni numer identyfikacyjny transakcji.

Mamy także art. 23 uUP, który odnosi się do obowiązku przekazywania informacji przed świadczeniem usługi. Oprócz standardowych informacji, do których należy zaliczyć:

  1. Niezbędne dane do zainicjowania usługi;
  2. Informację o maksymalnym czasie wykonania świadczonej usługi (tutaj pomocne mogą być również przepisy dotyczące wykonania transakcji, bo choć to już czynność po stronie banku, to mogą to być istotne informacje dla użytkownika);
  3. Kwoty opłat (wyszczególnione);
  4. Informacje o kursie walutowym,

dostawca PIS musi przekazać (ex ante) swoje dane identyfikacyjne (oraz informacje o agentach – jeżeli z nich korzysta) oraz dane kontaktowe organu nadzoru (w praktyce podaje się również numer licencji. Takie informacje powinny być łatwo dostępne dla użytkownika, np. wyraźnie wskazane na stronie internetowej (będą one zazwyczaj przyjmowały postać regulaminu świadczenia usługi i/lub jego podsumowania).

Idźmy dalej…

Bo jeszcze sporo zostało. Mamy bowiem art. 32i ust. 4 uUP, który nakazuje dostawcy PIS stosowanie silnego uwierzytelnienia klienta, jeżeli transakcja jest inicjowana z użyciem internetu (ten temat szerzej omówię przy Rozporządzeniu 2018/389). Są również kwestie dotyczące odpowiedzialności za nieautoryzowane transakcje (art. 45 ust. 1a oraz 46 ust. 1b uUP), wymogi w zakresie funduszy własnych (art. 76 uUP) czy też kwestie związane z odpowiedzialnością cywilną i karną. No i jeszcze kwestia ochrony danych osobowych (więcej tutaj). Są to jednak tematy na odrębny artykuł.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *