PSD3 na horyzoncie? Emerging Payments Association publikuje swoje ambitne propozycje

Przedwczoraj Emerging Payments Association opublikowała ciekawy dokument „The Future of Payments Regulation. Voices of the EPA” (dostępny po zalogowaniu). Ciekawy, bo to interesująca propozycja co do zakresu PSD3, które być może jest już za rogiem. Wśród analizowanych zagadnień jest złagodzenie silnego uwierzytelnienia klientów czy bardziej klarowne rozwiązania w zakresie wykorzystywania danych klientów (m.in. w kontekście usługi dostępu do informacji o rachunku). Przeszedłem przez raport I wybrałem kilka zagadnień, którym warto przyjrzeć się w kontekście zmian jakie (być może) czekają nas w niedługim czasie (przegląd PSD2 powinien nastąpić do 13 stycznia 2021 r.). Zaczynamy szybkie tourne po propozycjach (dzisiaj pieniądz elektroniczny i silne uwierzytelnianie klienta).

Zachęcam do przeczytania moich wrześniowych przemyśleń nt. PSD2 i tego czy pakiet można nazwać game changerem, bo pół roku doświadczeń już za nami i chyba gołym okiem widać, że na razie jesteśmy we wczesnej fazie open bankingu i trudno oceniać rzeczywisty wpływ PSD2 na rynek i konsumentów (bo tych głównie „dotyka” dyrektywa i Rozporządzenie 2018/389).

PSD3 musi powstać

Co do tego nie ma wątpliwości, czego przykładem były (są) trudności ze wdrożeniem SCA dla kart (plany migracji) czy wykorzystaniem biometrii. W raporcie znajdujemy słuszne stwierdzenie, że wiele z technologicznie neutralnych zapisów Rozporządzenia 2018/389 się po prostu nie sprawdziło ze względu na duży poziom ogólności. To spowodowało, że wiele z podmiotów nie miało (ma) dość odwagi (i pewności) aby wdrażać nowe rozwiązania, a wyjaśnienia unijnego nadzorcy pojawiały się jednak z dużym opóźnieniem. Większa precyzja jest więc zdaniem autorów potrzebna. Pamiętać należy jednak o rozsądku. I co do tego nie mam żadnych wątpliwości.

Pieniądz elektroniczny – czas na zmiany

Autorzy rekomendują zmiany w zakresie definicji pieniądza elektronicznego, aby była ona bardziej dopasowana do dzisiejszych realiów. Rzeczywiście, patrząc przez pryzmat „naszej” definicji z ustawy o usługach płatniczych (wartość pieniężną przechowywaną elektronicznie, w tym magnetycznie, wydawaną, z obowiązkiem jej wykupu, w celu dokonywania transakcji płatniczych, akceptowaną przez podmioty inne niż wyłącznie wydawca pieniądza elektronicznego) można dojść do wniosku, że nie jest ona zbyt „świeża”.

Sama koncepcja e-money jest też chyba mało atrakcyjna ze względu na ograniczenia oraz wymogi (znacznie wyższe wymogi kapitałowe niż klasyczna krajowa instytucja płatnicza). Z tego względu znajdziemy tutaj – sensowną – rekomendację, aby spróbować zrównać wymogi w zakresie świadczenia usług opartych o pieniądz elektroniczny z tymi dla „klasycznych” usług płatniczych.

Ale z drugiej strony może nie być już tak różowo. Pieniądz elektroniczny jest szczególną formą płatności, która jest dużo bardziej „anonimowa” i oderwana od tożsamości niż tradycyjne płatności. Jest też dużo bardziej ryzykowna. I z tego względu podlega innym (wyższym) wymaganiom niż pozostali dostawcy usług płatniczych. Pozostaje jeszcze kwestia wykorzystania i uregulowania crypto-assets, które mogą podlegać (w pewnych warunkach) temu reżimowi. Rozwaga i przemyślane działania są tutaj więc kluczowe.

Mniej silnego uwierzytelniania?

O tym czym jest silne uwierzytelnianie klienta (SCA) pisałem m.in. tutaj. Dość powiedzieć, że to sposób na zwiększenie bezpieczeństwa użytkowników usług płatniczych poprzez wprowadzenie dwuskładnikowego uwierzytelniania (wiedza, posiadanie i cecha).

O ile w przypadku bankowości elektronicznej zmiana nie była aż tak „uciążliwa” dla klientów, to w przypadku kart płatniczych pojawiło się wiele trudności, co skutkowało komunikatami EBA oraz KNF (pisałem o nich tutaj) i koniecznością opracowania planów migracji do pełnego SCA przez wydawców oraz acquirerów i merchantów (pośrednio).

Tutaj pojawia się ciekawa, choć potencjalnie niebezpieczna, koncepcja. Sprzedawca, czyli rzeczony merchant (głównie przy transakcjach e-Commerce) mógłby decydować o tym czy silne uwierzytelnienie jest niezbędne dla danej transakcji. Towarzyszyć temu musiałby odpowiednio ukształtowany sposób przenoszenia odpowiedzialności (w dokumencie znajdujemy nawet propozycję stworzenia systemu chargeback opartego o współpracę wszystkich aktorów płatności kartowych.

Brzmi atrakcyjnie? Takie rozwiązanie na pewno zwiększyłoby pozytywne odczucia klientów (Customer Experience), ale zbudowanie sensownego schematu odpowiedzialności, w którym występuje podmiot nieregulowany (merchant) to raczej trudne zadanie. W przypadku SCA najważniejsze jest bezpieczeństwo środków klientów, a co w przypadku masowych fraudów? Nie każdy merchant będzie miał capacity do zwrotu środków. No i co z ewentualną odpowiedzialnością regresową? No i w jaki sposób wyznaczyć kryteria, kiedy można, a kiedy nie można wyłączyć SCA?

Podobne rozwiązanie jeden z autorów sugeruje w odniesieniu do dostawców usługi inicjowania płatności. Problemy pozostają zasadniczo te same (choć tutaj pojawia się jeszcze kwestia reputacyjnej odpowiedzialności banków, o której pisałem tutaj), choć w przypadku dostawcy PIS m
amy jednak podmiot regulowany.

Digital ID na ratunek?

Tożsamość cyfrowa to jedno z tych rozwiązań na które czekam z niecierpliwością, a o którym pisałem m.in. tutaj. Jednym z pomysłów jest zastąpienie SCA właśnie Digital ID. Pomysł sensowny, ale wymaga zmian systemowych. Samo wprowadzenie takiego wymogu w PSD3 na pewno nie wystarczy. Konieczne byłoby stworzenie odpowiednich ram prawnych, infrastruktury i świadomości wśród użytkowników. To także duże wyzwania w kontekście ochrony danych osobowych. Jest to rozwiązanie, które pewnie wejdzie na stałe do naszego życie, ale raczej nie w PSD3 (chyba, że w jakiejś okrojonej formie).

SCA więc na tym etapie pozostanie. Tak przynajmniej zakładam. W kolejnym artykule zajmę się szerzej kwestią przetwarzania danych klientów w kontekście PSD3, ale i koncepcji Open Finance, która „buduję” się obecnie w Wielkiej Brytanii. Na dzisiaj kończę stwierdzeniem, że pomysły z dokumentu EPA to niekiedy po prostu życzenia, które chyba nie do końca ujmują złożoność zależności pomiędzy różnymi aktorami transakcji płatniczych.

Wszystkie grafiki pochodzą z dokumentu źródłowego.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

PSD3 na horyzoncie? Emerging Payments Association publikuje swoje ambitne propozycje

PSD3 musi powstać

Pieniądz elektroniczny – czas na zmiany

Mniej silnego uwierzytelniania?

Digital ID na ratunek?

Dodaj komentarz Anuluj pisanie odpowiedzi