PSD2, czyli druga wersja unijnej Payment Service Directive wymusza zmiany, które wpłyną na bezpieczeństwo korzystania np. z bankowości internetowej, ale kosztem wygody. Co się zmieni? Wyjaśniam.
Payment Service Directive, czyli unijna dyrektywa dotycząca płatności detalicznych uchwalona została w 2007 roku. Wzrost znaczenia usług świadczonych drogą elektroniczną oraz pojawienie się nowych metod płatności w sieci, które dotąd nie objęte były regulacjami, wymusił jej aktualizację, która przyjęta została w listopadzie 2015 roku i dała krajom członkowskim Unii, w tym Polsce, czas na dostosowanie regulacji krajowych. Pierwsza część przepisów w naszym kraju weszła w życie w 2018 roku. Dotyczyła skrócenia czasu rozpatrywania reklamacji, zmniejszenia odpowiedzialności klienta za nieautoryzowane transakcje, czy nowych zasad pokrywania kosztów przelewów zagranicznych.
W połowie września 2019 roku wchodzą kolejne regulacje
Jedną z najważniejszych zmian dotyczących PSD2 jest nowy sposób uwierzytelniania klienta do czego bank powinien wykorzystać dwa z trzech elementów, jakimi są: coś co masz, np. telefon komórkowy, coś co wiesz, np. hasło oraz coś, czym jesteś, np. odcisk palca lub system rozpoznawania twarzy. Trudno w to uwierzyć, ale dotychczas banki nie oferowały two-factor authentication, jako opcję zabezpieczającą, chociażby przed przejęciem kontroli nad kontem w wyniku phishingu. Od połowy września nad bankami będzie ciążył taki obowiązek, a klient, oprócz wpisania loginu i hasła będzie zobowiązany podać jeszcze np. jednorazowy kod otrzymany sms-em lub potwierdzić swoje logowanie w aplikacji mobilnej banku. Inne elementy zwiększające bezpieczeństwo korzystania z bankowości online to np. maskowanie haseł jednorazowych z narzędzi autoryzacji, czy skrócenie czasu sesji. Z użycia całkowicie wycofane zostaną także listy haseł jednorazowych, czyli papierowe zdrapki z kodami, które slużyły do autoryzacji przelewów i innych operacji na koncie oraz logowania w systemie.
Zmienią się także limity związane z płatnością kartą bez użycia PIN. Po 14 września tylko pięć pierwszych transakcji poniżej 50 złotych nie będzie wymagała podania PINu, każda kolejna już tak. Bank może jednak wybrać opcję wartościową, wtedy PIN będziemy musieli podać po przekroczeniu danej kwoty, która w dyrektywie ustalona została na 150 euro, ale bank może ustalić swój, niższy próg.
Podmioty trzecie
Najbardziej kontrowersyjną zmianą może być jednak pojawienie się tzw. third party providers, czyli podmiotów trzecich oraz otwartej bankowości. Oznacza to, że podmioty trzecie będą mogły otrzymać, w imieniu użytkownika, dostęp do informacji o jego rachunku i dokonywać w jego imieniu płatności. W praktyce może to oznaczać powstanie aplikacji autorstwa zewnętrznej firmy w której użytkownik będzie mógł zarządzać kilkoma swoimi rachunkami bankowymi i zlecać za jej pomocą przelewy z kilku rachunków. Bankowość otwarta oznacza z kolei to, że każdy banko oferujący konta online będzie musiał udostępnić dostęp takim podmiotom trzecim do danych rachunku klienta – oczywiście za jego zgodą.
Zobacz więcej