Komfort czy bezpieczeństwo.
Konkurencyjność rynku, innowacje technologiczne, wygoda klienta i jego bezpieczeństwo to cele unijnej dyrektywy regulującej usługi płatnicze. Niestety - są nie do pogodzenia.
Aby dobrze zrozumieć intencje dyrektywy, trzeba uświadomić sobie,że sytuacja sektora bankowego w Europie w wielu aspektach znacznie różni się od polskiej. Fakt, że w Polsce przelew złożony rano, po południu trafia na rachunek odbiorcy nie jest w innych krajach europejskich czymś oczywistym. W niektórych potrafi wędrować nawet kilka dni.
Szybkość płatności jest dla banków kosztem, bowiem muszą one budować i integrować ze sobą elektroniczne systemy. Polskie banki koszty te już poniosły i ponoszą nadal, rozwijając bankowość mobilną, podczas gdy po kryzysie wiele innych instytucji w Europie nie jest w stanie ich udźwignąć.
Największe znaczenie mają jednak rozwój handlu w Internecie, czyli e-commerce, oraz płatności mobilne. W Polsce banki i sklepy internetowe rozwinęły metodę pay-by-link, z której – według danych PayU – korzysta 80 proc. płacących on-line. Przelew jest natychmiast księgowany.Kiedy jednak przelew na rachunek sklepu wędruje, potrzebny jest pośrednik w jego realizacji. Według danych Europejskiego Banku Centralnego, instytucji niebankowych zajmujących się w Unii Europejskiej usługami płatności było na koniec zeszłego roku ponad 8 tysięcy.
W płatnościach mobilnych chodzi natomiast o to, żeby transakcję zrealizować natychmiast, z każdego miejsca i o każdej porze. I tu zaczął się największy wyścig – o szybkość, łatwość, konwersję oraz o pozytywne doświadczenie klienta. Sposobem na zdobycie przewagi w tym wyścigu jest wprowadzanie nowych technologii i to właśnie ma wspierać PSD 2 .
Dyrektywa PSD 2 weszła w życie w styczniu 2016 roku, a do prawa krajowego ma być wprowadzona od 13 stycznia 2018 r. Najważniejsza jednak nie jest ona sama, tylko standardy techniczne (RTS), które ma ostatecznie wydać Europejski Urząd Nadzoru Bankowego (EBA).
Bezpieczeństwo płatności ma zapewnić zasada silnego uwierzytelnienia. W październiku zakończyły się drugie konsultacje i oczekuje się, że EBA wkrótce ogłosi RTS-y i to w ostatecznym kształcie. Powinny one zostać opublikowane nie później niż na rok przed wejściem w życie dyrektywy, czyli w styczniu 2017 r.
EBA najsilniej postawiła na to, żeby na rynku płatności zaistniała silna konkurencja. Ponieważ znakomita część europejskich banków nie jest w stanie zapewnić klientom szybkiej realizacji transakcji, trzeba do rynku jak najszerzej dopuścić nowych graczy -TPP. Pozostaje kwestia kluczowa: jeśli będą mieć dostęp do rachunku klienta, to w jakim zakresie i na jakich zasadach? Przedstawiciele polskiego nadzoru i sektora bankowego mówią: wprowadzone u nas standardy są optymalne, gdyż łączą wysokie wymagania dotyczące bezpieczeństwa, zapewniają konkurencyjność i motywują do technologicznego wyścigu.
"Po wprowadzeniu PSD 2 nie będzie zasad umownych pomiędzy TPP a prowadzącymi rachunki. Może to powodować napięcia" mówi Maciej Biniek, członek zarządu PayU, dostawcy usług płatniczych. To bank odpowiada jednak a pieniądze klienta.
Aby zapewnić bezpieczeństwo płatności, PSD 2 wprowadza zasadę silnego uwierzytelnienia klienta (SCA), która w Polsce jest zresztą stosowana już od lat. Do zasady silnego uwierzytelnienia mają się stosować wszyscy dostawcy usług.
Rosnącemu wolumenowi płatności elektronicznych towarzyszy cyberprzestępczość. Przestępcy poszukują najsłabszych ogniw w różnych systemach i słabości te wykorzystują do kradzieży. Teoretycznie więc silne uwierzytelnienie powinno ograniczyć szansę na udany atak.
Wiadomo już, że tak nie jest, i że silne uwierzytelnienie całkowicie nie chroni, gdyż przestępcy stosują coraz bardziej skuteczne metody kradzieży danych uwierzytelniających. Kluczowe jest tutaj to, kto ma do nich dostęp. Projekt RTS zezwala, żeby klient banku udostępnił swoje credentiale innemu podmiotowi mającemu świadczyć dla niego usługi. I tu właśnie pojawiają się zasadnicze wątpliwości, czy standardy wystarczająco troszczą się o bezpieczeństwo.
Nie jest bowiem pewne, czy instytucje pozabankowe będą w stanie równie dobrze chronić dane klienta, jak robią to banki. Przynajmniej w Polsce banki zrobiły naprawdę duże postępy w ochronie wrażliwych danych. Uwierzytelnienie tożsamości przez bank ma szansę stać się podstawową drogą dostępu do usług administracji publicznej poprzez tzw. Zaufany Profil.
źródło: forsal