Dyrektywa PSD2

Od 14 września 2019 r. klientów banków czekają zmiany w sposobie logowania do bankowości internetowej oraz mobilnej. Zmiany wprowadzane przez banki, są skutkiem obowiązywania zapisów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE tzw. dyrektywy PSD2.

Istotnym aktem wykonawczym do tej dyrektywy jest rozporządzenie dotyczące tzw. silnego uwierzytelniania i komunikacji – RTS,  wprowadzające mechanizm tzw. silnego uwierzytelniania w procesie logowania. 

Rozporządzenie dzieli powyższe środki uwierzytelniające na 3 kategorie: 

coś, co wie tylko użytkownik czyli wiedza użytkownika w postaci m.in. loginu i hasła, 

coś, co posiada tylko użytkownik czyli posiadanie w postaci np. kodu dostępowego SMS otrzymanego na urządzenie klienta, 

coś, czym jest użytkownik czyli biometria w postaci wzorca biometrycznego np. odcisk palca.

Wykorzystywanie silnego uwierzytelniania, znajdzie swoje zastosowanie podczas płatności w sklepach stacjonarnych oraz internetowych, a także podczas logowania do konta bankowości internetowej oraz mobilnej. 

W praktyce, oprócz obecnie podawanego już loginu i hasła, trzeba będzie użyć dodatkowego elementu uwierzytelniającego w postaci np. kodu sms, kodu jednorazowego z karty kodów lub podpisu elektronicznego. Wybór dodatkowego elementu autoryzującego klienta nie jest jednolity dla wszystkich banków. Wśród rozwiązań wprowadzanych przez banki pojawia się tzw. urządzenie zaufane. Jest to urządzenia np. smartfon, na którym użytkownik loguje się do swojego konta w bankowości elektronicznej, a korzystanie na nim z usług bankowych, poprzez dodatkowe ustawienia, nie zawsze będzie wymuszało podawanie dodatkowego hasła. Nieliczne banki decydują się na wymuszenie uwierzytelnia klienta biorąc pod uwagę jego aktywność związaną z wykorzystywaniem konta.  

Wartym zauważenia jest, iż część banków na skutek powyższej regulacji, wycofuje z użytku popularne tokeny, a także karty kodów jednorazowych. O tym, w jaki sposób klienci będą mogli logować się na swoje konta, informują poszczególne banki na swoich stronach internetowych. 

Oprócz zmian w procesie logowania do bankowości internetowej, klienci muszą przygotować się na częstsze podawanie kodu PIN przy płatnościach kartą w sklepach, poniżej kwoty 50zł. Obecnie możliwym do wykonania jest kilkanaście płatności kartą do kwoty, nie przekraczającej 50 zł, bez podawania kodu PIN. Artykuł 11 dyrektywy PSD2 będzie obligował zakupującego do podania kodu PIN, co piątą dokonywaną płatność zbliżeniową lub w przypadku kiedy kwota płatności zbliżeniowej bez użycia kodu PIN przekroczy 150 euro. 

Dyrektywa przewiduje dwa wyjątki kiedy nie będą miały zastosowania metody silnego uwierzytelniania i są to płatności za przejazd autostradami oraz płatności za postój
w biletomatach.