Reklama

Biznes i Finanse

Usługi płatności w krainie regulacji, czyli słów kilka o PSD2 [ANALIZA]

Fot. Steven Millstein/Flickr/CC 2.0
Fot. Steven Millstein/Flickr/CC 2.0

Dyrektywa PSD2 jest kolejnym krokiem Unii Europejskiej ukierunkowanym na zwiększenie poziomu bezpieczeństwa świadczenia usług płatniczych. Pomimo tego, że jej wdrożenie dokonało się ze zeszłym roku, to niektóre przepisy zaczną obowiązywać dopiero za ponad pół roku. 

Zgodnie z opublikowanym w grudniu 2018 roku raportem NBP, rozwój polskiego systemu płatniczego w obrębie płatności detalicznych, na tle innych krajów UE ocenić można jako zadawalający. Nie jest to wcale oczywiste, jeśli wziąć pod uwagę znacznie niższe od średniej europejskiej wskaźniki rozwoju infrastruktury (w przeliczeniu na jednego mieszkańca), takiej jak: liczba terminali POS, liczba wydanych kart płatniczych, liczba transakcji kartami płatniczymi czy też liczba transakcji realizowanych bezgotówkowymi instrumentami płatniczymi. Zdaniem NBP, słabości te wskazują jedynie na to, że Polska jest krajem w którym płatności bezgotówkowe mają jeszcze duży potencjał dalszego rozwoju.

Szczególnie jeśli wziąć pod uwagę wskaźniki transakcyjności oraz częstotliwości wykorzystywania wymienionej wyżej infrastruktury. Wniosek ten, wydaje się być uzasadniony, tym bardziej że równolegle do tradycyjnej infrastruktury bankowej, rozwija się rynek usług płatniczych opartych o nowe technologie. Już ponad dwie trzecie Polaków uważa, że płatność smartphonem albo kartą jest wygodniejsza i prostsza od płatności gotówką. System BLIK wprowadzony zaledwie przed trzema laty rozwinął się do tego stopnia, że z jego pomocą dokonywanych jest ponad 260 tysięcy płatności dziennie, a usługa Apple Pay w niespełna tydzień po jej wprowadzeniu pozyskała 200 tysięcy użytkowników. Wśród 40 milionów kart płatniczych, ponad 80% to karty umożliwiające płatność zbliżeniową.

Dużą rolę w rewolucji dotyczącej rynku płatności odgrywa fakt pojawienia się podmiotów, które korzystając z technologii cyfrowych oraz technologii mobilnych wprowadzają nowe, łatwiejsze w obsłudze, niejako intuicyjne sposoby korzystania z usług finansowych. To z kolei pociąga za sobą konieczność dostosowania środowiska regulacyjnego tak, aby nie hamując rozwoju nowoczesnych usług finansowych, zapewnić jednocześnie niezbędną pewność obrotu oraz zaufanie do systemu finansowego.  

Od PSD1 i pierwszego Iphona do PSD2

Celem pierwszej dyrektywy w sprawie usług płatniczych (PSD1), przyjętej w 2007 r. i wprowadzonej w życie w roku 2009, było utworzenie jednolitego rynku płatności w Unii Europejskiej, a także stworzenie podwalin dla jednolitego obszaru płatności w euro (SEPA). Dyrektywa ta miała zapewnić, aby płatności transgraniczne stały się równie proste, tanie i bezpieczne tak, jak płatności krajowe. Warto zauważyć, że została ona uchwalona w roku w którym na rynku pojawił się pierwszy Iphone. Rozwój technik telekomunikacyjnych, rozwój mobilności, powstawanie fintechów, które w zakresie ilości przeprowadzanych transakcji oraz ilości klientów wyrastały ponad największe grupy bankowe, to wszystko doprowadziło do uchwalenia, w listopadzie 2015 roku, drugiej  dyrektywy w sprawie usług płatniczych (PSD2).

Zmiany wynikające z PSD2 zostały wprowadzone do ustawodawstwa polskiego i weszły w życie w czerwcu 2018 (ustawa z 10 maja 2018 roku zmianiająca ustawę z 2011 o usługach płatniczych – Ustawa), za wyjątkiem niektórych obowiązków których wprowadzenie zostało odsunięte w czasie. Z punktu widzenia zagadnień cyberbezpieczeństwa, najciekawsze są zmiany wprowadzone w nowo dodanym  dziale IIa Ustawy, poświęcone zapewnieniu bezpieczeństwa usług płatniczych.

Bezpieczeństwo świadczenia usług płatniczych

Zgodnie z zasadami zawartymi w tym dziale, dostawca usług płatniczych  („Dostawca“) zobowiązany jest podjąć środki ograniczające ryzyko oraz wprowadzić mechanizmy kontroli służące zarządzaniu ryzykiem operacyjnym oraz ryzykiem naruszenia zasad bezpieczeństwa.

W Ustawie wskazuje się wprost (wyliczenie nie jest wyczerpujące) dwa elementy takiej kontroli. Pierwszym jest utrzymywanie skutecznej procedury zarządzania incydentami, czyli zdarzeniami niespodziewanymi (lub serią takich zdarzeń), mającymi niekorzystny wpływ na integralność, dostępność, poufność, autentyczność lub ciągłość świadczenia usług płatniczych albo stwarzającymi  znaczne prawdopodobieństwo, że taki wpływ będzie mieć. Drugim elementem jest prowadzenie bieżącej oceny i aktualizacji procedur w zakresie zarządzania ryzykiem, bieżącej oceny środków ograniczających ryzyko a także bieżacej oceny mechanizmów kontroli.

Podkreślenie konieczności prowadzenia tych działań na bieżąco, wskazuje na konieczność niezwłocznego reagowania w tym zakresie, przykładowo w przypadku otrzymania informacji wskazującej na nieadekwatność rozwiązań zastosowanych w przyjętym systemie zarządzania ryzykiem.

Z kolei obowiązek raportowania oceny i aktualizacji procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, środków ograniczających ryzyko oraz mechanizmów kontroli do KNF. realizowany jest tylko raz w roku – do dnia 31 stycznia roku następującego po roku którego dotyczy raport. Do tej samej daty, Dostawcy przekazują do KNF (lub do innego właściwego organu nadzoru) dane dotyczące oszustw związanych z wykonywanymi usługami płatniczymi, uwzględniając różne sposoby ich świadczenia.

Incydent czy incydent poważny?

Jeżeli chodzi o raportowanie incydentów, to  zgodnie z Ustawą, Dostawcy mają obowiązek niezwłocznego zawiadamiania KNF o każdym przypadku wystąpienia poważnego incydentu ooperacyjnego lub incydentu związanego z bezpieczeństwem, w tym incydentu o charakterze teleinformatycznyczny (KNF przekazuje takie informacje dalej do EUNB i EBC a czasami do organów nadzoru w innych krajach). Zgodnie z literalną treścią art.32g ustawy, należałoby przyjąć, iż zgłoszeniu podlega każdy (a nie tylko poważny) incydent o charakterze teleinformatycznym, co odbiegałoby jednak od treści dyrektywy PSD2 w tej mierze.

Europejski Urząd Nadzoru Bankowego (EBA) we współpracy z Europejskim Bankiem Centralnym (ECB) wydał w roku 2017 wytyczne dotyczące raportowania incydentów poważnych (Wytyczne). Wytyczne  wydane na podstawie delegacji zawartej w dyrektywie PSD2 określają sposób klasyfikacji oraz notyfikacji incydentów, wskazując szczegółowe kryteria oraz metodologię postępowania. Zgodnie z tym dokumentem, zgłoszeniu podlega każde zdarzenie, które spełnia przynajmniej jedno kryterium o wysokim stopniu oddziaływania (High Level Impact - przykładowo zdarzenia dotykające co najmniej 50 000 użytkowników) albo zdarzenia spełniające trzy lub więcej kryteriów których poziom oddziaływania jest niski (Low Level Impact).

Wytyczne wskazują zarówno rodzaje kryteriów  (m.in. łączna wartość płatności dotkniętych incydentem, liczba płatności wyrażona jako określony procent, liczba użytkowników dotkniętych incydentem zarówno w wartościach bezwzglednych jak też jako odsetek łącznej liczby użytkowników, czas w którym usługi były niedostepne, skutki ekonomiczne, utrata reputacji etc.) oraz podają konkretne ich wartości (w przypadku każdego z kryteriów osobno dla HLI oraz LLI). Wytyczne zawierają także wzór zgłoszenia incydentu oraz uszczegóławiają sam proces takiego raportowania. Zgodnie z Wytycznymi, raportowanie składa się z trzech faz – pierwszej (tzw. zgłoszenie wstępne) która powinna nastapić co do zasady w ciagu 4 godzin od wystąpienia incydentu, drugiej (tzw.przejściowej) która może składać się z większej ilości informacji przesyłanych do regulatora za każdym razem, kiedy Dostawca weźmie dodatkowe istotne informacje uzupełniające zgłoszenie wstępne oraz trzeciej (zgłoszenie końcowe), która następuje nie później niż 2 tygodnie od przywrócenia normalnego świadczenia usług płatniczych, a które zawiera pełną analizę przyczyn wystąpienia incydentu oraz podsumowanie skutków jego działania.

Dostawca usług płatniczych, w przypadku incydentów, mających lub mogących mieć wpływ na interesy finansowe użytkowników świadczonych przez siebie usług, ma obowiązek zawiadomienia (bez zbędnej zwłoki) tych użytkowników o incydencie oraz poinformować ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu.

Ponadto, jeśli KNF (lub inny właściwy organ nadzoru) otrzyma od EUNB lub EBC, informację o incydencie, który ma znaczenie dla krajowego rynku finansowego, będzie on zobowiązany do podjęcia „niezbędnych działań w celu ochrony bezpieczeństwa systemu finansowego“. Ustawa nie definiuje co wchodzi w skład takich działań, ale z pewnością można do nich zaliczyć co najmniej działania o charakterze informacyjnym (tak w stosunku do dostawców usług płatniczych jak i innych organów, zobowiązanych na mocy odrębnych przepisów do realizacji zadań odnoszących się do zarządzania  ryzykiem naruszenia bezpieczeństwa systemów teleinformatycznych w skali kraju).

2 z 3 czyli silne uwierzytelnienie

Oprócz obowiązków o charakterze systemowym, Ustawa wprowadza także obowiązek określonego sposobu uwierzytelnienia użytkownika w przypadku, gdy ten uzyskuje dostęp do swojego rachunku w trybie on-line, inicjuje elektroniczną transakcję płatniczą lub przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa zwiazanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

W takiej sytuacji, konieczne jest stosowanie silnego uwierzytelnienia, czyli takiego które zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii a) wiedza o czymś, o czym wie wyłącznie użytkownik b) posiadanie czegoś, co posiada wyłacznie uzytkownik lub c) cechy charakterystycznej użytkownika. Owe dwa elementy muszą być integralną częścią procesu uwierzytelnienia w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

Przy inicjowaniu elektronicznej transakcji płatniczej z wykorzystaniem Internetu lub za pośrednictwem środków, wykorzystywanych do porozumiewanie się na odległość, dostawca ma ponadto obowiązek stosowania  silnego uwierzytelnienia użytkownika obejmującego elementy łączące dynamicznie odbiorcę z transakcję płatniczą oraz określoną kwotą tej transakcji. Indywidualne dane uwierzytelniające, muszą być przechowywane przez dostawcę usług płatniczych z zastosowaniem odpowiednich środków bezpieczeństwa, zapewniających ochronę poufności i integralności tych danych.

Silne uwierzytelnienie będzie wymagane także w sytuacji, w której dostawca świadczący usługę dostępu do informacji o rachunku występuje do dostawcy prowadzącego rachunek o podanie informacji o tym rachunku. Dostawca prowadzący rachunek, ma obowiązek umożliwienia dostawcy usług inicjowania transakcji płatniczej oraz dostawcy świadczącemu usługę dostępu do informacji o rachunku, świadczenie usług w oparciu o uwierzytelnienie stosowane w relacji  dostawca prowadzący rachunek – użytkownik.

Aby do września ?

Przepisy dotyczące silnego uwierzytelniania zawarte w art.32i. Ustawy wejdą w życie 14 września 2019 roku (inną datę przewidziano dla Banku Gospodarstwa Krajowego), łącznie z przepisami rozporządzenia delegowanego Komisji z 27 listopada 2017 uzupełniającego dyrektywę PSD2 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelnienia klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (RTS). W odniesieniu do silnego uwierzytelnienia RTS-y precyzują dalsze wymagania odnośnie m.in. kodu uwierzytelniającego (np. przyjmowanie kodu wyłącznie raz, liczba nieudanych prób uwierzytelnienia po której następuje czasowa lub stała blokada, sposó ochrony sesji komunikacyjnych), dynamicznego połączenia ( m.in.wszelkie zmiany kwoty lub odbiorcy skutkują unieważnieniem wygenerowanego kodu uwierzytelniającego), wymogów odnoszących się do kategorii „wiedza“, „posiadanie i „cechy klienta“ oraz niezależności tych elementów.

Krajowe Instytucja Płatnicza – podwyższony próg wymagań

Już poza działem IIa, w artykule 64, Ustawa definiuje dodatkowe wymogi jakie musi spełniać podmiot świadczący usługi płatnicze w charakterze krajowej instytucji płatniczej aby uzyskać zezwolenie KNF.

W tym przypadku, Ustawa wskazuje między innymi na konieczność posiadania procedur monitorowania incydentów związanych z bezpieczeństwem, opisu rozwiązań zapewniających ciągłość działania czy w końcu opisu strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do usług świadczonych przez krajową instytucje płatniczą. Strategia taka powinna zawierać także ocenę środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem – w tym przed oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych. Ponadto, podmiot ubiegający się o zezwolenie KNF na świadczenie usług w charakterze krajowej instytucji płatniczej, musi zapewniać spełnianie wszystkich wymogów określonych w RTS.

Rynek, Regulacje ... Rozterki

Wdrożenie dyrektywy PSD2 dokonało się w zeszłym roku, choć jak to zostało już wspomniane niektóre przepisy zaczną obowiązywać dopiero za ponad pół roku. Ten okres wydaje się niezbędny dla prawidłowego wdrożenia wszystkich regulacji mających w efekcie przyczynić się do zapewnienia odpowiedniego poziomu bezpieczeństwa świadczenia usług płatniczych zarówno w poszczególnych krajach Unii Europejskiej jak też pomiędzy tymi krajami. Jednakże sam proces wdrożenia nie będzie prosty albowiem pomimo upływu czasu nie wszystkie delegacje ustawowe zostały jeszcze wykonane, same przepisy Ustawy nie zawsze poprawnie oddają treść dyrektywy PSD2, a ostateczna treść RTS-ów do dzisiaj budzi liczne polemiki, w tym ze strony EBA.

Warto także zwrócić uwagę na fakt, że po latach regulacyjnej posuchy w obszarze cyberbezpieczeństwa, żeby posłużyć się terminem z ustawy o Krajowym Systemie Cyberbezpieczeństwa, przyszły lata urodzaju, choć nie wszystkich to zapewne cieszy w równym stopniu. Należy bowiem pamiętać, że ustawa o KSC obejmuje także sektor bankowy, który to sektor ma już swoją Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach a teraz wdrażać musi jeszcze dyrektywę PSD2. I to wszystko, w przypadku wielu banków,  w odniesieniu do dość skomplikowanej architektury ich środowiska teleinformatycznego nawarstwiającego się przez ostatních 20-30 lat.

Z drugie strony mamy fintechy, które wybierając konkretny obszar realizacji usług płatniczych mogą skupić się wyłącznie na treści Ustawy, dokonując niezbędnych adaptacji na stosunkowo nowym, oraz budowanym w otwartej architekturze środowisku. Nic więc dziwnego, że wielu prezesów banków coraz częściej uświadamia sobie, że postępujący proces cyfrowej transformacji, zmienia ich organizacje z czysto finansowych w firmy o charakterze finansowo-technologicznym czy wręcz technologicznym, jak to w jednym z wywiadów podsumował Prezes Banku PKO BP Zbigniew Jagiełło. Nic więc dziwnego, że to właśnie ten bank był współorganizoatorem niedawnej konferencji poświęconej cyberbezpieczeństwu wspólnie z Atlantic Council. Zaufanie od lat było głównym atrybutem banków – żeby je utrzymać na dotychczasowym, wysokim poziomie, banki muszą pokonać barierę potrójnych regulacji i stać się niekwestionowanych liderem także w obszarze cyberbezpieczeństwa.

Reklama
Reklama

Komentarze