Jak każda branża tak i świat finansów ulega wielu czynnikom zewnętrznym mającym wpływ na formę usług oferowanych przez działające w niej podmioty. W dobie błyskawicznie rozwijających się technologii i zmieniających się potrzeb zakupowych ewoluują też wymagania prawne, które nierzadko redefiniują całe ekosystemy. Przykładem może być opublikowana w 2015 roku, kluczowa dla branży finansowej dyrektywa PSD II (ang. Payment Service Directive 2).
Jej głównym celem było określenie zasad świadczenia wcześniej nieuregulowanych prawnie usług płatniczych oraz zwiększenie bezpieczeństwa podmiotów uczestniczących w obiegu pieniądza elektronicznego. Wpłynęła ona znacząco na działalność m.in. instytucji płatniczych – standaryzując formę niektórych świadczonych przez nie usług oraz banków – przełamując ich monopol na dostęp do kont bankowych. Banki zostały zmuszone do otwarcia świata danych i systemów bankowych na dostęp zewnętrznych instytucji płatniczych, a te drugie musiały spełnić określone wymogi regulacyjne, by korzystać z nadanych im uprawnień i móc tworzyć nowe rozwiązania, uzyskując licencje od lokalnych organów nadzorczych – wszystko z korzyścią dla użytkowników końcowych.
Open banking, czyli alternatywa do obecnych Przelewów Online
Jeszcze do niedawna najczęściej wybieraną metodą płatności elektronicznych były tzw. przelewy online, polegające na przekierowaniu płatnika do jego bankowości elektronicznej i zainicjowaniu przelewu z podstawionymi danymi odbiorcy. By taka usługa mogła być świadczona przez bramkę płatniczą, instytucja ją dostarczająca musiała podpisać odrębną umowę z każdym z banków i dla każdego wykonać integrację techniczną. Stawiało to banki w pozycji lidera negocjacyjnego i pozwalało dyktować warunki. By zrównoważyć tę dysproporcję, w dyrektywie PSD II zdefiniowano dwie nowe usługi: AIS (ang. Account Information Service), rozwiązanie wykorzystywane do scoringu kredytowego oraz agregowania danych z wielu kont bankowych, oraz PIS (Payment Initation Service), znajdującą zastosowanie w płatnościach elektronicznych, a służącą instytucjom płatniczym do inicjowania w imieniu płatnika przelewu – z jego konta, na konto odbiorcy. Banki zostały też zobowiązane do przygotowania otwartych interfejsów, poprzez które licencjonowane podmioty trzecie mogą korzystać z usług AIS czy PIS, bez konieczności podpisywania umów. W efekcie PIS zastąpi z czasem obecną architekturę przelewów online. Dostarczy przy tym korzyści firmom sprzedającym swoje produkty i usługi w Internecie – m.in. zwiększając konwersję koszyków zakupowych, a płacącym, pozwoli szybciej i łatwiej sfinalizować transakcję. Dla operatorów płatności elektronicznych, takich jak eService oznacza to możliwość samodzielnego wykonania prac technicznych integrujących bramkę płatniczą z każdym z banków oddzielnie lub skorzystania z usług integratorów open bankingu – takich jak np. litewski startup KEVIN. Sformalizowanie open bankingu w postaci dyrektywy PSD II dało tym samym szansę na powstanie i rozwój zupełnie nowej gałęzi sektora finansowego.
Większe bezpieczeństwo płacącego
Kolejnym ważnym aspektem, który wprowadziła dyrektywa, jest obowiązek zastosowania podczas obsługi transakcji mechanizmów Silnego Uwierzytelnienia Klienta (ang. Stron Customer Authentication). Wiążą się one m.in. z koniecznością weryfikacji, co najmniej dwóch elementów, należących do trzech typowych kategorii zasobów właściwych wyłącznie dla konkretnego posiadacza karty: czegoś, co ZNA (PIN karty, hasło lub odpowiedź na pytanie zabezpieczające), czegoś, co POSIADA (karta lub inny nośnik danych karty) lub czegoś, co JEST cechą charakterystyczną (odcisk palca, skan twarzy, sygnatura głosu itp.). Decyzję czy i w jakim zakresie dla danej transakcji, jest stosowany mechanizm SCA zawsze podejmuje bank, w którym klient posiada konto, jednak zawsze wynika to z jasnych i konkretnych zasad wskazanych w PSD II. Skutkuje to np. tym, że w trakcie płatności kartą w internecie, klient może zostać poproszony o wpisanie dodatkowego kodu z SMS-a wysłanego na jego numer telefonu lub potwierdzenie transakcji w bankowości mobilnej.
Zmiany wynikające z SCA można również zauważyć podczas płatności kartą na terminalu w sklepie tradycyjnym. Przyzwyczajeni do tego, że przy płatnościach zbliżeniowych o wartości poniżej 100 zł nie trzeba ich autoryzować za pomocą kodu PIN, zgodnie z regułami SCA, w określonych przypadkach możemy zostać poproszeni o jego wpisanie, nawet jeżeli transakcja jest poniżej wspomnianego wcześniej limitu.
Marek Trąbiński
ekspert rozwiązań płatniczych POS i eCommerce, eService