Internetowy Serwis Bankowości Spółdzielczej

PSD 2 – nowa wersja dyrektywy w sprawie usług płatniczych

 
PSD 2 – nowa wersja dyrektywy w sprawie usług płatniczych
Maciej Gawroński, Sławomir Szepietowski, Adam Łukaszewski, Bird & Bird
 
Materiał ukazał się w publikacji Europejskiego Kongresu Finansowego 
pt. Wyzwania informatyki bankowej 2016
 
Rynek płatności elektronicznych i mobilnych to jeden z bardziej dynamicznie rozwijających się obszarów usług płatniczych. W ślad za tym powstają nowe i coraz mocniej rozbudowane produkty w  ramach e-commerce wymagające lepszych i wydajniejszych narzędzi informatycznych. W związku z tak intensywnym rozwojem w obecnym systemie prawnym pojawiły się luki, których uregulowanie jest niezbędne, aby zapewnić jednolite standardy i minimalny poziom bezpieczeństwa. W sukurs ma przyjść dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego1 („Dyrektywa PSD 2”), która istotnie zmieni europejski rynek e-commerce i krajobraz usług płatniczych. Jej implementacja pociągnie za sobą nie tylko nowelizację ustawy z 19 sierpnia 2011 r. o usługach płatniczych2 („Ustawa o usługach płatniczych”), ale i  spore zmiany w  modelu funkcjonowania dostawców usług płatniczych, które dotkną wielu obszarów ich codziennej działalności, m.in. regulaminów, wzorów umów, procedur, infrastruktury informatycznej czy relacji z organami nadzoru. Dyrektywa PSD 2 wpłynie także na sektor bankowy, ustanawiając nowe zasady współpracy banków z innymi podmiotami świadczącymi usługi płatnicze, np. przyznając tym ostatnim więcej swobody w samodzielnym, niezależnym od banków, oferowaniu tego typu usług. Proces dostosowania się do nowych przepisów może wymagać sporych nakładów i  zasadniczo jedynie poprzez odpowiednie działania wyprzedzające można będzie zminimalizować ryzyko wystąpienia zakłóceń. Innymi słowy, należy spodziewać się zmienionego kształtu polskiego i europejskiego rynku usług płatniczych.
 
Niniejszy artykuł ma na celu przedstawienie najważniejszych skutków prawnych Dyrektywy PSD 2.
 
 
Rozszerzenie zakresu stosowania Dyrektywy PSD 2 Komisja Europejska wskazała na potrzebę uregulowania nowych obszarów usług płatniczych oraz doprecyzowania obecnie obowiązujących regulacji. W związku z powyższym, w porównaniu do pierwotnej wersji dyrektywy oznaczonej numerem 1 wprowadzono następujące zmiany: 
  • uregulowano nowe usługi płatnicze, w  tym dostęp do informacji o  rachunku oraz inicjowanie płatności (więcej na ten temat w dalszej części artykułu), 
  • objęto Dyrektywą PSD 2 transakcje z  krajami trzecimi, gdy tylko jeden z dostawców usług płatniczych znajduje się na terenie UE, 
  • w sposób pośredni poszerzono zastosowanie Dyrektywy PSD 2 poprzez m.in.:
 
  • Sprecyzowanie katalogu wyłączonych spod Dyrektywy PSD 2 transakcji płatniczych przeprowadzanych za pośrednictwem dostawcy sieci lub usług łączności elektronicznej – przykładowo, będzie to zakup treści cyfrowych takich jak filmy, pliki muzyczne czy gry mobilne za pośrednictwem operatora telekomunikacyjnego, o ile nie przekroczy się określonych limitów (tj. 50 euro dla pojedynczej transakcji lub 300 euro w przypadku wszystkich transakcji w danym miesiącu). 
  • Obecnie obowiązujące przepisy wywołują wątpliwości interpretacyjne (nie ma chociażby wspomnianych wyżej jasno określonych limitów), więc prawodawca europejski postanowił je doprecyzować, oraz wprowadzić zmianę zasad funkcjonowania tzw. ograniczonej sieci opierającej się na tym, że wydawane w jej ramach instrumenty płatnicze można wykorzystywać jedynie w ograniczony sposób (tj. w szczególności, gdy obejmuje ona limitowany asortyment towarów lub usług) – przykładowo będą to karty sklepowe w ramach programów lojalnościowych, karty transportu publicznego czy karty wydawane na stacjach benzynowych.
  • W związku z tym, że obecne przepisy nie są jednoznaczne, zdarzało się, że płatności w ramach tzw. ograniczonych sieci osiągały spore wolumeny i dotyczyły tysięcy różnych produktów oraz usług. Dyrektywa PSD 2 zakłada, że podmiot prowadzący tzw. ograniczoną sieć będzie musiał wystosować do właściwego organu powiadomienie, gdy całkowita wartość transakcji płatniczych wykonanych podczas ostatnich 12 miesięcy w ramach tzw. ograniczonej sieci przekracza 1 mln euro. Na podstawie tego powiadomienia, w przypadku gdy dany rodzaj działalności nie kwalifikuje się jako działalność w ramach tzw. ograniczonej sieci, właściwy organ może nawet wydać decyzję o zakazie prowadzenia tej działalności
 
Obecnie działające instytucje płatnicze w kontekście przepisów przejściowych – ponowne przyznawanie zezwoleń 
 
Dyrektywa PSD 2 w  stosunku do obecnie działających podmiotów reguluje kwestię ponownego przyznawania zezwoleń na działalność regulowaną w zakresie usług płatniczych w następujący sposób: 
  • Obowiązkowo państwa członkowskie wymagają, aby obecnie działające instytucje płatnicze przekazały właściwym organom wszystkie stosowne informacje w celu umożliwienia przeprowadzenia oceny tego, czy instytucje te spełniają określone wymogi regulacyjne zawarte w  Dyrektywie PSD 2, a jeżeli nie spełniają, to jakie środki trzeba podjąć w celu zapewnienia zgodności, lub czy odpowiednim środkiem jest cofnięcie zezwolenia. 
  • W  związku z  powyższym obowiązkiem przekazywania informacji, jeżeli właściwe organy państwa członkowskiego wejdą w posiadanie dokumentacji potwierdzającej spełnienie wymogów regulacyjnych ustanowionych w Dyrektywie PSD 2, to mogą one automatycznie udzielić zezwolenia (ewentualnie wpisać do stosownych publicznych rejestrów, jeżeli zezwolenie nie jest wymagane) instytucjom płatniczym, które do dnia 13 stycznia 2018 r. (tj. końcowej daty implementacji Dyrektywy PSD 2 do krajowego porządku prawnego) podjęły zgodnie z prawem działalność w zakresie usług płatniczych. 
  • Jeżeli państwa członkowskie zrezygnują z  możliwości automatycznego przedłużania zezwolenia, to właściwe organy tych państw, na podstawie przekazanych danych od instytucji płatniczych, będą musiały w sposób pozytywny albo negatywny rozstrzygnąć w drodze decyzji kwestię wydania zezwolenia albo wpisu do właściwego rejestru w kontekście spełnienia przez obecnie działające instytucje płatnicze wymogów przewidzianych przez Dyrektywę PSD 2. 
  • Szczególna regulacja przewidziana jest dla osób prawnych, które przed dniem 12 stycznia 2016 r. prowadziły na terytorium tych państw usługę inicjowania płatności i usługę dostępu do informacji o rachunku – w stosunku do nich państwa członkowskie nie mogą zakazać kontynuowania tej samej działalności w okresie przed implementacją przepisów Dyrektywy PSD 2, jeżeli tylko odbywa się to zgodnie z aktualnie mającymi zastosowanie przepisami regulacyjnymi.
 
Usługa inicjowania płatności (PIS) 
Usługa tego typu jest już dawno stosowana w  praktyce świadczenia usług płatniczych3 , lecz dopiero Dyrektywa PSD 2 przewiduje, że państwa członkowskie będą musiały ją uregulować i  zapewnić stosowne ramy prawne. Można wyróżnić cztery podmioty, które pośrednio lub bezpośrednio są zaangażowane w operacje odbywające się w ramach struktury tej usługi:
 
  • Płatnik (posiadacz rachunku bankowego), a  więc potencjalny nabywca oferowanych w  sieci produktów i  usług – jako dysponentowi środków zgromadzonych na rachunku zależy mu na błyskawicznej realizacji płatności w celu szybszego dostarczenia zakupionego towaru lub natychmiastowego dostępu do zakupionej usługi. 
  • Dostawca usługi bądź produktu (w  szczególności sklep internetowy), który w ramach handlu elektronicznego jest zainteresowany spełnieniem oczekiwań klientów w  zakresie natychmiastowych płatności, ale także szybkim uzyskaniem informacji czy nabywca posiada wystarczające środki do zakupu danego produktu czy usługi. 
  • Tzw. podmiot trzeci (z ang. third party payment service provider), a konkretnie dostawca świadczący usługę inicjowania płatności pełniący niejako funkcję pośrednika – na polskim rynku taką usługę oferuje chociażby Sofort, który nawet wszedł w medialny spór z Komisją Nadzoru Finansowego („KNF”) odnośnie jej bezpieczeństwa. 
  • Instytucja finansowa prowadząca rachunek płatnika, którą najczęściej będzie bank. 
 
Podmiot oferujący usługę inicjowania płatności z  rachunku bankowego dostarcza interfejs programowy czy też bazę informatyczną umożliwiającą natychmiastowy przepływ stosownych danych odnośnie płatności między stroną internetową sprzedawcy a platformą bankowości internetowej. Zgodnie z Dyrektywą PSD 2 usługa inicjowania płatności stanie się usługą płatniczą i jako taka będzie wymagała zezwolenia Komisji Nadzoru Finansowego. Obecnie usługa ta nie jest regulowana i np. wspomniany już Sofort nie jest wpisany do rejestru usług płatniczych prowadzonego przez KNF. Zgodnie z Dyrektywą PSD 2 wśród warunków uzyskania zezwolenia na świadczenie usługi inicjowania płatności można wymienić m.in. dysponowanie kapitałem założycielskim w minimalnej wysokości 50 tys. euro czy konieczność posiadania ubezpieczenia odpowiedzialności z  tytułu prowadzenia działalności zawodowej albo porównywalnej gwarancji. Działalność ograniczająca się wy- łącznie do świadczenia usługi inicjowania płatności lub usługi dostępu do informacji o rachunku jest traktowana preferencyjnie w zakresie wymogów natury regulacyjnej (na przykład odnośnie posiadania funduszy własnych). Natomiast w  przypadku, gdy dostawca świadczący usługę inicjowania płatności zamierza świadczyć inne usługi płatnicze, w związku z którymi wejdzie w posiadanie środków pieniężnych użytkownika, będzie musiał spełnić dodatkowe wymogi w celu uzyskania zezwolenia na ich świadczenie. Ponadto dostawca usługi powinien przestrzegać stosownych przepisów w zakresie ochrony danych i bezpieczeństwa transakcji, szczególnie że korzystanie z tej usługi często polega na bezpośrednim podaniu przez klienta indywidualnych danych uwierzytelniających, w tym loginu i hasła do konta bankowego. Obecnie skorzystanie z tego typu „poszerzonej” usługi w Polsce tworzy ryzyko prawne chociażby w zakresie naruszenia postanowień umowy o prowadzenie rachunku bankowego bądź integralnie z nią związanego regulaminu danej instytucji finansowej. Co więcej, KNF wydała nawet ostrzeżenie przed dopuszczeniem pośredników do rachunku bankowego w płatnościach internetowych. W  zupełnie przeciwnym kierunku podąża Dyrektywa PSD 2, która wyraźnie wskazuje, że państwa członkowskie będą musiały zapewnić, by konsument miał prawo do korzystania z usługi inicjowania płatności. Z kolei banki prowadzące rachunek nie będą mogły stawiać nieprzewidzianych prawem wymogów, a podmioty świadczące usługę inicjowania płatności będą zasadniczo zobowiązane jedynie do uzyskania zezwolenia od kompetentnego organu publicznego. Co więcej, świadczenia usług inicjowania płatności nie będzie można uzależniać od istnienia stosunku umownego pomiędzy dostawcami świadczącymi tego typu usługę a bankami prowadzącymi rachunek do tego celu. Wyraźnie więc widać, że Dyrektywa PSD 2 ma na celu większe otwarcie rynku usług płatniczych na tzw. podmioty trzecie, a państwa członkowskie będą musiały stworzyć ku temu odpowiednie ramy prawne. W Polsce istnieją już analogiczne usługi, takie jak choćby Express Elixir oferowany przez Krajową Izbę Rozliczeniową czy przelew ekspresowy w systemie BlueCash, które powinny spodziewać się teraz większej konkurencji na rynku. Same standardy techniczne w zakresie komunikacji mię- dzy systemami dostawców usług płatniczych prowadzących rachunek bankowy a  podmiotami trzecimi (tj. w  szczególności dostawcami świadczącymi usługę inicjowania płatności i usługę dostępu do informacji o rachunku) zostaną opracowane przez Europejski Urząd Nadzoru Bankowego („EUNB”).
 
Usługa dostępu do informacji o rachunku (AIS) 
 
Usługa dostępu do informacji o rachunku, podobnie jak usługa inicjowania płatności, jest kolejną usługą płatniczą świadczoną na zasadzie dostępu do rachunku przez podmioty trzecie Zagraniczne podmioty profesjonalnie trudnią się taką działalnością już od kilkunastu lat, a ich wartość rynkowa sięga nawet kilkuset milionów dolarów5 . W  Polsce tego typu usługę (jeszcze oficjalnie nieuregulowaną) oferuje chociażby Kontomierz.pl. Usługa ta zapewnia użytkownikowi możliwość uzyskania zagregowanej informacji na temat wszystkich rachunków posiadanych przez tego użytkownika w różnych instytucjach finansowych. W jej ramach możliwa jest również analiza oraz przetwarzanie danych płynących z posiadanych rachunków w celu optymalizacji polityki użytkownika w kontekście chociażby planowania wydatków czy zarządzania swoimi finansami. Osoby fizyczne lub prawne, świadczące wyłącznie usługę dostępu do informacji o rachunku, są zwolnione z konieczności uzyskania zezwolenia i spełnienia wiążących się z tą procedurą wymogów regulacyjnych. Niemniej będą musiały złożyć wniosek o zarejestrowanie oraz będą traktowane jako instytucje płatnicze, do których należy stosować odpowiednie przepisy Dyrektywy PSD 2 (w szczególności w zakresie obowiązków informacyjnych względem użytkowników tego typu usług). Podobnie jak w przypadku usługi inicjowania płatności państwa członkowskie muszą zapewnić, by użytkownik usług płatniczych miał prawo do korzystania z usług umożliwiających dostęp do informacji o  rachunku. Dostawca usług płatniczych prowadzący rachunek (tj. zasadniczo bank) nie będzie mógł odmówić dostępu do danego rachunku płatniczego, chyba że będzie to uzasadnione obiektywnymi i należycie udokumentowanymi względami (np. nieuprawnione lub nielegalne zainicjowanie usługi). Z drugiej strony nie można używać, uzyskiwać ani przechowywać żadnych danych do celów innych niż do wykonania usługi dostępu do informacji o rachunku świadczonej na podstawie wyraźnej zgody użytkownika (tj. posiadacza poszczególnych rachunków).
 
Wzmocnienie pozycji organów nadzoru 
 
Dyrektywa PSD 2 rozszerza zakres współpracy i wymiany informacji pomiędzy odpowiednimi organami nadzoru państw członkowskich. W  znaczący sposób akcentuje również silną rolę nadzorczo-regulacyjną EUNB będącego częścią Europejskiego Systemu Nadzoru Finansowego. Wśród najważniejszych zadań EUNB na mocy Dyrektywy PSD 2 można wymienić:
  • opracowywanie regulacyjnych standardów technicznych dotyczących uwierzytelniania i komunikacji między określonymi podmiotami świadczącymi usługi płatnicze, 
  • określanie ram współpracy i  wymiany informacji w  zakresie działalności transgranicznej między właściwymi organami państwa członkowskiego pochodzenia a właściwymi organami przyjmującego państwa członkowskiego, 
  • prowadzenie bezpłatnego, elektronicznego i centralnego rejestru, w którym publikowany będzie wykaz nazw podmiotów świadczących usługi płatnicze,
  • pełnienie roli koordynatora w zakresie zarządzania informacją na temat incydentów związanych z bezpieczeństwem w zakresie usług płatniczych. 
 
Oczywiście bezpośrednim organem nadzorczym w Polsce będzie KNF, ale Dyrektywa PSD 2 wzmacnia przepisy w przedmiocie działalności i współpracy organów nadzoru państw członkowskich. Dyrektywa PSD 2 nakłada również kolejne obowiązki notyfikacyjne na przedsiębiorców. Przykładowo operatorzy telekomunikacyjni muszą przesyłać powiadomienia odnośnie tego, że przeprowadzane za ich pośrednictwem transakcje zakupu treści cyfrowych nie przekraczają określonych limitów.
 
Pobieranie dodatkowych opłat 
 
W  prawie unijnym wyraźnie widać tendencję do wydawania aktów prawnych, których celem jest wprowadzenie określonego limitu ograniczającego możliwość pobierania dodatkowych opłat z tytułu korzystania z określonych sposobów płatności czy instrumentów płatniczych. Przykładowo rozporządzenie 2015/751 Parlamentu Europejskiego i Rady z 29 kwietnia 2015 r. w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę6 („Rozporządzenie MiF”) wprowadza przepisy dotyczące m.in. maksymalnych stawek opłat interchange pobieranych z tytułu transakcji realizowanych w oparciu o kartę płatniczą. W tym zakresie, aby zapobiec zjawisku pobierania dodatkowych opłat, Dyrektywa PSD 2 nakłada na państwa członkowskie obowiązek, aby te zapewniły, by odbiorca środków pieniężnych nie żądał opłat za korzystanie z instrumentów płatniczych (w szczególności kart debetowych i kredytowych), do których stosuje się regulacje odnośnie opłat interchange na mocy rozporządzenia MiF. Komisja Europejska podaje, że zakaz pobierania dodatkowym opłat w przypadku kart płatniczych pozwoli konsumentom zaoszczędzić ok. 730 mln euro, choć brak jest precyzyjnych i szczegółowych wyliczeń w tym zakresie. 
 
Zasady odpowiedzialności 
 
Co do zasady w  przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych musi dokonać na rzecz płatnika (najczęściej posiadacza rachunku) zwrotu kwoty nieautoryzowanej transakcji płatniczej, z  wyjątkiem sytuacji gdy dostawca usług płatniczych płatnika ma uzasadnione podstawy, by podejrzewać oszustwo. W przypadku usługi inicjowania również podmiot prowadzący rachunek zwraca kwotę nieautoryzowanej transakcji, przy czym przysługuje mu roszczenie zwrotne jeżeli to dostawca świadczący usługę inicjowania płatności jest odpowiedzialny za nieautoryzowaną transakcję płatniczą. W zakresie sporu o zaistnienie nieautoryzowanej transakcji płatniczej obowiązuje odwrócenie ciężaru dowodowego, gdyż to do dostawcy usług płatniczych należy udowodnienie, że transakcja przebiegła prawidłowo i nie ma podstaw do zwrotu kwoty nieautoryzowanej transakcji płatniczej na rzecz płatnika. Z kolei odpowiedzialność płatnika (czyli kupującego lub posiadacza rachunku) za nieautoryzowane transakcje płatnicze ma charakter wyjątkowy i jest ograniczona do maksymalnej wysokości 50 euro, czyli o 100 euro mniej w porównaniu do poprzedniej wersji dyrektywy i ustawy o usługach płatniczych. Jednakże, aby w  ogóle mówić o  odpowiedzialności płatnika, transakcja płatnicza musi być skutkiem posłużenia się utraconym lub skradzionym instrumentem płatniczym lub przywłaszczenia instrumentu płatniczego. Przy czym wspomniane już kwotowe ograniczenie odpowiedzialności płatnika nie ma zastosowania, gdy można mu przypisać nieuczciwe zamiary lub określone przypadki celowego lub rażącego zaniedbania. Natomiast pewne okoliczności, takie jak zaniechania ze strony dostawcy usług płatniczych czy brak obiektywnej możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed płatnością całkowicie wyłączają odpowiedzialność płatnika za nieautoryzowane transakcje płatnicze. Odrębne (bardziej niekorzystne dla dostawcy usług płatniczych) zasady odpowiedzialności mają zastosowanie, gdy dostawca usług płatniczych nie wymaga silnego uwierzytelniania klienta (o którym niżej).
 
Nowe środki bezpieczeństwa 
 
Dyrektywa PSD 2 wprowadza pojęcie silnego uwierzytelnianie klienta, które oznacza uwierzytelnianie w  oparciu o  zastosowanie co najmniej dwóch elementów należących do trzech poniższych kategorii (coś wiem, coś mam, czymś jestem): 
  • wiedza (coś, o czym wie tylko użytkownik np. hasło czy numer PIN), 
  • posiadanie (coś, co posiada wyłącznie użytkownik np. spersonalizowane tokeny), 
  • cechy klienta (coś, co jest charakterystyczne dla samego użytkownika np. układ linii papilarnych, a zatem kwestia biometrycznej identyfikacji użytkownika). 
 
Silne uwierzytelnianie ma na celu odpowiednią ochronę poufności danych uwierzytelniających. W praktyce wiele instytucji finansowych stosuje już ten rodzaj uwierzytelniania, a Komisja Nadzoru Finansowego w wydanej w listopadzie 2015 r. rekomendacji dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w  internecie („Rekomendacja KNF”) jednoznacznie wskazała na potrzebę stosowania przez dostawców usług płatniczych procedury silnego uwierzytelniania klienta. Niemniej Dyrektywa PSD 2 wyraźnie przewiduje, że państwa członkowskie w pewnych sytuacjach (np. możliwość dostępu do rachunku on-line czy uruchomienie elektronicznej transakcji płatniczej) będą musiały wprowadzić na poziomie prawa powszechnie obowiązującego nakaz stosowania silnego uwierzytelniania klienta. Standardy techniczne odnośnie silnego uwierzytelniania klienta zostaną opracowane przez EUNB, a samo wdrożenie konieczności korzystania z tego środka bezpieczeństwa jest odroczone i będzie obowiązywało później niż większość przepisów Dyrektywy PSD 2. Zatem mimo czasowego braku obowiązku stosowania tego rodzaju uwierzytelniania i  tak znajdą zastosowanie bardziej rygorystyczne zasady odpowiedzialności dostawcy usług płatniczych, które aktualizują się w razie braku stosowania silnego uwierzytelniania klienta. 
 
Transpozycja
 
 Implementacja Dyrektywy PSD 2 przez państwa członkowskie, co do zasady, musi nastąpić najpóźniej 13 stycznia 2018 r, z wyjątkiem nowych środków bezpieczeństwa (m.in. silnego uwierzytelniania klienta oraz standardów komunikacji między poszczególnymi podmiotami świadczącymi usługi płatnicze), których wdrożenie powinno nastąpić w  ciągu 18 miesięcy od daty wejścia w życie regulacyjnych standardów technicznych opracowanych przez EUNB. Powyższa sytuacja sprawi, że mimo wejścia w życie norm prawnych dotyczących usługi dostępu do informacji o  rachunku czy usługi inicjowania płatności i objęcia ich nadzorem, przez jakiś czas brak będzie pełnych ram prawnych dla relacji pomiędzy dostawcami tych usług, a dostawcami usług płatniczych prowadzących rachunek, szczególnie w  zakresie technicznych standardów komunikacji. W związku z okresem przejściowym Komisja Europejska wskazała na potrzebę zastosowania środków tymczasowych i przykładowo, w  zakresie internetowych płatności, będą to końcowe wytyczne w sprawie bezpieczeństwa płatności internetowych z dnia 19 grudnia 2014 r. wydane przez EUNB . Również Rekomendacja KNF wskazuje na potrzebę stosowania wspomnianych wytycznych, która to, podobnie jak Dyrektywa PSD 2, podkreśla konieczność zapewnienia stosownych standardów bezpieczeństwa w zakresie płatności internetowych. Jednakże w zakresie wytycznych co do używania spersonalizowanych danych uwierzytelniających (między innymi login, hasło czy kod sms) Rekomendacja KNF stoi w sprzeczności w stosunku do Dyrektywy PSD 2, gdyż wyraźnie przestrzega przed udostępnianiem tychże danych jakimkolwiek podmiotom trzecim. Z  kolei jednym z ważniejszych postulatów Dyrektywy PSD 2 jest zakaz przyjmowania przez państwa członkowskie środków, których celem byłoby nie tylko blokowanie, ale i utrudnianie świadczenia usługi inicjowania płatności, której istotą jest wprowadzenie indywidualnych danych uwierzytelniających do systemu informatycznego podmiotu oferującego taką usługę. 
 
Podsumowanie 
 
Dyrektywa PSD 2 stanowi fundament dla istnienia europejskiego rynku płatności wyznaczając podstawowe reguły prawne i zasady jego funkcjonowania. Jednak skutki jej implementacji wywołały podzielone zdania wśród przedstawicieli podmiotów świadczących usług płatnicze. Niektóre banki już teraz dostrzegają w tym ryzyko utraty części rynku. Rozwiązania wprowadzane przez Dyrektywę PSD 2 nie tylko zwiększają dostępność rynku dla podmiotów działających w obszarze e-commerce, ale również mogą pośrednio prowadzić do marginalizacji roli banków na rynku płatności, których rola w niektórych sytuacjach zostanie sprowadzona jedynie do prowadzenia „marketingowo niewidzialnego” rachunku bankowego, gdyż to dostawca usługi płatności będzie tym podmiotem, którego logo będzie najbardziej widoczne. Również Związek Banków Polskich w kontekście udostępnia osobom trzecim identyfikatora oraz hasła dostępu do konta bankowego podziela zastrzeżenia opisane w ramach Rekomendacji KNF. Z kolei przedstawiciele dostawców płatności online wskazują na szansę wzmocnienia swojej pozycji względem dominujących dotychczas firm amerykańskich, a także na zwiększenie obrotów, nie tylko w obrębie całego sektora e-commerce. Niemniej podnosi się także to, że beneficjentami rozwiązań zawartych w Dyrektywie PSD 2 będą również banki . Wydaje się jednak, że pełne skutki w zakresie zmiany układu sił na rynku usług płatniczych trudno przewidzieć, choć Dyrektywa PSD 2 z pewnością zwiększy bezpieczeństwo użytkowników usług płatniczych, a  także wprowadzi nowe wyzwania dla dostawców tych usług. Nowe regulacje dają też dodatkową przestrzeń dla ekspansji usług firm z sektora FinTech. Nie tylko przy realizacji usługi dostępu do informacji o rachunku czy inicjowania płatności, w tym w zakresie sprostania wymogom bezpieczeństwa tych operacji po obu stronach (tj. banku i inicjatora), ale także w obszarze dostarczania rozwiązań związanych z silnym uwierzytelnianiem klienta. Obecne już na rynku (także w Polsce) rozwiązania, oparte na identyfikacji osoby na podstawie cech biometrycznych, np. głosu lub tętna, mogą istotnie zyskać na powszechności w sektorze usług finansowych. Nowe regulacje idą ramię w ramię z nowymi technologiami.
 
 
Materiał ukazał się w publikacji Europejskiego Kongresu Finansowego 
pt. Wyzwania informatyki bankowej 2016