Dyrektywa PSD2, a dostępność usług bankowych

Już od 14 września 2019 klientów banków w Polsce i Europie czekają duże zmiany w korzystaniu z ich usług. Wszystko za sprawą ostatecznego wejścia w życie zapisów tzw. dyrektywy PSD2. Dyrektywa Parlamentu Europejskiego i Rady UE w sprawie usług płatniczych w ramach rynku wewnętrznego (to właściwa jej nazwa) została uchwalona już w 2015 roku. Jednak dopiero teraz klienci banków w pełni doświadczą jej działania w praktyce. W tym miejscu Warto zadać pytanie: czy i w jaki sposób wejście w życie dyrektywy PSD2 wpłynie na dostępność usług bankowych?

O ile sama dyrektywa nie zawiera żadnych zapisów bezpośrednio regulujących kwestie dostępności, o tyle wprowadzane przez nią zmiany dotyczące bezpieczeństwa oraz zwiększenia konkurencyjności na rynku usług bankowych i płatniczych mogą w praktyce wpłynąć na te kwestie pośrednio. Co nowego wprowadza PSD2?

Bezpieczeństwo przede wszystkim

Każdy klient banku od 14 września logując się do swojego konta czy to przez stronę internetową czy to przez aplikację mobilną będzie musiał przejść procedurę podwójnego (silnego) uwierzytelnienia. Zgodnie z dyrektywą musi ono opierać się na trzech niezależnych od siebie czynnikach:

  • wiedza, czyli coś co wie wyłącznie klient (np. login, hasło, kod sms),
  • posiadanie, czyli coś co ma wyłącznie klient (np. token sprzętowy, aplikacja mobilna),
  • cecha, czyli coś co charakteryzuje klienta (np. biometria).

W praktyce oznacza to, że oprócz dotychczas wprowadzanego loginu (np. numer klienta) i hasła będzie trzeba podać jeszcze dodatkowe informacje. Będą to przykładowo jednorazowy kod z SMS-a wysłany na nasz telefon lub potwierdzenie tożsamości w aplikacji mobilnej banku za pomocą kodu (np. PIN), odcisku palca (np. TouchID) lub skanu twarzy (np. FaceID). Warto zaznaczyć, że listy haseł jednorazowych dostarczane najczęściej w postaci papierowej, na kartach-zdrapkach czy wypukłych wydruków brajlowskich stracą ważność i nie będą mogły być już wykorzystywane np. do potwierdzania transakcji. Nie spełniają one bowiem wymienionych powyżej wymogów PSD2.

Ponadto, przy płatnościach kartą w terminalach POS, dyrektywa wprowadza również obowiązek potwierdzania co piątej transakcji zbliżeniowej poprzez podanie kodu PIN. Nie będzie to jednak dotyczyć sytuacji gdy uwierzytelnianie transakcji odbywa się na urządzeniu użytkownika z wykorzystaniem biometrii. Dlatego użytkownicy m.in. ApplePay, GarminPay i FitbitPay będą płacili za ich pomocą tak jak dotychczas – bez konieczności podawania PIN-u.

Możliwe zagrożenia dla dostępności

Mając na uwadze powyższe zmiany, dostrzegam tu kilka potencjalnych zagrożeń w obszarze dostępności usług bankowości elektronicznej, przynajmniej w początkowym okresie po ich wprowadzeniu. Po pierwsze, niewidomi klienci banków, którzy od lat przywykli do korzystania z udostępnianych im drukowanych w brajlu list haseł jednorazowych będą zmuszeni do zmiany dotychczasowych przyzwyczajeń i przejścia na nowe, wymienione wcześniej sposoby potwierdzania transakcji. Nierzadko będzie się to wiązało z koniecznością zaopatrzenia się w dodatkowe urządzenie, najczęściej smartfona wyposażonego w program odczytu ekranu, który umożliwi im przejście procedury silnego uwierzytelnienia. Po trzecie, jeśli jakikolwiek element procedury silnego uwierzytelnienia – np. formularz wpisywania kodu SMS na internetowej stronie logowania lub autoryzacja w aplikacji mobilnej zostaną przygotowane przez bank w sposób niedostępny dla użytkowników czytników ekranu, klienci z niepełnosprawnością wzroku mogą stracić możliwość dostępu do swoich rachunków bankowych. Po czwarte, użytkownicy kart płatniczych oraz płatności GooglePay przyzwyczajeni do braku konieczności wprowadzania kodu PIN dla płatności zbliżeniowych, od teraz będą musieli to robić przy co piątej transakcji. O ile nie jest to konsekwencja bezpośrednio wynikająca z PSD2, to sytuacja wymogu wpisywania PIN-u na spotykanych gdzieniegdzie terminalach z klawiaturą ekranową może znacząco uprzykrzyć życie niewidomym klientom.

W tym miejscu chciałbym uczulić w szczególności pracowników banków odpowiedzialnych za projektowanie stron internetowych oraz aplikacji mobilnych na mogące wystąpić, wskazane powyżej, problemy w obszarze dostępności. Ufam jednak, że banki przygotowały się do powyższych zmian na tyle dobrze, że takie sytuacje będą należały do rzadkości

Nowe możliwości

Dyrektywa PSD2 to na szczęście nie tylko zmiany, do których klienci banków muszą bezwzględnie się dostosować. To również zmiany, które w praktyce mają zwiększyć konkurencyjność oraz innowacyjność na rynku usług płatniczych i bankowych.

Za sprawą dyrektywy zostanie wdrożony nowy standard usług finansowych tzw. Open Banking (Otwarta Bankowość) i pojawi się nowa kategoria podmiotów finansowych – dostawców usług płatniczych, będących osobą trzecią – TPP (ang. Third Party Provider). Będą oni mogli świadczyć dwa rodzaje usług:

  • AIS (ang. account information service), czyli usługę dostępu do informacji o rachunku,
  • PIS (payment initiation service), czyli usługę inicjowania płatności.

Podmiotem TPP może być również bank. W ostatnim czasie większość banków w Polsce wystąpiło z wnioskami do Komisji Nadzoru Finansowego o nadanie im statusu TPP.

W praktyce oznacza to, że klient posiadający rachunki w różnych bankach będzie mógł w jednym banku „podpiąć” sobie „podgląd” swoich wybranych pozostałych kont prowadzonych w innych bankach. Ponadto klient będzie mógł w jednym banku inicjować transakcje przelewu z tych podpiętych kont. W ten sposób będzie można wygodnie z jednego „ulubionego” banku zarządzać finansami na swoich pozostałych rachunkach prowadzonych w innych bankach. Oczywiście podmiotem posiadającym status TPP wcale nie musi być bank. Może nim zostać również firma oferująca innowacyjne rozwiązania finansowe tzw. FinTech taka jak np. Revolut, PayPal, PayU itp.

Od strony technicznej jest to możliwe dzięki zapisanemu w PSD2 obowiązkowi udostępnienia przez banki otwartego interfejsu bankowego (tzw. Open Banking API) pozwalającego na wspomniane „podpinanie” kont i inicjowanie transakcji płatniczych. Oczywiście nie należy się obawiać, że interfejs ten umożliwi nieuprawnione „podpinanie” naszych rachunków i zaglądanie do nich dowolnej osobie. „Podpinanie” i „odpinanie” rachunków z innych banków będzie odbywać się zawsze po uwierzytelnieniu i wyłącznie za zgodą właściciela każdego z rachunków.

Jak widać regulacje wprowadzane przez dyrektywę PSD2 oddają w ręce klientów banków zupełnie nowe możliwości w zarządzaniu swoimi finansami. Uważam, że mogą się one okazać również pozytywnym impulsem w obszarze dostępności usług bankowych.

Szansa na zwiększenie dostępności

Wyobraźmy sobie, swoją drogą nierzadką sytuację, w której osoba niewidoma posiada jedno konto w banku X, gdyż oferuje on bardzo przyjazny i dostępny przez stronę internetową oraz aplikację mobilną system transakcyjny. Posiada ona również drugie konto ale w banku Y, ponieważ oferuje on bardzo korzystne oprocentowanie przechowywanych na nim środków finansowych. Niestety, korzystanie z systemu transakcyjnego banku Y nie należy ani do wygodnych, ani zbyt dostępnych. Ponadto bank Y, mimo zgłaszanych przez klientów problemów z dostępnością nie podejmuje żadnych działań naprawczych.

Dzięki opisanym wyżej możliwościom zapewnianym przez PSD2, ów klient będzie mógł „podpiąć” w przyjaznym i dostępnym systemie transakcyjnym banku X, swoje konto posiadane w „słabo dostępnym” banku Y. Dodatkowo,, będzie mógł też inicjować przelewy z „podpiętego” konta w banku Y za pomocą systemu transakcyjnego banku X. W ten sposób nowe możliwości wprowadzane przez dyrektywę mogą stać się swego rodzaju remedium na nie grzeszące dostępnością systemy transakcyjne oraz aplikacje mobilne niektórych banków.

Osobiście liczę na to, że zmiany wprowadzane przez dyrektywę PSD2 wpłyną pozytywnie na świadomość oraz działania banków i innych instytucji finansowych w obszarze zwiększania poziomu dostępności swoich usług. A co się tak naprawdę zadzieje, zobaczymy w po 14 września 2019 r.

One Reply to “Dyrektywa PSD2, a dostępność usług bankowych”

  1. Witam. Takie pytanie.
    To nie jest aby tak, że kody sms wliczać należy do drugiej kategorii? Czyli nie wiedza, tylko coś, co klient posiada?
    Bo chyba są one tak pojmowane w grupie tych dodatkowych zabezpieczeń. Czyli mogą występować zamiast tokenów lub zamiast pinu w aplikacji, ale obok loginu i hasła. Tak to rozumiałem przynajmniej. Jeśli tak jest to tylko taka drobna poprawka.

Dodaj komentarz