Pomiń nawigację

13 grudnia 2023

Projekt dyrektywy PSD 3 oraz projekt rozporządzenia PSR – nowe regulacje dotyczące sektora usług płatniczych

Udostępnij

Obecnie świadczenie usług płatniczych w Unii Europejskiej uregulowane jest przez  dyrektywę PSD 2, tj. dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego - PSD 2, uzupełnioną przez rozporządzenie delegowane Komisji 2018/389 w obszarze standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych, bezpiecznych otwartych kanałów komunikacji.  Po ponad ośmiu latach funkcjonowania naturalną koleją rzeczy dyrektywa PSD 2 wymagała przejrzenia i zmian. Komisja Europejska przeprowadziła taki przegląd i doszła do wniosku, że nowelizacja będzie niewystarczająca i w celu jeszcze większego ujednolicenia przepisów regulujących unijny sektor usług płatniczych konieczne jest przygotowanie – obok nowej dyrektywy Parlamentu Europejskiego i Rady (przewidującej, podobnie jak dyrektywa PSD 2, harmonizację pełną) – także unijnego rozporządzenia Parlamentu Europejskiego i Rady (unijne rozporządzenia stosowane są bezpośrednio w państwach członkowskich i nie wymagają implementacji). Komisja Europejska przedstawiła zatem pod koniec czerwca 2023 projekt nowej dyrektywy PSD 3 oraz projekt rozporządzenia PSR, które pozostają ze sobą w takim związku, że stanowią w istocie jedną nierozerwalną merytoryczną całość.

Za pomocą tych nowych aktów prawnych Komisja Europejska ma zamiar przeciwdziałać zidentyfikowanym przez nią problemom występujących na unijnym rynku płatności, które powodują m.in. że użytkownicy nadal są narażeni na ryzyko oszustwa a dostawcy otwartej bankowości mają trudności przy świadczeniu swoich usług i we wprowadzaniu innowacji. Projektowana dyrektywa PSD 3 oraz rozporządzenie PSR ma także według Komisji m.in. poprawić dostęp do systemów płatności i rachunków bankowych dla dostawców usług płatniczych spoza sektora bankowego.

Przeciwdziałanie oszustwom

W ostatnich latach na rynku usług płatniczych nasiliły się oszukańcze działania, które przede wszystkim uderzają w konsumentów. Komisja Europejska dostrzegła to zjawisko i zaproponowała w projekcie dyrektywy PSD 3 oraz w projekcie rozporządzenia PSR  rozwiązania, które mają zwiększyć bezpieczeństwo użytkowników usług płatniczych. Chodzi tu o:

  • usprawnienia w stosowaniu silnego uwierzytelniania klienta,
  • wprowadzenie podstawy prawnej dla wymiany informacji na temat oszustw i obowiązku dostarczania konsumentom informacji na temat oszustw,
  • nałożenie na dostawców usług płatniczych obowiązku weryfikacji unikatowego identyfikatora odbiorcy na wniosek użytkownika oraz warunkowe przeniesienie odpowiedzialności na dostawcę usług płatniczych w przypadku wyłudzenia przelewu,
  • poprawę dostępności silnego uwierzytelniania klienta dla użytkowników z niepełnosprawnością, osób starszych i innych osób zmagających się z wyzwaniami w odniesieniu do stosowania silnego uwierzytelniania klienta,
  • wprowadzenie środków mających na celu zwiększenie dostępności gotówki,
  • ulepszenie praw użytkownika i informacji dla użytkowników.

Istotną nowością w stosunku do obecnego stanu prawnego jest propozycja, aby dostawca usług płatniczych odbiorcy miał obowiązek sprawdzenia, na wniosek użytkownika usług płatniczych, czy unikatowy identyfikator odbiorcy pasuje do nazwiska lub nazwy odbiorcy podanych przez płatnika a także, aby miał obowiązek powiadomienia dostawcy usług płatniczych płatnika o wszelkich wykrytych rozbieżnościach. W przypadku, gdy dane te nie pasują do siebie, dostawca usług płatniczych płatnika miałby obowiązek powiadomienia płatnika o wszelkich takich rozbieżnościach oraz wykrytym stopniu tych rozbieżności. Co więcej, dostawca usług płatniczych płatnika ma ponosić odpowiedzialność za pełną kwotę polecenia przelewu w przypadkach, w których nie udało mu się powiadomić płatnika o wykrytej rozbieżności.

W sferze odpowiedzialności za konsekwencje oszukańczych działań  konsument jest traktowany przez projektodawcę szczególnie - to dostawca usług płatniczych, a nie konsument, ma ponosić odpowiedzialność w przypadku, gdy konsument zatwierdził transakcję płatniczą w wyniku manipulacji osoby trzeciej stosującej kłamstwa lub podstęp i podającej się za pracownika dostawcy usług płatniczych konsumenta. To istotna zmiana, gdyż we wskazanej sytuacji, obecnie co do zasady dostawca usług płatniczych odpowiedzialności nie ponosi. Celem tej propozycji jest, jak się wydaje, wymuszenie na dostawcach usług płatniczych większego zaangażowania w zwalczanie oszustw, przede wszystkim poprzez zintensyfikowanie wymiany informacji o oszustwach, tak między samymi dostawcami usług płatniczych jak i pomiędzy nimi a dostawcami usług łączności elektronicznej. Dlatego też Komisja Europejska proponuje wprowadzenie obowiązku współpracy między dostawcami usług łączności elektronicznej a dostawcami usług płatniczych.

Oszustwa mogą także polegać na tym, że nieuczciwy kontrahent,  w przypadku transakcji płatniczych, których kwota transakcji nie jest znana z wyprzedzeniem, blokuje na instrumencie płatniczym użytkownika kwotę nieadekwatną do zobowiązania użytkownika. Stąd w projekcie rozporządzenia PSR, oprócz tego, że powtórzono przewidzianą w dyrektywie PSD 2 regulację dotyczącą wyrażenia przez płatnika zgody na zablokowanie dokładnej kwoty środków pieniężnych, to dodano przepis, zgodnie z którym kwota środków pieniężnych zablokowana przez dostawcę usług płatniczych płatnika musi być proporcjonalna do kwoty transakcji płatniczej, której to płatnik może zasadnie oczekiwać.

Do istotnego zwiększenia dostępności silnego uwierzytelnienia niewątpliwie przyczynią się nowe zaproponowane przez Komisję przepisy, które mają zapewnić, aby wszyscy klienci, w tym osoby z niepełnosprawnościami, osoby starsze, osoby posiadające niewielkie umiejętności cyfrowe oraz nieposiadające dostępu do kanałów cyfrowych lub smartfona, mieli do dyspozycji co najmniej jeden środek umożliwiający im przeprowadzenie silnego uwierzytelniania klienta.

Na marginesie, warto zwrócić uwagę na to, że projekty dyrektywy PSD 3 oraz rozporządzenia PSR uwzględniają już europejski portfel tożsamości cyfrowej. Ta inicjatywa także m.in. przyczyni się do zmniejszenia oszustw w cyberprzestrzeni.

Zmiany dotyczące usług wypłacania gotówki

Dla Komisji Europejskiej priorytet stanowi ułatwienie obywatelom UE dostępu do gotówki. W świetle postanowień projektu dyrektywy PSD oraz rozporządzenia PSR usługa wypłacania gotówki świadczona przez sprzedawców detalicznych w fizycznych punktach sprzedaży, nawet wtedy, gdy klient nie dokonuje zakupu, nie będzie wymagała uzyskania zezwolenia lub wpisu do rejestru, o ile kwota wypłaconej gotówki nie będzie przekraczać 50 euro na jedną transakcję. W projekcie rozporządzenia PSR nałożono jednak na osoby fizyczne lub prawne świadczące taką usługę obowiązek przekazania lub udostępniania klientom informacji na temat wszelkich opłat przed dokonaniem wypłaty przez klienta, a także w chwili odbioru gotówki po zakończeniu transakcji.

Zapewnienie dostępu do gotówki jest także związane z upowszechnianiem się bankomatów. W dyrektywach PSD 1 oraz PSD 2 przewidziano wyłączenia z zakresu stosowania tych dyrektyw dla  usług wypłacania gotówki oferowanych za pomocą bankomatów przez dostawców, którzy działają w imieniu co najmniej jednego wydawcy kart i którzy nie są stroną umowy ramowej z klientem wypłacającym gotówkę z rachunku płatniczego, pod warunkiem, że dostawcy ci nie świadczą innych usług płatniczych. W projektowanej regulacji katalog wyłączeń został przeniesiony z dyrektywy do rozporządzenia PSR i nie ma w tym katalogu wyłączeń dotyczących wypłaty gotówki z bankomatów, zatem to wyłączenie zostało zniesione. Komisja Europejska zaproponowała w nowej regulacji, aby operatorzy bankomatów, którzy nie prowadzą rachunków płatniczych i nie świadczą innych usług płatniczych, nie podlegali obowiązkowi uzyskania zezwolenia, lecz wyłącznie wpisowi do odpowiedniego rejestru prowadzonego przez właściwy organ państwa członkowskiego (w Polsce chodzi o Komisję Nadzoru Finansowego).

Zmiany dotyczące usług otwartej bankowości

Pojęciem otwartej bankowości określa się dwie usługi płatnicze dodane do katalogu usług płatniczych przez dyrektywę PSD 2, tj. usługę dostępu do informacji o rachunku oraz usługę inicjowania płatności. Regulacja tych usług była jedną z najważniejszych zmian wprowadzonych przez dyrektywę PSD 2. Projekt dyrektywy PSD 3 oraz projekt rozporządzenia PSR modyfikuje i rozwija dotychczasowe przepisy a najważniejszą zmianą w stosunku do regulacji zawartej w dyrektywie PSD 2 jest nałożenie w rozporządzeniu PSR na dostawców usług płatniczych udostępniających rachunki płatnicze obowiązku (z wyjątkiem okoliczności nadzwyczajnych) posiadania specjalnego interfejsu na potrzeby dostępu do danych otwartej bankowości (obecnie obowiązek udostępniania interfejsu dostępowego wynika z rozporządzenia 2018/389, ale rozporządzenie to nie wyróżnia specjalnego interfejsu dedykowanego otwartej bankowości). Ponadto planuje się znieść, z zastrzeżeniem pewnych wyjątków, nałożony przez rozporządzenie Komisji 2018/389 na dostawców usług płatniczych prowadzących rachunek płatniczy, obowiązek ciągłego utrzymywania interfejsu „rezerwowego”.

Projekt  rozporządzenia PSR zawiera szczegółową regulację dotyczącą zarządzania dostępem do danych przez użytkowników usług płatniczych na potrzeby wykonywania usług  dostępu do informacji o rachunku lub usług inicjowania płatności. Chodzi tu zapewnienie użytkownikowi korzystania z panelu zintegrowanego z interfejsem użytkownika, tak aby mógł on wygodnie monitorować zezwolenia, jakie udzielił na potrzeby usług dostępu do informacji o rachunku lub usług inicjowania płatności.  Panel ten musi m.in. zapewniać możliwość cofnięcia przez użytkownika dostępu do tych danych w odniesieniu do każdego dostawcy otwartej bankowości.

Według Komisji Europejskiej praktyka polegająca na tym, że dostawcy świadczący usługę dostępu do informacji o rachunku przekazują dane dotyczące rachunków płatniczych konsumenta innemu przedsiębiorcy, może stanowić źródło innowacyjnych usług przynoszących  korzyść użytkownikom. Taki model biznesowy umożliwia dostarczanie innych – niezwiązanych z płatnością – usług, między innymi pożyczek, rachunkowości czy oceny zdolności kredytowej. Zdaniem Komisji Europejskiej istotne jest jednakże to, by użytkownicy usług płatniczych wiedzieli dokładnie, kto ma dostęp do ich danych dotyczących rachunków płatniczych, na jakiej podstawie i jaki jest cel tego dostępu. Słowem, użytkownicy powinni być informowani o przekazywaniu ich danych innemu przedsiębiorcy oraz zatwierdzić takie przekazanie. Stąd też Komisja zaproponowała zmianę definicji usług dostępu do informacji o rachunku, tak aby uściślić, że informacje agregowane przez posiadającego zezwolenie dostawcę świadczącego usługę dostępu do informacji o rachunku mogą być przekazywane osobie trzeciej, po to aby umożliwić jej świadczenie innej usługi na rzecz użytkownika końcowego za jego zgodą.

Dla ułatwienia rozpoczęcia działalności w obszarze otwartej bankowości może mieć znaczenie propozycja, aby w okresie oczekiwania na wydanie zezwolenia lub wpis do rejestru, podmioty zamierzające świadczyć usługę dostępu do informacji o rachunku lub usługę inicjowania płatności miały możliwość, jako alternatywę dla ubezpieczenia się od odpowiedzialności cywilnej, wykazanie się przed władzami nadzorczymi kapitałem założycielskim w wysokości 50 000 euro. Ta propozycja Komisji wynika z tego, że w praktyce obecnie występują istotne problemy z uzyskaniem przez podmioty zamierzające świadczyć usługi otwartej bankowości ubezpieczenia od odpowiedzialności cywilnej, na etapie postępowania o wydanie zezwolenia lub dokonania wpisu do rejestru. Jednakże tego rodzaju  „ulga” ma mieć zastosowanie wyłącznie w okresie trwania postępowania o wydanie zezwolenia lub wpis do rejestru i po zakończeniu tego postępowania, jeżeli zezwolenie zostanie uzyskane lub wpis do rejestru zostanie dokonany, dostawca usług otwartej bankowości będzie musiał uzyskać bez zbędnej zwłoki stosowne ubezpieczenie  od odpowiedzialności cywilnej z tytułu działalności zawodowej.

Zmiany dotyczące funkcjonowania instytucji płatniczej oraz instytucji pieniądza elektronicznego

Podstawowa zmiana dotycząca instytucji płatniczych oraz instytucji pieniądza elektronicznego polega na uproszczeniu regulacji instytucji pieniądza elektronicznego. Dyrektywa 2009/110/WE dotycząca instytucji pieniądza elektronicznego ma zostać uchylona a cała regulacja pieniądza elektronicznego i podmiotów emitujących pieniądz elektroniczny oraz świadczących usługi związane z tym pieniądzem ma zostać zawarta w dyrektywie PSD 3 oraz rozporządzeniu PSR. Konsekwentnie, z prawa UE ma zniknąć pojęcie instytucji pieniądza elektronicznego – podmioty emitujące pieniądz elektroniczny mają być kwalifikowane jako rodzaj instytucji płatniczej. Jest to niewątpliwie efekt procesu stopniowego ujednolicania przez ostatnie 20 lat regulacji prawnej instytucji płatniczych oraz instytucji pieniądza elektronicznego. Niemniej jednak Komisja dostrzega specyfikę pieniądza elektronicznego i uwzględnia tę specyfikę w projektach dyrektywy PSD 3 oraz rozporządzenia PSR, chociażby w obszarze kapitału założycielskiego i funduszy własnych, regulacji działalności w zakresie pieniądza elektronicznego, w tym emisji pieniądza elektronicznego, jego dystrybucji, czy wykupu. Szczególny nacisk położono na ujednolicenie systemów mających zastosowanie do ochrony środków pieniężnych użytkowników z jednoczesnym zachowaniem specyfiki pieniądza elektronicznego (w ten sposób Komisja zamierza zapewnić równe warunki działania instytucji płatniczych świadczących usługi płatnicze i instytucji płatniczych emitujących pieniądz elektroniczny oraz świadczących usługi związane z pieniądzem elektronicznym).

Definicję usług związanych z pieniądzem elektronicznym będzie zawierać rozporządzenie PSR. Są to takie usługi, jak: emisja pieniądza elektronicznego, prowadzenie rachunków płatniczych, na których przechowywane są jednostki pieniądza elektronicznego, oraz przekazywanie jednostek pieniądza elektronicznego. Warto zauważyć, że Komisja proponuje przeniesienie słowniczka z dyrektywy do rozporządzenia - jest to obecnie standardowe podejście w legislacji z zakresu Jednolitego Rynku Finansowego, takie posunięcie zapewnia jednolite rozumienie zdefiniowanych pojęć we wszystkich państwach członkowskich.

Do projektu dyrektywy PSD 3 wprowadzono nowe, wcześniej nie występujące w dyrektywie PSD 2 oraz w dyrektywie 2009/110/EC pojęcie dystrybutora. W projekcie rozporządzenia PSR definiuje się dystrybutora jako osobę fizyczną lub prawną dystrybuującą pieniądz elektroniczny lub dokonującą wykupu tego pieniądza w imieniu instytucji płatniczej.

Należy ponadto odnotować, że ze względu na inflację w projekcie dyrektywy PSD 3 podniesiono kapitały założycielskie oraz kapitały własne instytucji płatniczych.

Komisja dostrzega problemy instytucji płatniczych w otwieraniu i utrzymywaniu rachunków płatniczych w instytucjach kredytowych i uznała, że konieczne jest zapewnienie możliwości przechowywania środków pieniężnych instytucji płatniczych w banku centralnym. Ponadto Komisja proponuje takie zmiany w prawie UE, aby instytucje płatnicze mogły w pełni, na takich samych warunkach, jak instytucje kredytowe uczestniczyć w krajowych systemach płatności (chodzi tu przede wszystkim o nowelizację dyrektywy  98/26/WE w sprawie zamknięcia rozliczeń w systemach płatności i rozrachunku papierów wartościowych).

Zawarty w projektach dyrektywy PSD 2 oraz rozporządzenia PSR system udzielania zezwoleń będzie także dotyczył emitentów tokenów będących pieniądzem elektronicznym (e-money tokens). Jest to konsekwencja wyraźnego stwierdzenia w rozporządzeniu 2023/1114 (rozporządzeniu MiCA), że tokeny będące pieniądzem elektronicznym uznaje się za pieniądz elektroniczny. To także oznacza, że definicja środków pieniężnych (funds) obecnie znajdująca się w dyrektywie PSD 2, a którą planuje się przenieść do rozporządzenia PSR, obejmuje tokeny pieniądza elektronicznego. Zresztą w prambule projektu rozporządzenia PSR podkreśla się, że definicja ta powinna obejmować wszystkie formy pieniądza banku centralnego emitowanego do użytku detalicznego, między innymi banknoty i monety oraz każdą ewentualną przyszłą cyfrową walutę banku centralnego i wszelki ewentualny pieniądz elektroniczny i pieniądz banku komercyjnego (jednakże w jej zakres nie powinien wchodzić pieniądz banku centralnego emitowany do użytku między bankiem centralnym a bankami komercyjnymi, tj. do użytku hurtowego).

Kiedy zaczną obowiązywać nowe rozwiązania?

Obecnie nie wiadomo, kiedy zakończą się prace legislacyjne, projekty zostały dopiero przedłożone przez Komisję. Najszybciej dyrektywa PSD 3 oraz rozporządzenie PSR mogą zostać ogłoszone w Dzienniku Urzędowym UE w połowie 2024 r. O ile nie wiadomo, kiedy nastąpi takie ogłoszenie, to więcej wiadomo o konkretnych terminach wejścia w życie tych aktów oraz o terminach transpozycji dyrektywy oraz stosowania rozporządzenia.  

Według postanowień zawartych w projekcie Dyrektywa PSD 3 powinna wejść w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym UE. Natomiast państwa członkowskie powinny dokonać transpozycji dyrektywy PSD 3 (tj. przyjąć i opublikować przepisy niezbędne do wykonania dyrektywy oraz je stosować) w terminie 18 miesięcy od dnia jej wejścia w życie. Półtora roku jest to wystarczający okres czasu na dostosowanie przepisów krajowych i transpozycję dyrektywy, tym bardziej, że państwa członkowskie zawsze na bieżąco śledzą przebieg prac legislacyjnych, więc nie są „zaskoczone” ostateczną wersją.  Wyjątek ten dotyczy zmian w dyrektywie 98/26/WE – tu termin transpozycji został znacznie skrócony do 6 miesięcy.

Także rozporządzenie PSR powinno wejść w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym UE. Rozporządzenie unijne nie podlega transpozycji, lecz jest w całości stosowane bezpośrednio w państwach członkowskich. Projekt przewiduje, że rozporządzenie PSR będzie stosowane po upływie 18 miesięcy od dnia jego wejścia w życie. Dłuższy termin, bo aż 24 miesiące, przewidziano dla stosowania przepisów dotyczących obowiązku bezpłatnego weryfikowania przez dostawcę usług płatniczych rozbieżności pomiędzy nazwiskiem lub nazwą a unikatowym identyfikatorem odbiorcy w przypadku poleceń przelewu oraz stosowania przepisów regulujących odpowiedzialność dostawcy usług płatniczych za taką nieprawidłową weryfikację.  

dr hab. Witold Srokosz, prof. UWr

radca prawny we Wrocławiu

 

Zobacz więcej podobnych artykułów