Serwis korzysta z plików cookies w celu realizacji usług zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. Dowiedz się więcej Rozumiem

Portal regulacyjny

Biuro Warszawa
Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa
tel. +48 22 652 26 18 

warsaw@dlklegal.com


Biuro Kraków
ul. Królowej Jadwigi 237
30-218 Kraków
tel. +48 12 410 07 47 

cracow@dlklegal.com

Czym są "TPP"?

Szczególnie istotną i budzącą pewne kontrowersje zmianą przewidzianą przez znowelizowane przepisy jest objęcie regulacją dyrektywy tzw. usług inicjowania płatności (payment initiation services – PIS) i usług dostępu do informacji o rachunku (account information services - AIS). W konsekwencji dyrektywa prowadzi do objęcia nadzorem podmiotów świadczących te usługi (tzw. third party providers - TPP).
 
PSD II:
 
Państwa członkowskie zapewniają, by płatnik miał prawo do korzystania z dostawcy świadczącego usługę inicjowania płatności w celu otrzymania usług płatniczych, o których mowa w pkt 7 załącznika I. Prawo do korzystania z dostawcy świadczącego usługę inicjowania płatności nie ma zastosowania, gdy rachunek płatniczy nie jest dostępny online.
 
Państwa członkowskie zapewniają, by użytkownik usług płatniczych miał prawo do korzystania z usług umożliwiających dostęp do informacji o rachunku, o których to usługach mowa w pkt 8 załącznika I. Prawo takie nie ma zastosowania, gdy rachunek płatniczy nie jest dostępny online.

Już samo przesądzenie legalności świadczenia takich usług jest niezwykle istotne dla funkcjonowania rynku usług płatniczych. Dotychczas w skali europejskiej istniały istotne rozbieżności w podejściu organów nadzoru do usług świadczonych przez TPP. Z jednej strony w niektórych państwach praktyka skłaniała się do akceptacji usług świadczonych przez TPP (czego dowodem jest np. orzeczenie w sprawie Sofort w Niemczech), z drugiej zaś strony często TPP napotykały bariery znacząco utrudniające świadczenie usług PIS/AIS, włącznie z sektorowym zakazem wykorzystania tego typu usług przez organy nadzorcze (np. wskutek zalecenia Komisji Nadzoru Finansowego nakazującego bankom rezygnację z wykorzystywania tego typu rozwiązań).
 
Główną cechą charakterystyczną dla dotychczasowego modelu świadczenia usług PIS/AIS jest konieczność podania TPP przez użytkownika danych logowania do bankowości elektronicznej. Dotychczas taka praktyka napotykała stanowczy sprzeciw części banków, które wielokrotnie przypominały o zakazie podawania danych logowania innym osobom. Podobne przypomnienia adresowała do użytkowników na rynku finansowym Komisja Nadzoru Finansowego.
 
Zgodnie z PSD oraz UUP Użytkownik powinien korzystać z bankowości elektronicznej zgodnie z umową zawartą z bankiem, a znaczna część banków wprowadziła do stosowanych wzorców umów zakaz ujawniania danych logowania osobom trzecim. Ponadto, polska ustawa (w przeciwieństwie do PSD) wprost zabraniała udostępniania instrumentu płatniczego osobom nieuprawnionym.
 
Art. 56 PSD
1. Użytkownik usług płatniczych uprawniony do korzystania z instrumentu płatniczego spełnia następujące obowiązki:
a) korzysta z instrumentu płatniczego zgodnie z warunkami wydawania i użytkowania tego instrumentu płatniczego; oraz
b) po stwierdzeniu utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego albo jego nieuprawnionego użycia informuje o tym bez zbędnej zwłoki dostawcę usług płatniczych, lub podmiot wskazany przez tego dostawcę.
2. Do celów ust. 1 lit. a) użytkownik usług płatniczych podejmuje w szczególności, z chwilą otrzymania instrumentu płatniczego, wszelkie stosowne kroki w celu zapobieżenia naruszeniu indywidualnych zabezpieczeń tego instrumentu.
Art.  42 UUP
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1)  korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2)  zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
Art. 35 PSD II
1. Użytkownik usług płatniczych uprawniony do korzystania z instrumentu płatniczego:
a) korzysta z instrumentu płatniczego zgodnie z warunkami wydawania i użytkowania tego instrumentu płatniczego, które muszą być obiektywne, niedyskryminujące i proporcjonalne;
b) po stwierdzeniu utraty, kradzieży, przywłaszczenia lub nieuprawnionego użycia instrumentu płatniczego – zgłasza to bez zbędnej zwłoki dostawcy usług płatniczych lub podmiotowi wskazanemu przez tego dostawcę.
 
2. Na potrzeby ust. 1 lit. a) użytkownik usług płatniczych w szczególności, z chwilą otrzymania instrumentu płatniczego, podejmuje wszelkie racjonalne kroki, by chronić swoje indywidualne dane uwierzytelniające.
 
Przepisy PSD II wymagają, aby zasady korzystania przez użytkownika z instrumentu płatniczego (czyli m.in. z bankowości elektronicznej) stosowane przez dostawców usług płatniczych były obiektywne, niedyskryminujące i proporcjonalne. Na gruncie przepisów PSD II za dyskryminujące lub nieproporcjonalne ograniczenia mogą zostać uznane np. klauzule regulaminów zakazujące korzystania z usług PIS/AIS albo stawiające przed użytkownikiem znaczne trudności praktyczne związane z korzystaniem z tych usług.
 
Dodatkową zmianą jest modyfikacja brzmienia przytoczonego powyżej przepisu wymagającego od użytkownika podjęcia środków zabezpieczających instrument płatniczy. Zmiana została dokonana jedynie w wersji polskiej - sformułowanie "all reasonable steps to keep its personalised security credentials safe" występuje zarówno w wersji angielskiej PSD, jak i PSD II. Na język polski z kolei zostało przetłumaczone odmiennie w PSD (jako "wszelkie stosowne kroki w celu zapobieżenia naruszeniu indywidualnych zabezpieczeń tego instrumentu") oraz  w PSD II (jako "wszelkie racjonalne kroki, by chronić swoje indywidualne dane uwierzytelniające").
 
Znaczenie nowych regulacji nie ograniczy się jednak jedynie do przesądzenia legalności takich usług. W dyrektywie PSD II przewidziany został szereg mechanizmów i wymogów prawnych mających na celu zapewnienie zarówno możliwości swobodnego korzystania z PIS i AIS, jak i odpowiedniego poziomu ochrony użytkowników tych usług.
 
Szczegółowe zasady uzyskiwania dostępu przez TPP do rachunku płatniczego zostaną określone przez Europejski Urząd Nadzoru Bankowego (EBA), we współpracy z Europejskim Bankiem Centralny, który do 13 stycznia 2017 powinien przedstawić Komisji Europejskiej projekt regulacyjnych standardów technicznych. Powinny one określać m.in. wymogi dotyczące silnego uwierzytelniania klienta oraz wymogi w zakresie wspólnych i bezpiecznych otwartych standardów komunikacji pomiędzy TPP a dostawcami usług płatniczych prowadzących rachunki. Przy ich opracowywaniu EBA ma wziąć pod uwagę m.in. potrzebę zapewniania bezpieczeństwa środków i danych osobowych, neutralności technologicznej oraz zachowanie uczciwej konkurencji pomiędzy wszystkimi dostawcami usług płatniczych. Regulacyjne standardy techniczne przyjmowane są przez Komisję Europejską w drodze rozporządzeń lub decyzji.
 
W ramach prac nad opracowaniem projektu regulacyjnych standardów technicznych, EBA opublikowała w grudniu 2015 roku "Discussion Paper", dotyczący silnego uwierzytelnienia klienta oraz bezpiecznej komunikacji między dostawcami. Do zamknięcia dyskusji w lutym 2016 spłynęło 81 odpowiedzi, zaś oddzielną opinię wydała Bankowa Grupa Interesariuszy (Banking Stakeholder Group).
 
dLK | PSD II: w czym możemy pomóc?
 
1) Wsparcie przy opracowaniu strategii biznesowej wykorzystania usług PIS/AIS przez dostawcę, a także możliwości współpracy z innymi dostawcami w nowych warunkach regulacyjnych.
2) Przygotowanie dokumentacji świadczenia usług, uwzględniającej wymagania PSD II.
3) Przygotowanie dostawcy świadczącego usługi PIS/AIS do postępowania przed KNF o uzyskanie zezwolenia na świadczenie usług w wybranej formie prawnej (bank, instytucja płatnicza, instytucja pieniądza elektronicznego).