Nowe zasady dostępu do rachunku bez SCA

25 lipca 2023 r. wchodzi w życie nowelizacja RTS do PSD2 zmieniająca zasady logowania do rachunku bez SCA bezpośrednio i przez AIS.

W dostępie AIS bank nie może stosować SCA przez 180 dni. W bankowości elektronicznej bez SCA użytkownik widzi albo historię transakcji, albo saldo, ale nie obie informacje łącznie

Porządek czasowy

RTS SCA CSC 2023 – przejdź to treści aktu na stronach publikatora (link aktywny 11.05.2023).

  • opublikowano 05.12.2022 r., weszło w życie 25.12.2022 r.
  • obowiązuje od 25.07.2023 r., termin na zmianę specyfikacji interfejsu PSD2 w większości przypadków mija 25 maja 2023 r.

Scenariusze objęte rozporządzeniem

Rozporządzenie reguluje zasady stosowania silnego uwierzytelnienia użytkownika (SCA) przy dostępie do rachunku płatniczego. Obejmuje to zarówno:

  • dostęp bezpośredni, czyli przez aplikację bankowości elektronicznej, czy to klasycznej czy mobilnej, oraz
  • dostęp za pośrednictwem usługi dostępu do informacji o rachunku (tzw. AIS, ang. account information services); dostęp AIS jest obecnie wykorzystywany najczęściej przy ocenie zdolności kredytowej, przede wszystkim przez firmy pożyczkowe.

Logowanie bez SCA przez bankowość elektroniczną i mobilną

Nowelizacja RTS wprowadza następujące zmiany w logowaniu przez aplikację dostawcy rachunku (banku, SKOK, innych dostawców rachunku, w tym instytucji płatniczej lub małej instytucji płatniczej, instytucji pieniądza elektronicznego), to jest w art. 10 RTS:

  1. po jakimkolwiek logowaniu z SCA dostawca rachunku może, ale nie musi, dopuścić okres logowania bez SCA przez 180 dni, a nie 90 dni, jak dotychczas;
  2. w trybie logowania bez SCA użytkownik może uzyskać dostęp do informacji:
    1. albo o saldzie,
    2. albo transakcji za ostatnie 90 dni,

ale nie do obu tych informacji łącznie.

Oznacza to, że obecna praktyka, gdzie po zalogowaniu bez SCA użytkownik uzyskuje dostęp do bankowości elektronicznej z pełną informacją o rachunku, z tym że z historią transakcji ograniczoną do 90 dni, nie będzie dopuszczalna. Po zalogowaniu w tym trybie użytkownik może zobaczyć albo saldo, albo historię transakcji, ale nie obie informacje łącznie.

Wniosek powyższy wynika wprost z treści Rozporządzenia:

Art. 10 Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, w przypadku gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego bezpośrednio w trybie online, pod warunkiem że dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online bez ujawniania szczególnie chronionych danych dotyczących płatności:
a) salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;
b) transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.

Inne wersje językowe zawierają podobnie jednoznaczne sformułowania.

Rozwiązanie to jest zaskakujące i nie było wcześniej sygnalizowane przez Komisję Europejską. Projekt omawianego rozporządzenia, przedstawiony przez Europejski Urząd Nadzoru Bankowego, nie przewidywał takiego rozwiązania, tymczasem projekt ten formalnie był podstawą do wydania rozporządzenia przez Komisję Europejską. Również preambuła do rozporządzenia (motyw 4) odwołuje się do koniunkcji „saldo i transakcje”, nie stosuje alternatywy rozłącznej. Z podobną rozbieżnością mieliśmy do czynienia m. in. przy rozporządzeniu MIFREG, gdzie preambuła (motyw 36) zakazywała opłat surcharge od kart konsumenckich, tymczasem przepis o tej treści został wprowadzony dopiero w PSD2 (art. 62 ust. 4 PSD2, art. 37a ust. 3 ustawy o usługach płatniczych). Zgodnie z ugruntowanym orzecznictwem unijnym w razie rozbieżności między preambułą a przepisem aktu unijnego pierwszeństwo ma przepis.

Dostawcy prowadzący rachunek będą musieli dokonać wyboru:

  1. albo utrzymać obecną praktykę logowania do rachunku z wyświetleniem salda i transakcji, co wymagać będzie SCA przy każdym logowaniu;
  2. albo utrzymać logowanie bez SCA, ale ograniczyć informacje wyłącznie do salda.

Dostęp do rachunku przez AIS

Nowelizacja Rozporządzenia wprowadza fundamentalne zmiany w stosowaniu SCA przy dostępie do rachunku płatniczego za pośrednictwem usługi AIS. Metoda ta aktualnie stosowana jest jako mechanizm oceny zdolności kredytowej i weryfikacji tożsamości, głównie przez instytucje pożyczkowe, które korzystają w tym celu z zewnętrznych dostawców usług AIS.

SCA w dostępie do rachunku przez AIS

Rozporządzenie wprowadza wobec dostawcy rachunku płatniczego zakaz wykonywania SCA wobec użytkownika, który uzyskuje dostęp do rachunku z wykorzystaniem AIS. SCA wolno zastosować tylko przy pierwszym dostępie AIS z wykorzystaniem danego dostawcy AIS. Zakaz obowiązuje przez 180 dni od ostatniego dostępu z SCA poprzez danego dostawcę AIS. Wprawdzie treść przepisu nie precyzuje, że limity powyższe liczy się odrębnie wobec każdego dostawcy z osobna, celowościowo jest to niewątpliwe. Dodatkowo potwierdza to motyw 4 rozporządzenia.

Rozporządzenie wyjątkowo pozwala dostawcy rachunku wykonać SCA wobec użytkownika, wyłącznie jeśli zachodzą przyczyny związane z nieautoryzowanym lub oszukańczym dostępem do rachunku. Przyczyny te muszą zostać udokumentowane i przedstawione na żądanie KNF.

Ponieważ większość obecnych modeli biznesowych usługi AIS w Polsce zakłada dostęp jednorazowy (ocena zdolności, KYC), zmiana nie wpłynie istotnie na świadczenie tej usługi. Na rynkach, w których usługa AIS wykorzystywana jest do zarządzania finansami oraz do usług księgowych, zmiana ułatwi korzystanie z tych funkcji.

Informacje dostępne w usłudze AIS bez SCA

Podobnie jak w przypadku dostępu przez aplikację dostawcy rachunku, przy dostępie AIS bez SCA, użytkownik może uzyskać dostęp albo do salda, albo do historii transakcji, nie do obu tych informacji łącznie.

Dalszych analiz wymaga, czy na gruncie nowych przepisów dostawca AIS może w kolejnych zapytaniach bez SCA pobierać na zmianę informacje o saldzie i informacje o transakcjach. Dostawcy AIS przysługują 4 zapytania dziennie bez obecności płatnika w aplikacji AIS, co pozwalałoby na codzienną dwukrotną aktualizację informacji o saldo i transakcje bez konieczności wykonania SCA przez użytkownika.

Zmiana specyfikacji API

Zmiana zasad SCA przy dostępie AIS spowoduje zmianę zasad funkcjonowania interfejsów PSD2, a zatem także zmianę specyfikacji technicznej. Zgodnie z art. 30 ust. 4 rozporządzenia dostawcy rachunku udostępniają zmiany specyfikacji z minimum 3 miesięcznym wyprzedzeniem.

Nowelizacja wprowadza termin szczególny. Zmiany specyfikacji, wynikające z nowelizacji, mogą być ogłoszone z dwumiesięcznym wyprzedzeniem, czyli do 25 maja 2023 r.

Pozostałe zagadnienia nowelizacji

Nowelizacja rozporządzenia reguluje ponadto:

  1. przejście z terminu 90 na 180 dni, jeśli termin 90 dni wobec dostępów sprzed 25.07.2023 r. przypada po tym dniu
  2. obowiązki co do wprowadzenia zasady 180 dni bez SCA do interfejsu użytkownika służącego jako interfejs awaryjny.

Co dostarczamy

Wsparcie regulacyjne w zarządzaniu architekturą silnego uwierzytelnienia dla dostawców rachunków, instrumentów płatniczych oraz dostawców usług TPP. Nasze doświadczenie obejmuje m. in. wdrożenie silnego uwierzytelnienia opartego o biometrię behawioralną, o biometrię fizykalną (tęczówka), uzyskanie zezwoleń KNF w sprawach wdrożenia silnego uwierzytelnienia użytkownika, w tym w przedmiocie uzyskania zwolnienia z jego stosowania na podstawie art. 17 RTS, przesunięcia terminu jego wdrożenia na podstawie wytycznych EBA i KNF.

Informacje DLK

Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi, zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal: Rejestracja do powiadomień.

Bankowość & Finanse

Zobacz sektor

Bankowość & Finanse

Online & eCommerce

Zobacz sektor

Online & eCommerce

Retail

Zobacz sektor

Retail

Zobacz również

#Online & eCommerce

Kara za nieadekwatne zabezpieczenia dla poziomu ryzyka naruszenia danych klientów

18 grudnia 2018 r. spółka Morele.net sp. z o. o...

Kara za nieadekwatne zabezpieczenia dla poziomu ryzyka naruszenia danych klientów

#Bankowość&Fintech #Industry 4.0

Projekt ustawy o kryptoaktywach

Projekt ustawy o kryptoaktywach (projekt z dnia...

Projekt ustawy o kryptoaktywach

#Bankowość&Fintech #Legislacja #Online & eCommerce #Retail

Objęcie branży pożyczkowej nadzorem KNF

Od 1 stycznia 2024 r. działalność regulowana w ...

Objęcie branży pożyczkowej nadzorem KNF

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841