Rozporządzenie PSR i dyrektywa PSD3 (projekty)

Najważniejsze

1. Likwiduje się instytucje pieniądza elektronicznego.
2. Instytucje płatnicze będą mogły wydawać pieniądz elektroniczny i uczestniczyć w systemach typu ELIXIR.
3. Operatorzy bankomatów muszą uzyskać licencję.
4. Bigtechy muszą zaakceptować relację outsourcing’ową z dostawcami usług płatniczych jeśli uczestniczą w obsłudze silnego uwierzytelnienia.
5. Dostawcy rachunków muszą stworzyć wspólną bazę IBAN i sprawdzać zgodność odbiorcy i IBAN przed przyjęciem zlecenia przelewu.
6. Dostawcy i operatorzy telekomunikacyjni odpowiadają za spoofing.
7. W razie transakcji nieautoryzowanej wykazaniu podlega autoryzacja.
8. W otwartej bankowości obowiązkowy jest interfejs dedykowany i panel zgód.
9. Dostawca usługi PIS ma otrzymać nazwę posiadacza rachunku nawet jeśli jej nie ma w interfejsie użytkownika.

Porządek czasowy

• 2023.06.29 ogłoszenie projektu rozporządzenia PSR (przejdź)
• 2023.07.05 projekt rozporządzenia PSR przekazany Radzie.
• 2024.04.23 przyjęcie projektu rozporządzenia PSR przez Parlament Europejski.

Ustawa o usługach płatniczych zostanie w większości uchylona. Polskie przepisy będą regulować głównie proces licencyjny instytucji płatniczych, nadzór bieżący Komisji Nadzoru Finansowego, dostęp do systemów płatności oraz rachunki podmiotów niebankowych w bankach. Utrzymane także przepisy implementujące dyrektywe o rachunkach płatniczych (rachunek podstawowy, etc.) oraz rozwiązania krajowe (przykładowo obowiązek przyjmowania płatności gotówkowych).

Licencje

PSD3 zarówno likwiduje niektóre dotychczasowe licencje (pieniądz elektroniczny) jak i wprowadza licencjonowanie kolejnych modeli biznesowych (operatorzy ATM). Wprowadza też i modyfikuje wyłączenia od licencjonowania dostawców usług płatniczych.

Instytucje pieniądza elektronicznego

PSD3 likwiduje instytucje pieniądza elektronicznego. Dotychczasowe EMI (e-money institutions) otrzymują status instytucji płatniczej. Instytucje te bedą mogły wydawać pieniądz elektroniczny jako odrębną usługę. Dyrektywa o pieniądzu elektronicznym jest uchylana.

Instytucje płatnicze

PSD3 pozwala instytucjom płatniczym rozszerzyć swoje zezwolenie o działalność w zakresie pieniądza elektronicznego. Z uwagi na zmiany w układzie katalogu usług płatniczych układ usług w poszczególnych zezwoleniach zostanie dostosowany do nowych przepisów.

Tak jak w przypadku PSD2 dojdzie do tzw. reautoryzacji, to jest weryfikacji zgodności działalności instytucji płatniczych z nowymi wymogami. Nowe wymogi obejmują m.in. zgodność z DORA oraz plan likwidacji.

W zakresie funduszy własnych obowiązkowa w każdym kraju jest tzw. metoda B.

Operatorzy bankomatów i wypłat gotówki

Niezależni operatorzy bankomatów muszą uzyskać licencję w celu kontynuacji działalności. Licencjonowanie następuje przez wpis do rejestru na wzór wpisu dla dostawców tzw. AISPO, czyli dostawców wyłącznie usługi dostępu do informacji o rachunku.

Operator wpisany do rejestru korzysta z tzw. paszportu europejskiego, czyli może świadczyć usług w każdym kraju Europejskiej Obszaru Gospodarczego po przeprowadzeniu procedury notyfikacyjnej w macierzystym obszarze nadzoru.

Przepis wprowadza istotną wątpliwość wobec punktów sprzedaży oferujących wypłaty gotówki. Podmioty te mogą bez licencji oferować wypłaty gotówki niezależnie, czy osoba wypłacająca gotówkę dokonała zakupu. Limit wyniesie EUR 50 (tak projekt PSD3) lub EUR 100 (tak raport Parlamentu Europejskiego do PSD3). Wątpliwość polega na tym, czy po przekroczeniu limitu EUR 50/100 placówka winna uzyskać wpis do rejestru KNF, taki jak przewidziano dla operatora ATM, czy jednak zezwolenie KIP. Treść art. 38 PSD3, regulująca wpisy do rejestru, nie czyni różnic pomiędzy bankomatami a placówkami wypłaty gotówki. Zgodnie z treścią przepisu każdy z tych podmiotów może uzyskać wpis zamiast zezwolenia. Niemniej tytuł przepisu odnosi się wyraźnie do ATM, o nich też mowa w motywach. Oznaczałoby to, że wpis do rejestru zamiast zezwolenia dostępny jest wyłącznie dla operatorów ATM, nie dla placówek handlowych.

Podmioty prowadzące działalność w zakresie wypłaty gotówki powinny interweniować we właściwych organach, aby kwestia ta została wyjaśniona.

Wyłączenia

PSD3 i PSR przewidują wiele wyłączeń swojego zastosowania. Wyłączenia te w obecnych tekstach projektów nie są wzajemnie spójne, a zatem każde wyłączenie należy analizować odrębnie na gruncie PSD3 i PSR.

Przedstawiciel handlowy

Wyłączenie dla agenta handlowego jest po raz kolejny zawężane. Do obecnych kryteriów (występowanie pośrednika tylko po stronie płatnika względnie tylko po stronie odbiorcy) dodaje się wymóg, aby podmiot korzystający z usług pośrednika (czyli płatnik albo odbiorca) miał możliwość albo negocjacji z pośrednikiem albo zawarcia transakcji sprzedaży.

Powyższe dodatkowe kryterium „negocjacji” jest skrajnie niejasne. Trudno ustalić, na czym miałoby polegać negocjowanie i jak to wpływa na zasadność wyłączenia wymogu licencjonowania.

Sektory gospodarki polegające na wyłączeniu powinny pilnie zwrócić się do projektodawców z żądaniem wyjaśnienia, o jakich modelach i scenariuszach jest mowa w kontekście kryterium „negocjacji”.

Źródło:

Projekt PSR z 2023 r.:

Motyw 11 Preambuły:

Eectronic commerce platforms that act as commercial agents on behalf
of both individual buyers and sellers without buyers or sellers having any real margin
or autonomy to negotiate or to conclude the sale or purchase of goods or services should
not be excluded from the scope of this Regulation.

Art, 2

2. This Regulation does not apply to the following services:

(b) payment transactions from the payer to the payee through a commercial agent,
as defined in Article 1(2) of Directive 86/653/EEC, provided that all of following
conditions are met : i) the commercial agent is authorised via an agreement to
negotiate or conclude the sale or purchase of goods or services on behalf of only
the payer or only the payee, but not both of them, irrespective of whether or not
the commercial agent is in the possession of the client’s funds, and ii) such
agreement gives the payer or the payee a real margin to negotiate with the
commercial agent or conclude the sale or purchase of goods or services;

Wypłata gotówki w placówkach handlowych

Punkty sprzedaży detalicznej mogą oferować usługę wypłaty gotówki do EUR 50 niezależnie czy wypłacający jednocześnie dokonuje zakupów w placówce. W toku procesu legislacyjnego zaproponowano podwyższenie tej kwoty do EUR 100. Ostateczne podejście ujawni się pod koniec procesu legislacyjnego.

Zmiana wobec obecnych przepisów polega na tym, że obecnie przepisy dopuszczają wypłatę gotówki w placówkach handlowych bez limitu kwotowego, ale za to wyłącznie jeśli wypłata gotówki następuje razem z zakupami.

Mimo że wypłata gotówki bez zakupów nie różni się niczym od wypłaty w bankomacie, a prowadzenie sieci bankomatowych będzie wymagało licencji KNF (zob. wyżej). wypłata w placówkach do EUR 50 (100) takiej licencji wymagać nie będzie.

W obu przypadkach nie stosują się zarówno przepisy o licencjonowaniu (dyrektywa PSD3) jak i przepisy o obowiązkach sklepu wobec wypłacającego gotówkę (przepisy rozporządzenia PSR o prawach i obowiązkach przy wykonywaniu transakcji płatniczych). W scenariuszu wypłaty gotówki bez zakupów, placówka powinna poinformować wypłacającego o pobieranych opłatach zanim wypłata zostanie dokonana.

Wyłączenie przepisów dotyczy tylko usługi wypłaty gotówki dokonywanej wprost przez podmiot, który w placówce wypłaty prowadzi sprzedaż towarów i usług. Jest to istotne dla tych sieci handlowych, w których występuje zróżnicowanie podmiotowe dostawcy przy poszczególnych czynnościach (przykładowo inny podmiot prowadzi placówkę, inny jest stroną sprzedaży towarów i usług, inny podmiot dostawcą usług dodatkowych).

Zob. także powyżej omówienie licencji dla operatorów ATM, gdzie omawia się, czy podmiot realizujący wypłaty powyżej EUR 50(100) wymaga wpisu do rejestru czy zezwolenia.

Źródła:

Art 37.1 projektu PSD3 z 2023 r.:

1. Member States shall exempt from the application of this Directive natural or legal persons providing cash in retail stores independently of any purchase provided the following conditions are met:
(a) the service is offered at its premises by a natural or legal person selling goods or services as a regular occupation;
(b) the amount of cash provided does not exceed EUR 50 per withdrawal

[…]

Art. 2.2 projektu PSR z 2023 r.:

(d) services where cash is provided by the payee to the payer as part of a payment transaction for the purchase of goods and services, following an explicit request by the payment service user just before the execution of the payment transaction;
(e) services where cash is provided in retail stores following an explicit request by the payment service user but independently of the execution of any payment transaction and without any obligation to make a purchase of goods and services. The payment service user shall be provided with information on any possible charges for this service before the requested cash is provided;

Silne uwierzytelnienie

Konstrukcja silnego uwierzytelnienia (SCA) nie ulega znaczniejszym zmianom. PSR doprecyzowuje niektóre zagadnienia SCA, w tym wynosi do rangi przepisu rozwiązania SCA wprowadzone przez EBA w swoim FAQ do dyrektywy PSD2.

Elementy SCA

W procesie legislacyjnym dyskutowana jest fundamentalna zmiana SCA, to jest dopuszczenie, aby oba elementy SCA należały do jednej kategorii.

Dostawca płatnika ma obowiązek zapewnienia takich mechanizmów SCA, które będą dostępne bez smartfona oraz dla osób z ograniczeniami funkcjonalnymi lub kompetencyjnymi.

W przypadku elektronicznych transakcji w terminalach POS lub analogicznych wymaga się stosowania SCA z dynamicznym łączeniem (na gruncie PSD2 dynamiczne łączenie jest wymagane wyłącznie wobec transakcji zdalnych). Alternatywą jest wprowadzenie mechanizmu ekwiwalentnego do SCA.

Subskrypcje

W subskrypcjach SCA jest wymagana tylko wobec rejestracji instrumentu. Dotyczy to jednak tylko sytuacji, gdy przedmiotem są towary i usługi (czyli nie dotyczy to np. darowizn dla NGO) oraz gdy rejestracja następuje w serwisie agenta rozliczeniowego odbiorcy.

Wobec konkretnej płatności do subskrypcji SCA nie jest wymagane jeśli płatnik nie musi podejmować żadnej czynności, która inicjuje płatność.

Transakcje nieautoryzowane i zmanipulowane

PSR utrzymuje zasadniczą konstrukcję odpowiedzialności za transakcje nieautoryzowane. Rozszerza jednak odpowiedzialność dostawcy płatnika na transakcje autoryzowane, w których płatnik został zmanipulowany (tzw. spoofing).

Transakcje nieautoryzowane

Główna zmiana wprowadzana przez PSR do dotychczasowych rozwiązań PSD2 to zmiana w zakresie obowiązków dowodowych. W razie zakwestionowania przez płatnika transakcji dostawca płatnika wykazuje nie uwierzytelnienie, ale autoryzację.

Transakcje zmanipulowane

Jeśli płatnik zlecił transakcję na skutek podszycia się osoby trzeciej pod osobę reprezentującą dostawcę płatnika w kontakcie telefonicznym lub pocztą elektroniczną, dostawca płatnika zwraca na żądanie płatnika kwotę takiej transakcji.

Warunkiem jest, aby płatnik zgłosił zdarzenie organom ścigania i aby nie postępował niedbale. Inaczej niż w transakcjach nieautoryzowanych obowiązek zwrotu transakcji płatnikowi przez dostawcę wyłącza nie tylko rażące, ale także zwykłe niedbalstwo.

Jeśli do transakcji przyczynił się operator telekomunikacyjny, dostawcy płatnika przysługuje regres do operatora. Operatorzy telekomunikacyjni tym samym otrzymują na gruncie PSD3/PSR obowiązki wobec rynku finansowego równolegle do obowiązków na gruncie DORA.

Weryfikacja odbiorcy

PSR wprowadza obowiązek weryfikacji IBAN i odbiorcy zbliżony do rozwiązania już obowiązującego dla płatności natychmiastowych w euro w rozporządzeniu tzw. IPR.

Po wprowadzeniu przez płatnika danych przelewu dostawca płatnika kontaktuje się w czasie rzeczywistym z dostawcą odbiorcy wskazanym w zleceniu przelewu. W tym celu dostawcy Europejskiego Obszaru Gospodarczego muszą stworzyć wspólną bazę danych numerów rachunków względnie rozwiązania typu API (por. rozwiązanie funkcjonujące we Włoszech sprawdzające zgodność IBAN z numerem podatkowym). Dostawca odbiorcy w czasie rzeczywistym odpowiada dostawcy płatnika, czy podany numer IBAN oraz nazwa odbiorcy są zgodne.

Dostawca płatnika informuje płatnika o zgodności IBAN z nazwą odbiorcy, względnie o stopniu niezgodności. Na tej podstawie płatnik podejmuje decyzję, czy wysyła przelew na wskazany IBAN mimo ostrzeżenia o niezgodności, czy nie zleca przelewu. Jeśli zleci przelew, dostawca płatnika nie ponosi odpowiedzialności za wykonanie przelewu do innej osoby.

W przypadku płatności natychmiastowych objętych IPR jeśli nazwa odbiorcy podana przez płatnika w zleceniu przelewu i nazwa odbiorcy w umowie o rachunek odbiorcy z dostawcą różnią się nieznacznie, dostawca odbiorcy informuje wprost o tym, że różnica jest niewielka (np. Adaś zamiast Adam) i przekazuje nazwę odbiorcy widniejącą w umowie rachunku (ujawnienie tajemnicy bankowej lub innej). W przypadku przelewów objętych PSR dostawca odbiorcy nie jest do tego uprawniony.

Obowiązek weryfikacji odbiorcy w PSR obejmuje wszystkie kanały zlecania przelewu. W przypadku płatności natychmiastowych dotyczy to tylko kanałów elektronicznych.

Weryfikacja odbiorcy jest nieodpłatna dla płatnika.

Dostęp podmiotów niebankowych do systemów typu ELIXIR

Krajowe instytucje płatnicze mogą uczestniczyć w systemach płatności typu Elixir. Przepisy PSR i PSD3 stanowią w tym zakresie uzupełnienie przepisów IPR. Przepisy IPR prowadzą do zmiany ustawy o ostateczności rozrachunku oraz ustawy o usługach płatniczych, odblokowując możliwość uczestnictwa krajowych instytucji płatniczych w tych systemach. Podmioty prowadzące te systemy mogą odmówić przyjęcia krajowej instytucji płatniczej w grono uczestników tylko z przyczyn wskazanych w przepisach, przede wszystkim z powodu nadmiernego ryzyka.

Przepisy nie przewidują obowiązku prowadzenia przez Narodowy Bank Polski rachunków dla krajowych instytucji płatniczych.

Rachunki bankowe dostawców niebankowych

PSR i PSD3 doprecyzowują zasady otwierania i prowadzenia rachunków bankowych przez instytucje kredytowe (banki).

W trakcie prac legislacyjnych rozważano odwołanie od odmownej decyzji instytucji kredytowej do organu nadzoru.

Otwarta bankowość

Pytania i odpowiedzi

Czy bank posiadający sieć bankomatów musi uzyskać wpis do rejestru KNF?

Nie. Obowiązek dotyczy tylko dostawców nieświadczących innych usług płatniczych użytkowników bankomatu.

Czy KIP musi przystąpić do KIR?

Nie. Uczestnictwo w systemach typu ELIXIR jest uprawnieniem krajowej instytucji płatniczej, a nie obowiązkiem.

Jakie konkretne mechanizmy SCA inne niż oparte na smartfonie dostawca płatnika ma oferować?

Przepisy nie stawiają w tej kwestii żadnych konkretnych wymogów. W obrocie praktykue się metody 2FA (2-factor authentication) lub MFA (multi-factor authentication) niewymagające posiadania smartfona. Są to przede wszystkim hasła jednorazowe dostarczane przez automatyczne urządzenia wywołujące (hasła telefoniczne) oraz nośniki pamięci USB lub podobne, które muszą zostać włożone do komputera i pozostawać w nim na czas operacji wymagających uwierzytelnienia.