Silne uwierzytelnianie użytkownika (SCA) – PSR/PSD3

Projekt rozporządzenia w sprawie usług płatniczych w ramach rynku wewnętrznego („PSR”) przewiduje modyfikacje w zakresie zasad silnego uwierzytelniania użytkownika (Strong Customer Authentication, „SCA”).  Utrzymano kluczową konstrukcję regulacyjną, zgodnie z którą uwierzytelnianie jest dokonywane w oparciu o zastosowanie co najmniej dwóch elementów spośród trzech kategorii: wiedzy (czegoś, co wie wyłącznie użytkownik), posiadania (czegoś, co posiada wyłącznie użytkownik) i cechy klienta (czegoś, czym jest użytkownik). Nie przewidziano również istotnych zmian co do przypadków aktualizujących konieczność dokonania SCA. Prawodawca zastrzegł jednak, że przeprowadzenie SCA opiera się na ocenie ryzyka przeprowadzonej w ramach mechanizmu monitorowania transakcji.

kategorie elementów uwierzytelnienia

PSR przesądza istotne zagadnienie z zakresu przyporządkowania poszczególnych elementów uwierzytelniania do wskazanych wyżej kategorii. Zgodnie z obecnym brzmienie projektu PSR, nie jest konieczne, aby elementy, na których opiera się silne uwierzytelnianie klienta, należały do różnych kategorii. Takie brzmienie przepisu odbiega od stanowiska prezentowanego w tym zakresie przez Europejski Urząd Nadzoru Bankowego na gruncie przepisów PSD2. PSR wskazuje jednak, że istotne jest, by niezależność elementów była zawsze w pełni zachowana. Ponadto, zgodnie z projektem, element w postaci cechy klienta (czegoś, czym użytkownik jest)  może obejmować cechy środowiskowe i behawioralne, takie jak cechy związane z lokalizacją użytkownika, czas wykonania transakcji lub wykorzystywane urządzenie.

transakcje inicjowane przez odbiorcę

PSR zawiera dedykowane postanowienia w zakresie sposobu wykonywana SCA w przypadku transakcji inicjowanych przez odbiorcę. Zgodnie z projektem, transakcje płatnicze niezainicjowane przez płatnika, ale przez odbiorcę, nie podlegają SCA wyłącznie w zakresie, w jakim transakcje te zainicjowano bez interakcji lub udziału płatnika. W sytuacji gdy transakcje płatnicze inicjowane są przez odbiorcę na podstawie upoważnienia, które opiera się na umowie między płatnikiem a odbiorcą dotyczącej dostarczania produktów lub świadczenia usług, to transakcje takie można zakwalifikować jako transakcje zainicjowane przez odbiorcę, pod warunkiem że transakcje te nie muszą być poprzedzone określonym działaniem płatnika, aby spowodować ich zainicjowanie przez odbiorcę. Ponadto, jeśli upoważnienie płatnika dla odbiorcy składane jest za pośrednictwem kanału zdalnego z udziałem dostawcy usług płatniczych płatnika, to takie upoważnienie podlega SCA. 

przeciwdziałanie wykluczeniu

Przewidziano również regulacje mające na celu przeciwdziałanie wykluczeniu osób z niepełnosprawnościami, osób posiadających niewielkie umiejętności cyfrowe, osób starszych i osób nieposiadających dostępu do kanałów cyfrowych lub instrumentów płatniczych. Dostawcy usług płatniczych nie mogą uzależniać przeprowadzania SCA, od użycia wyłącznego, jedynego sposobu uwierzytelniania, a także nie mogą uzależniać przeprowadzania SCA od posiadania smartfona lub innego inteligentnego urządzenia.

dostawcy portfeli typu pass-through

Prawodawca unijny przewidział także szczególne regulacje dla przypadku, gdy dostawcy portfeli cyfrowych typu pass-through  weryfikują elementy silnego uwierzytelniania (model płatności przy użyciu stokenizowanych instrumentów płatniczych – w szczególności kart płatniczych – przechowywanych w portfelach cyfrowych). Prawodawca, w motywach do PSR, wskazał że w takich przypadkach powinno dojść do zawarcia umów outsourcingowych, obejmujących czynności z zakresu weryfikacji tych elementów. Umowy te powinny przesądzać, że dostawcy usług płatniczych płatnika powinni zachować pełną odpowiedzialność za wszelkie przypadki niestosowania przez dostawców portfeli pass-through silnego uwierzytelniania klienta, a także mieć prawo do audytu i kontroli dostawców portfela w obszarze bezpieczeństwa.

Ponadto, PSR reguluje zasady odpowiedzialności dostawców usług technicznych (w tym dostawców portfeli pass-through) i operatorów schematów płatniczych, którzy świadczą usługi związane z SCA na podstawie umowy outsourcingu z dostawcą usług płatniczych. Dostawcy ci będą ponosić odpowiedzialność za bezpośrednie szkody finansowe wyrządzone odbiorcy lub dostawcy usług płatniczych odbiorcy/płatnika za zaniechanie świadczenia usług niezbędnych do zastosowania SCA. Zakres odpowiedzialności ustalany jest w wysokości proporcjonalnej do zaniechania, nie przekraczając kwoty przedmiotowej transakcji.

zastosowanie wyłączeń z SCA

Obecne brzmienie projektu PSR przesądza sporną w obecnym stanie prawnym kwestię, dotyczącą rozłożenia odpowiedzialności za nieautoryzowane transakcje w przypadku gdy SCA nie zostało zastosowane z uwagi na powołanie się na wyłączenia z obowiązku stosowania SCA. Prawodawca przesądził, że w takiej sytuacji płatnik nie ponosi żadnych szkód finansowych związanych z nieautoryzowanymi transakcjami płatniczymi, chyba że płatnik działał w złej wierze.

regulacyjne standardy techniczne

W zakresie SCA przewidywane jest także wydanie regulacyjnych standardów technicznych, które doprecyzują szereg okoliczności związanych ze stosowaniem SCA.

Informacje DLK

Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi, zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal: Rejestracja do powiadomień.

Bankowość & Finanse

Zobacz sektor

Bankowość & Finanse

Zobacz również

#Bankowość&Fintech #Legislacja

Odpowiedzialność za transakcje – PSR/PSD3

Projekt rozporządzenia w sprawie usług płatnicz...

Odpowiedzialność za transakcje – PSR/PSD3

#Bankowość&Fintech #Legislacja

Open Banking – PSR/PSD3

Projekt rozporządzenia w sprawie usług płatnicz...

Open Banking – PSR/PSD3

#Bankowość&Fintech #Legislacja

Licencjonowanie KIP/KIPE – PSR/PSD3

Projekt trzeciej dyrektywy w sprawie usług płat...

Licencjonowanie KIP/KIPE – PSR/PSD3

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841