Komunikat UKNF dot. wybranych oczekiwań nadzorczych w odniesieniu do okresu przejściowego związanego z implementacją Dyrektywy PSD2

data aktualizacji 12 stycznia 2018

W dniu 13 stycznia 2016 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (dalej: PSD21), która powinna zostać implementowana do polskiego porządku prawnego do dnia 13 stycznia 2018 r. Aktualnie w Polsce trwają prace nad nowelizacją ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: UUP) dotyczące implementacji PSD2, lecz nie zostaną one zakończone w powyższym terminie. Zakłada się, że znowelizowana ustawa wejdzie w życie w II kw. 2018 r.

Kluczowym aktem prawnym uzupełniającym wymogi PSD2 jest Rozporządzenie delegowane Komisji Europejskiej uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (dalej: RTS), które jest obecnie procedowane na poziomie organów Unii Europejskiej. Przewiduje się, że RTS zostaną opublikowane w marcu 2018 r. i zaczną być stosowane we września 2019 r. Oznacza to, że dostawcy usług płatniczych będą mieli 18 miesięcy na wdrożenie wymagań RTS od daty ich wejścia w życie. 

Biorąc pod uwagę różnicę pomiędzy datą implementacji PSD2 a datą stosowania RTS, Urząd Komisji Nadzoru Finansowego (dalej: UKNF) przedstawia w niniejszym komunikacie oczekiwania nadzorcze w odniesieniu do zasad działania dostawców usług płatniczych w okresie przejściowym, w ramach którego należy wyróżnić:
a) okres przejściowy I (tj. od dnia 13 stycznia 2018 r. do daty implementacji PSD2 w Polsce: przewidywany II kw. 2018 r.),
b) okres przejściowy II (tj. od daty implementacji PSD2 w Polsce do daty stosowania RTS).

W okresie przejściowym I przepisy aktów prawa polskiego, w szczególności UUP i wynikające z niej akty wykonawcze, powinny być nadal w Polsce stosowane, o ile nie będą sprzeczne z bezpośrednio skutecznymi przepisami aktów unijnych (PSD2, rozporządzenia delegowane i wykonawcze Komisji (UE)).

Rozważając zakres stosowania prawa wspólnotowego i zależności pomiędzy prawem wspólnotowym a prawem krajowym po 13 stycznia 2018 r., UKNF będzie kierować się następującymi zasadami wyznaczającymi ogólny kierunek stosowania prawa wspólnotowego. 

  • Zasada pierwszeństwa prawa wspólnotowego 

Zasada pierwszeństwa prawa wspólnotowego oznacza zapewnienie wszystkim normom prawa wspólnotowego przewagi w razie konfliktu z jakąkolwiek wcześniejszą lub późniejszą normą krajową w każdym państwie członkowskim. Zatem w sytuacji, gdy przepisy prawa państwa członkowskiego są sprzeczne z bezpośrednio skutecznymi przepisami prawa wspólnotowego, wówczas sądy i organy krajowe mają obowiązek stosować prawo wspólnotowe. 

  • Bezpośrednia skuteczność przepisów dyrektywy 

Zasada bezpośredniej skuteczności dyrektyw została ukształtowana w licznym orzecznictwie Europejskiego Trybunału Sprawiedliwości (ETS). W odniesieniu do dyrektyw ETS uznał, że uprawnienia przyznane jednostkom przez prawo wspólnotowe mogą być powoływane przed organami krajowymi bezpośrednio w celu ich wykonania, o ile spełnione są następujące warunki:
a)    przepisy danej dyrektywy są precyzyjne i bezwarunkowe,
b)    z norm dyrektywy wynikają prawa jednostek wobec państwa,
c)    upłynął termin implementacji dyrektywy przez dane państwo członkowskie, a jej normy nie zostały implementowane, albo implementacja jest nieprawidłowa. 

  • Pośredni skutek dyrektyw 

Zasada skutku pośredniego jest generalną dyrektywą interpretacyjną, zgodnie z którą na krajowych organach sądowych i administracyjnych ciąży obowiązek wykładni prawa krajowego zgodnie z prawem wspólnotowym. 

Implementacja PSD2 będzie implikowała istotne zmiany legislacyjne na rynku usług płatniczych, ponieważ niepodlegające dotychczas nadzorowi ostrożnościowemu podmioty trzecie (z ang. Third Party Providers - TPP), po spełnieniu wymogów prawnych, będą mogły w imieniu użytkownika usług płatniczych uzyskać dostęp do informacji o jego rachunku lub zlecać realizację płatności.

PSD2 reguluje trzy nowe usługi oparte na dostępie do rachunku płatniczego:

  • usługi inicjowania płatności (PIS), o których mowa w art. 66 PSD2, 
  • usługi dostępu do informacji o rachunku (AIS), o których mowa w art. 67 PSD2, 
  • usługi potwierdzania dostępności środków na rachunku płatniczym (CAF), o których mowa w art. 65 PSD2.

Szczegółowe zasady prowadzenia działalności przez podmioty świadczące powyższe usługi, w tym ich prawa i obowiązki, będą stosowane w Polsce dopiero od dnia wejścia w życie przepisów implementujących PSD2.

Wymogi dotyczące zasad komunikacji pomiędzy dostawcami usług płatniczych w zakresie świadczenia usług dostępu do rachunku zostaną określone w RTS. Wymogi będą dotyczyć zarówno dostawców prowadzących rachunki (m.in. banków komercyjnych, banków spółdzielczych oraz spółdzielczych kas oszczędnościowo-kredytowych (SKOK)), jak również dostawców świadczących usługi oparte na dostępie do rachunku (TPP).

Należy wskazać, że zgodnie z projektem RTS2 opublikowanym przez Komisję Europejską w dniu 27 listopada 2017 r. każdy dostawca usług płatniczych prowadzący rachunek dostępny za pośrednictwem Internetu (z ang. Account Servicing Payment Service Provider – ASPSP, np. bank) zobowiązany będzie zapewnić co najmniej jeden interfejs komunikacji z TPP. Udostępniony interfejs powinien pozwalać TPP na wzajemną identyfikację z dostawcą prowadzącym rachunek przed rozpoczęciem świadczenia usługi na zlecenie użytkownika. Dostawcy prowadzący rachunek mogą zapewnić interfejs komunikacji z TPP poprzez:
a)    utworzenie dedykowanego interfejsu komunikacji (tzw. API), który będzie zawierał wszystkie niezbędne informacje i funkcje dla podmiotów świadczących usługi dostępu do rachunku, lub
b)    modyfikację dotychczasowego systemu bankowości internetowej (niezbędne byłoby rozszerzenie funkcjonalności systemu w zakresie możliwości identyfikowania się TPP względem dostawcy prowadzącego rachunek).
W opinii UKNF bezpieczniejszym rozwiązaniem, z punktu widzenia zapewnienia efektywnej kontroli nad zakresem danych udostępnianych podmiotom trzecim, jest utworzenie dedykowanego interfejsu komunikacji z TPP.

W polskim sektorze bankowym, pod auspicjami Związku Banków Polskich, prowadzone są obecnie prace nad stworzeniem standardu komunikacji z TPP w ramach projektu Polish API. UKNF kierunkowo popiera stworzenie krajowego standardu API w zakresie komunikacji z TPP, co mogłoby zagwarantować ujednolicone i bezpieczne zasady dostępu TPP do rachunków płatniczych. 

Kwestia określenia zasad działania dostawców usług płatniczych w okresie przejściowym w związku z PSD2/RTS została przedstawiona w opublikowanej opinii Europejskiego Urzędu Nadzoru Bankowego (EBA) z dnia 19 grudnia 2017 r. w sprawie okresu przejściowego PSD1-PSD23. Biorąc po uwagę powyższe w okresie przejściowym I, jak i II, o których mowa w niniejszym komunikacie, dostawcy prowadzący rachunki płatnicze stosują regulacje w zakresie bezpieczeństwa płatności, które obowiązywały przed datą wejścia w życie PSD2 (tj. przed 12 stycznia 2016 r.). 

Zgodnie z opinią EBA w sprawie okresu przejściowego wcześniejsze spełnienie wymogów RTS pozwoliłoby zapewnić zgodność z przepisami PSD2, np. w zakresie obowiązku TPP odnośnie wykorzystywania tylko tych danych i informacji, które są niezbędne do wykonania usługi zgodnie z dyspozycją użytkownika. Dodatkowo EBA podkreśla, że wdrożenie wymogów bezpieczeństwa zawartych w PSD2 i RTS ułatwiłoby dostawcom usług płatniczych zapewnienie zgodności ich działalności z tzw. RODO, tj. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnym rozporządzeniem o ochronie danych)4, np. w zakresie wymogów bezpieczeństwa określonych w art. 32 RODO5.

W związku z powyższym UKNF, popierając jednocześnie opinię EBA, oczekuje posiadania przez dostawców prowadzących rachunek dedykowanego interfejsu komunikacji z TPP,  spełniającego wymogi przewidziane w RTS, w możliwie najszybszym terminie. Zdaniem UKNF takie podejście pozwoli zabezpieczyć dane uwierzytelniające klientów oraz zapewnić TPP możliwość wcześniejszego przetestowania funkcjonalności interfejsu komunikacji na potrzeby świadczenia usług dostępu do rachunku.

UKNF informuje, że proces dostosowywania działalności podmiotów nadzorowanych do obowiązków wynikających z PSD2 będzie przedmiotem analiz i weryfikacji w trakcie działań nadzorczych.

______________________ 

1  http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=PL
2
  http://ec.europa.eu/finance/docs/level-2-measures/psd2-rts-2017-7782_en.pdf
3
  http://www.eba.europa.eu/documents/10180/2067703/EBA+Opinion+on+the+transition+from+PSD1+to+PSD2+%28EBA-Op-2017-16%29.pdf
4
  http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL
5
RODO będzie stosowane od dnia 25 maja 2018 r.