Z dniem 14 września 2019 r. powstaje obowiązek stosowania art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych oraz Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (…) w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Rozporządzenie). Zgodnie z art. 32i ustawy o usługach płatniczych dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta, w przypadku gdy klient – płatnik: 

• uzyskuje dostęp do swojego rachunku w trybie on-line,
• inicjuje elektroniczną transakcję płatniczą,
• przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

W szczególności silne uwierzytelnianie klienta powinno być stosowane w przypadku logowania klienta do systemu bankowości elektronicznej, inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym oraz płatności internetowych. 

W myśl art. 2 pkt 26aa) ustawy o usługach płatniczych silne uwierzytelnianie jest to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

• wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe),
• posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie),
• cechy charakterystyczne użytkownika (np. cechy biometryczne)

– będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych. Zgodnie ze stanowiskiem Europejskiego Urzędu Nadzoru Bankowego (EUNB), przynajmniej dwa z zastosowanych elementów silnego uwierzytelnienia powinny należeć do różnych kategorii. Szczegółowe zasady stosowania silnego uwierzytelniania oraz wyjątki od wymogu jego stosowania przewidziane zostały w Rozporządzeniu.

Zgromadzone przez EUNB informacje w zakresie europejskiego rynku usług płatniczych wskazują na niedostateczne przygotowanie uczestników tego rynku do pełnego wdrożenia zasad silnego uwierzytelniania klienta przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym zwłaszcza w obszarze e-commerce. Dotyczy to nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych, w tym zwłaszcza odbiorców płatności (sprzedawców, merchantów). Obserwacje te potwierdzają również zgromadzone przez Urząd Komisji Nadzoru Finansowego informacje i przeprowadzone analizy w zakresie rynku polskiego.

Uwzględniając złożoność rozwiązań stosowanych na rynkach usług płatniczych w Unii Europejskiej oraz niezbędnych zmian wymaganych do pełnego, niepowodującego zakłóceń na tych rynkach wdrożenia rozwiązań w zakresie silnego uwierzytelnienia klienta, EUNB w swojej opinii z dnia 21 czerwca 2019 r. stwierdził, że na zasadzie wyjątku i w celu uniknięcia niezamierzonych negatywnych konsekwencji dla użytkowników usług płatniczych po 14 września 2019 r., organy nadzorcze Państw Członkowskich mogą dopuścić dodatkowy, ograniczony czas na umożliwienie migracji stosowanych obecnie metod uwierzytelnienia do rozwiązań w pełni zgodnych z wymogami w zakresie silnego uwierzytelniania klienta. Taka elastyczność podejścia nadzorczego wymaga jednak od poszczególnych dostawców usług płatniczych przedstawienia odpowiedniego „planu migracji”, uzgodnienia tego planu z organem nadzoru, a także ścisłej współpracy z organem nadzoru przy realizacji tego planu.

Mając na względzie poczynione ustalenia na temat stanu gotowości uczestników polskiego rynku usług płatniczych do pełnego wdrożenia rozwiązań w zakresie silnego uwierzytelniania klienta oraz potrzebę zapewnienia, aby wdrożenie to nie powodowało zakłóceń w funkcjonowaniu tego rynku oraz niedogodności po stronie użytkowników usług płatniczych,  Komisja Nadzoru Finansowego uznaje za dopuszczalne zastosowanie proponowanego przez EUNB rozwiązania w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych. Oznacza to, że wobec dostawców usług płatniczych, którzy przed 14 września 2019 r. zgłoszą Komisji Nadzoru Finansowego potrzebę zastosowania omawianego rozwiązania, a następnie przedstawią stosowny, uzgodniony z Komisją realny „plan migracji”, w okresie prawidłowej realizacji tego planu, nie będą stosowane inne środki nadzorcze związane z niestosowaniem silnego uwierzytelniania klienta. Podkreślić jednak należy, że nawet w takim przypadku ryzyko związane z niestosowaniem po 13 września 2019 r. silnego uwierzytelniania klienta zgodnego z przepisami Rozporządzenia w pełni obciąża zobowiązanych do tego dostawców usług płatniczych.

Wskazanie warunków brzegowych w tym maksymalnych terminów dla wdrożenia rozwiązań w zakresie silnego uwierzytelniania w ramach „planu migracji” zostanie dokonane po zakończeniu ustaleń w ramach EUNB, co nastąpi najprawdopodobniej już po 14 września 2019 r.