Prenovljena evropska direktiva o plačilnih storitvah (PSD2), ki omogoča razmah inovativnih storitev v prid končnemu uporabniku, je začela veljati januarja lani. S 14. septembrom pa se končuje prehodno obdobje za uvedbo dveh novih storitev ter se uveljavlja tehnične standarde, predvsem za ukrepe varnega komuniciranja in ukrepe za boljšo oz. močno avtentikacijo ali preverjanje pristnosti uporabnika plačilnih storitev (Strong Customer Authentication – SCA).
Bolj celovito preverjanje pristnosti plačnika
Novi tehnični standardi med drugim določajo varnostne ukrepe za uporabo SCA v primerih, kadar plačnik dostopa do svojega plačilnega računa prek spleta, odredi elektronsko plačilno transakcijo ali opravi dejavnost prek kanala na daljavo, ki lahko pomeni tveganje plačilne prevare, goljufije ali druge zlorabe. To vključuje tudi kartična plačila v okviru e-trgovine, so povzeli v Banki Slovenije.
Prepoznava pristnosti plačnika mora tako temeljiti na dveh ali več elementih, ki spadajo v kategorije znanja, lastništva in neločljive povezanosti lastnosti z nosilcem. Ponudnik plačilnih storitev jo bo moral preveriti po načelih: nekaj, kar ve le uporabnik (geslo, koda PIN), nekaj, kar ima le uporabnik (pametni telefon ali druga mobilna naprava) ter nekaj, kar je le uporabnik (biometrični podatki, kot so prstni odtis, očesna mrežnica ali šarenica, obraz).
Izjeme za izvajanje takšne avtentikacije so plačila na daljavo majhnih vrednosti, do 30 evrov, ali do pet zaporednih manjših plačil ali več plačil do 100 evrov. Pri tem bo lahko ponudnik plačilnih storitev sam odločil, kdaj je potrebna vnovična potrditev identitete. Izjeme naj bi po nekaterih predlogih veljale tudi za ponavljajoča se plačila istih vrednosti in plačila zaupanja vrednim upravičencem.
Uporabnik sedaj identiteto pri spletnih nakupih najbolj pogosto izkaže s kodo, ki jo prejme v sporočilu SMS. Ker pa pametni telefoni, s katerimi je plačevanje vse bolj priljubljeno, omogočajo tudi druge možnosti, se pri overjanju identitete odpirajo priložnosti na področju biometrije.
Harmonizacija ureditve po vsej EU
Čeprav je bila uredba o regulativnih tehničnih standardih za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije v uradnem listu EU objavljena sredi lanskega marca, se je prehodno obdobje za njihovo uveljavitev odvilo prehitro. Tako so v zadnjem času po Evropi vzniknili pozivi k podaljšanju obdobja za zagotavljanje SCA pri kartičnih plačilih v okviru e-trgovine.
“Banka Slovenije je s tem seznanjena, prav tako smo seznanjeni z mnenjem Evropskega bančnega organa o elementih SCA, ki definira pogoje, pod katerimi lahko pristojni nadzorni organi izjemoma dovolijo ponudnikom plačilnih storitev izvedbo potrebnih ukrepov po 14. septembru,” so povedali za STA.
Zahteve se bodo uveljavile s 14. septembrom, a, kot so dodali, podpirajo harmoniziran trg plačil v EU in si prizadevajo za zagotavljanje enakih konkurenčnih pogojev za vse ponudnike plačilnih storitev v EU. “Odločitev glede odobritve fleksibilnega obdobja po 14. septembru bo sprejel svet Banke Slovenije,” so napovedali.
Dostop do storitev odreditve plačil
Sredi septembra se bo uveljavila tudi nova oblika plačilne storitve, imenovana storitev odreditve plačil (Payment Initiation Service – PIS). To bo pri spletnem plačilu pomenilo, da ne bo več potrebna uporaba plačilne kartice ali obrazca UPN oz. položnice, ampak bo ponudnik storitve PIS, ki bo lahko tudi spletni trgovec, po predhodnem soglasju in avtentikaciji plačnika sam dostopal do njegovega računa in odredil plačilo.
Sedaj velja, da se plačilna transakcija odvije tako, da gre od spletnega trgovca do procesorja, kartičnega sistema in banke ter po isti poti nazaj. Po novem bo tok transakcije in plačila preprostejši in hitrejši, če bo trgovec tudi ponudnik storitve PIS, saj se bo odvila direktno med njim in banko.
Dostop do informacij o računih
Druga novost bo zagotavljanje informacij o računih (Account Information Service – AIS). Nad podatki o komitentih ne bodo več bdele le banke, saj jih bodo morale, če bo komitent s tem soglašal, deliti s tretjimi ponudniki. Podatki o vseh bančnih računih posameznika bodo lahko zbrani na enem mestu.
Posameznik, ki ima račune odprte pri različnih bankah, lahko sedaj vsakega pregleduje le prek aplikacije dotične banke. Po novem bo lahko vse združil v eno aplikacijo izbranega ponudnika storitev AIS. S tem bo lahko na enem mestu pregledoval vse svoje bančne transakcije.
V Sloveniji banke v intenzivnih pripravah
“Banke in hranilnice v Sloveniji se na izvajanje direktive PSD2, ki je bila v slovenski pravni red prenesena z zakonom o plačilnih storitvah, storitvah izdajanja e-denarja in plačilnih sistemih, intenzivno pripravljajo,” so za STA povzeli v Združenju bank Slovenije.
Kot so pojasnili, so v okviru aktivnosti združenja za večino bank in hranilnic izbrali ponudnika, ki je pripravil informacijsko rešitev. “Skladno z direktivo in regulativnimi tehničnimi standardi za močno avtentikacijo strank ter skupnimi in varnimi odprtimi standardi komunikacije bodo vse slovenske banke in hranilnice do septembra tretjim ponudnikom plačilnih storitev ter drugim bankam zagotovile obe novi storitvi, nekatere banke storitvi omogočajo že sedaj,” so poudarili.
Za ponudnike plačilnih storitev, ki so registrirani pri Banki Slovenije, so za nove plačilne storitve že na voljo tehnične specifikacije ter testni portal za testiranje programske opreme in aplikacij vseh obveznih aplikacijskih programskih vmesnikov (Application Programming Interface – API), so dodali.
V Zvezi potrošnikov Slovenije so opozorili, da potrošnik mora razumeti, komu dovoli dostop do svojih podatkov in za kakšne namene bodo uporabljeni. Natančno in nedvoumno mora biti seznanjen tudi z načinom preklica izmenjave in načinom reševanja sporov v primeru reklamacij ali zlorab.