Nowa ustawa z dnia 10 maja 2018 roku o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, która weszła w życie dnia 20 czerwca 2018 roku, implementuje przepisy unijnej Dyrektywy o numerze 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (powszechnie znana także jako Dyrektywą PSD2). Dyrektywa ma na celu stworzenie ram prawnych dla funkcjonowania na rynku usług płatniczych, oprócz tradycyjnych banków, także podmiotów trzecich, tzw. TPP - Third Party Payment Service Provider.
Nowe typy usług płatniczych
Przede wszystkim Dyrektywa reguluje świadczenie przez podmioty rynku dwóch nowych typów usług płatniczych: 1) usługę inicjowania transakcji płatniczej (Payment Initiation Service) oraz 2) usługę dostępu do informacji o rachunku (Account Information Service), co pozwala na niezależne korzystanie przez TPP z uprawnień które wcześniej przysługiwały tylko bankom. Stosując wobec TPP także dodatkowe wymogi wykonywania działalności, choć nie tak rygorystyczne jak wobec banków, Dyrektywa zapewnia większą ochronę klientów i, jednocześnie, zwiększa zaufanie do podmiotów z rynku FinTech.
Wymogi dotyczące działalności podmiotów trzecich na rynku usług płatniczych
W ślad za Dyrektywą unijną polska Ustawa m. in. wprowadza następujące wymogi dotyczące funkcjonowania TPP:
1) silne uwierzytelnianie, czyli co najmniej dwuetapowe potwierdzenie dokonywania transakcji (np. poprzez logowanie do systemu płatności oraz potwierdzenie dokonania płatności za pomocą SMS kodu). W przypadku dokonania transakcji z naruszeniem tej zasady dostawca będzie zobowiązany do zwrotu płatnikowi kwoty niewykonanej lub nienależycie wykonanej transakcji płatniczej. Przy czym ciężar udowodnienia, że transakcja płatnicza została należycie uwierzytelniona spoczywa na dostawcy świadczącym usługę inicjowania transakcji,
2) obowiązek udzielenia odpowiedzi na reklamacje użytkowników w terminie 15 dni roboczych od dnia jej otrzymania. W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony do 35 dni roboczych. Przestrzeganie tego obowiązku będzie nadzorowane przez Komisję Nadzoru Finansowego,
3) podjęcie przez dostawcę usług płatniczych środków ograniczających ryzyko i wprowadzenie mechanizmów kontroli służące zarządzaniu ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych. Aby uczynić zadość tym wymogom dostawcy są zobowiązani do utrzymywanie skutecznej procedury zarządzania incydentami, dokonywania bieżącej oceny i aktualizacji procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, a także środków ograniczających ryzyko oraz mechanizmów kontroli.
W związku z powyższym dostawca corocznie, w terminie do dnia 31 stycznia roku następnego (a po raz pierwszy - do dnia 31 stycznia 2019 roku za 2018 rok), ma obowiązek przekazywania KNF lub innemu właściwemu organowi nadzoru rocznej informacji o ocenie i aktualizacji powyższych procedur i środków oraz mechanizmów kontroli, a także informacji o każdym poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, którą dostawca ma przekazywać niezwłocznie.
Zapraszamy do kontaktu z naszymi prawnikami na info@dudkowiak.com
