W dniu 19 sierpnia 2019 roku Komisja Nadzoru Finansowego opublikowała stanowisko dotyczące Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (...) w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (dalej: Rozporządzenie).
Zgodnie z Rozporządzeniem począwszy od 14 września 2019 roku dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta (płatnika), w przypadku gdy klient:
- uzyskuje dostęp do swojego rachunku w trybie on-line (w szczególności tzw. e-bankowość poprzez przeglądarkę internetową lub aplikację mobilną),
- inicjuje elektroniczną transakcję płatniczą (w szczególności transakcję kartą płatniczą),
- przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.
Zgodnie z ustawą o usługach płatniczych uwierzytelnianie silne to takie, które zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:
- wiedza o czymś, o czym wie wyłącznie klient-płatnik (np. PIN, hasło wielorazowe),
- posiadanie czegoś, co posiada wyłącznie klient-płatnik (np. karta płatnicza, aplikacja mobilna),
- cechy charakterystyczne klienta-płatnika (np. cechy biometryczne, w tym odcisk palca)
Wspomniane wyżej elementy powinny stanowić integralną część procesu uwierzytelniania oraz być od siebie niezależne w taki sposób, że naruszenie jednego z elementów nie osłabia wiarygodności pozostałych. Zgodnie ze stanowiskiem Europejskiego Urzędu Nadzoru Bankowego (EUNB), przynajmniej dwa z zastosowanych elementów silnego uwierzytelnienia powinny należeć do różnych kategorii.
Co istotne dla dostawców, EUNB zezwolił krajowym regulatorom (w tym Komisji Nadzoru Finansowego, dalej: KNF) na stosowanie okresu przejściowego (to jest okresu po 14 września 2019 roku), w którym dostawcy usług płatniczych będą mieli dodatkowy czas na przeprowadzenie dostosowania metod uwierzytelniania i doprowadzenie ich do rozwiązań w pełni zgodnych z wymogami w zakresie silnego uwierzytelniania klienta.
KNF dopuszcza taki okres przejściowy w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych. Skorzystanie z okresu przejściowego wymaga zaproponowania KNF-owi przed dniem 14 września 2019 roku tzw. „planu migracji”, który musi następnie zostać zaakceptowany przez KNF. Na chwilę obecną nie jest znany maksymalny termin stosowania okresu przejściowego. Jego wyznaczenie leży w gestii EUNB i nastąpi prawdopodobnie po 14 września 2019 roku.
Zapraszamy do kontaktu z naszą Kancelarią, która oferuje usługi m.in. w zakresie:
- reprezentacji przed KNF,
- projektowania prawnych aspektów procesu uwierzytelniania klientów dostawców usług płatniczych.