Projekt implementacji dyrektywy PSD2 – pierwsze uwagi i opinie
Trwają prace nad projektem ustawy zmieniającej ustawę o usługach płatniczych, której zasadniczym celem jest implementacja do polskiego porządku prawnego dyrektywy PSD2. Dla rynku usług płatniczych jest to regulacja kluczowa, określi ona bowiem jego kształt i zasady funkcjonowania na najbliższe lata. O powszechnym zainteresowaniu projektem może świadczyć liczba uwag i propozycji zmian wniesionych w ramach jego pierwszych konsultacji publicznych.
****
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 (dalej jako „dyrektywa PSD2”)[1], której termin implementacji w państwach członkowskich mija 13 stycznia 2018 r., jest kolejnym krokiem w kierunku unifikacji reguł w zakresie świadczenia usług płatniczych na terenie UE. Uznaje się, że rozwój zintegrowanego rynku usług płatniczych, zwłaszcza płatności elektronicznych, ma zasadnicze znaczenie dla wzrostu unijnej gospodarki oraz zapewnienia użytkownikom tych usług wysokiego poziomu bezpieczeństwa przeprowadzanych transakcji przy jednoczesnym wspieraniu rozwoju innowacyjnych technologii w dziedzinie płatności.
Dnia 21 czerwca 2017 r. na stronach Rządowego Centrum Legislacji opublikowano raport[2] z konsultacji projektu ustawy zmieniającej ustawę o usługach płatniczych (dalej jako „Projekt”), która stanowić będzie akt prawny implementujący do polskiego porządku prawnego dyrektywę PSD2. Poszczególni interesariusze zostali zobowiązani przez Ministerstwo Finansów do zaproponowania konkretnych zmian do 5 lipca 2017 r. Obecnie trwa oczekiwanie na przedstawienie zweryfikowanej wersji Projektu.
Najważniejsze zmiany, jakie niesie ze sobą Projekt, polegają na:
- wprowadzeniu nowych kategorii usług płatniczych: usługi inicjowania transakcji płatniczej (ang. payment initiation service – dalej jako „PIS”) oraz usługi dostępu do informacji o rachunku (ang. account information service – dalej jako „AIS”); obie usługi funkcjonują w praktyce rynkowej, jednak zasady i sposób ich świadczenia nie były dotychczas regulowane; w uproszczeniu: usługi te umożliwiają użytkownikowi zlecenie wykonania transakcji lub uzyskanie dostępu do informacji dotyczących jego rachunku płatniczego bez konieczności bezpośredniego kontaktu z dostawcą prowadzącym rachunek (np. bankiem) – komunikacja odbywa się pomiędzy dostawcą prowadzącym rachunek a dostawcą usługi PIS/AIS;
- wprowadzeniu obowiązku stosowania silnego uwierzytelniania użytkownika przez dostawcę usług płatniczych w momencie uzyskiwania zdalnego dostępu do rachunku płatniczego, inicjowania transakcji płatniczej lub dokonywania innych czynności, które mogą się wiązać z ryzykiem oszustwa lub nadużycia; szczegółowe wymogi w obszarze stosowania silnego uwierzytelnienia oraz przypadki, gdy można od niego odstąpić, zostaną określone w regulacyjnych standardach technicznych (ang. regulatory technical standards – dalej jako „RTS”), opracowywanych przez Europejski Urząd Nadzoru Bankowego, a zatwierdzanych przez Komisję Europejską;
- modyfikacji zakresu wyłączeń z obowiązku stosowania przepisów ustawy o usługach płatniczych (dalej jako „u.u.p.”)[3], w tym z obowiązku posiadania odpowiedniego zezwolenia, dla określonych rodzajów działalności, w ramach których występuje element pośrednictwa w realizacji płatności; zmiany dotyczą przede wszystkim możliwości skorzystania z wyłączeń dla tzw. agentów handlowych (dotychczasowy art. 6 pkt 1 u.u.p.), ograniczonej sieci akceptacji (dotychczasowy art. 6 pkt 11 u.u.p.) oraz wyłączenia dla przedsiębiorców telekomunikacyjnych (dotychczasowy art. 6 pkt 12 u.u.p.);
- modyfikacji zasad odpowiedzialności za transakcje nieautoryzowane polegającej na dalszym wzmocnieniu pozycji konsumenta względem dostawcy usług płatniczych, w szczególności gdy ten ostatni nie zastosował silnego uwierzytelnienia, oraz na obniżeniu progu odpowiedzialności płatnika za straty spowodowane nieautoryzowanymi transakcjami ze 150 do 50 euro;
- wprowadzeniu małej instytucji płatniczej jako nowej kategorii dostawcy usług płatniczych; ta forma prowadzenia działalności ma stanowić odpowiedź na potrzebę stworzenia przyjaznego środowiska regulacyjnego dla podmiotów chcących rozpocząć działalność w obszarze usług płatniczych; bezpieczeństwo funkcjonowania całego systemu płatniczego zapewniać ma narzucenie na tego rodzaju działalność określonych ograniczeń: limitu 1,5 mln euro dla średniej wartości transakcji płatniczych wykonywanych miesięcznie w odniesieniu do poprzednich 12 miesięcy oraz limitu kwoty środków przechowywanych na rachunku płatniczym dla jednego użytkownika w wysokości 2 tys. euro;
- nałożeniu na dostawców usług płatniczych nowych obowiązków informacyjnych wobec użytkowników oraz obowiązków raportowych wobec organów nadzorujących (KNF, NBP).
Przewidziane w Projekcie zmiany będą miały wpływ na bardzo szeroki katalog podmiotów, poczynając od banków, przez instytucje płatnicze, biura usług płatniczych, operatorów bankomatów, a kończąc na podmiotach, których działalność podlegała dotychczas wyłączeniu z reżimu ustawowego, oraz przedsiębiorcach, którzy dopiero planują rozpoczęcie działalności polegającej na świadczeniu jednej z usług płatniczych i szukają odpowiedniej formy jej prowadzenia. Niewątpliwie każda z wymienionych grup ma nieco inne interesy oraz obszary, na których korzystnym uregulowaniu szczególnie jej zależy, co potwierdza analiza zaproponowanych zmian. Poniżej wskazujemy na wybrane postulaty przedstawione przez uczestników rynku.
Uwagi Związku Banków Polskich dotyczą m.in. potrzeby doprecyzowania przypadków, w których wymagane jest przeprowadzenie silnego uwierzytelnienia użytkownika, tak aby było ono nieodzowne w sytuacji uzyskiwania dostępu do rachunku online, a nie – jak w pierwotnej treści Projektu – „w sposób zdalny”, co mogłoby rozszerzać obowiązek stosowania silnego uwierzytelniania np. na przypadek uzyskiwania dostępu do rachunku za pośrednictwem call center. Banki podkreślają także brak przepisów dokładnie określających, w jaki sposób bank prowadzący rachunek klienta może zweryfikować, czy klient udzielił zgody na wykonanie transakcji płatniczej (PIS) lub uzyskanie dostępu do rachunku przez dostawcę usługi AIS. ZBP wskazuje wreszcie na nieprawidłową i niekorzystną dla dostawcy usług płatniczych implementację przepisów dyrektywy PSD2 dotyczących rozkładu ciężaru dowodu w przypadku zaistnienia transakcji nieautoryzowanych.
Fundacja Rozwoju Obrotu Bezgotówkowego zwraca uwagę m.in. na konieczność doprecyzowania, na kim spoczywa obowiązek informacyjny dotyczący opłaty za wypłatę gotówki w bankomacie, ponieważ treść Projektu sugeruje, że powinien on dotyczyć wydawcy instrumentu płatniczego, podczas gdy dyrektywa PSD2 wyraźnie wskazuje, iż powinien on być nałożony na niezależnych operatorów bankomatów. Krytyce poddano zapis regulujący zasady odpowiedzialności agentów oraz insourcerów wobec instytucji płatniczych jako nieznajdujący odpowiednika w treści dyrektywy PSD2, a jednocześnie mogący ograniczać zainteresowanie podwykonawstwem przy świadczeniu usług płatniczych i niekorzystnie wpływać na funkcjonowanie rynku płatniczego. Za nieuzasadnione uznano również wprowadzenie limitu środków przechowywanych przez małą instytucję płatniczą na rachunku (2 tys. euro), który w praktyce może uniemożliwić tym podmiotom świadczenie usługi acquiringu. Ograniczenie to FROB uznaje za nadmiarowe, zwłaszcza w kontekście drugiego limitu, dotyczącego maksymalnej średniej wartości transakcji, oraz sprzeczne z postulatem łatwości prowadzenia działalności przez małe instytucje płatnicze.
Polska Organizacja Niebankowych Instytucji Płatności proponuje m.in. redukcję obciążeń (w obszarze utrzymania funduszy własnych) nakładanych na instytucje płatnicze oraz instytucje pieniądza elektronicznego udzielające kredytów płatniczych, która pozwoliłaby tym podmiotom na konkurowanie z instytucjami pożyczkowymi, na których nie ciążą żadne podobne zobowiązania. PONIP postuluje również uzupełnienie definicji rachunku płatniczego poprzez wprowadzenie wyłączenia z jej zakresu rachunków prowadzonych wyłącznie w celu obsługi udostępniania odbiorcy środków z transakcji płatniczej, inicjowanej przez lub za pośrednictwem tego odbiorcy, które to wyłączenie ma w istocie rzeczy dotyczyć rachunków prowadzonych dla akceptantów przez agentów rozliczeniowych świadczących na ich rzecz usługę acquiringu.
Z kolei European Fintech Forum zwraca szczególną uwagę na niejednoznaczność i ogólnikowość przepisów umożliwiających podmiotowi prowadzącemu rachunek traktowanie (na zasadzie wyjątku) w sposób dyskryminujący zleceń składanych za pośrednictwem dostawcy usługi PIS czy też zapisów umożliwiających odmowę dostępu do informacji o rachunku dla dostawcy usługi AIS. EFF podnosi, że brak precyzyjnych zapisów w tym obszarze może prowadzić do nadużyć ze strony podmiotów prowadzących rachunki oraz do zaburzenia konkurencyjności między tymi podmiotami a dostawcami usług PIS/AIS.
W uwagach zgłaszanych przez różnych uczestników rynku pojawiały się postulaty wprowadzenia okresu przejściowego w związku z zakresem i złożonością zmian, jakie przewiduje Projekt. Podkreślano w nich również konieczność doprecyzowania zasad stosowania obowiązku silnego uwierzytelniania użytkownika i komunikacji pomiędzy dostawcami usług płatniczych prowadzącymi rachunek a dostawcami usług PIS/AIS w okresie między wejściem w życie Projektu a wejściem w życie odpowiednich RTS, które będą szczegółowo regulować te zagadnienia.
Powyżej omówiono jedynie niektóre propozycje zmian i problemy zasygnalizowane przez wybranych uczestników konsultacji. Swoje wnioski zgłosiły również inne organizacje branżowe (PIIT, ZFP, ZPiP, Konfederacja Lewiatan), organy nadzorujące działalność dostawców usług płatniczych (KNF, NBP) oraz inne zainteresowane podmioty. Aktualnie Projekt wrócił do dalszych prac w Ministerstwie Finansów. Ze względu na zbliżający się termin wdrożenia dyrektywy PSD2 byłoby wskazane, aby Ministerstwo udostępniło kolejną wersję dokumentu jeszcze w sierpniu 2017 r.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz. Urz. UE L 337 z 23.12.2015, s. 35).
[2] https://legislacja.rcl.gov.pl/docs//2/12298151/12432062/12432065/dokument294747.pdf.
[3] Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn.: Dz. U. z 2016 r. poz. 1572 ze zm.).