Bartłomiej Kurzac
Oddziaływanie przepisów unijnych na FinTech w Polsce na przykładzie Dyrektywy PSD2 – De lege ferenda
Dyrektywa PSD2 wytworzyła istotne instytucje prawne, wprowadziła w pewnych kwestiach nowe uprawnienia, a w niektórych nowe obowiązki. Są jednak pewne elementy, które można legislacyjnie dopracować, dokonując tzw. rewizji dyrektywy, czyli de facto i de iure uchwalić nowe rozwiązania prawne.
Kierunki podejmowanych zmian w ramach UE są nieco inne niż w przypadku uchwalania w przeszłości PSD2. Potencjalny, nowy stan prawny, stanowiący aktualizację przytoczonych problemów jurydycznych, obejmować miałby pakiet składający się na dyrektywę PSD3 regulującą kwestie ogólne, oraz rozporządzenia PSR i FIDA.
Rozporządzenia mają regulować kwestie bardziej szczególne, w pewnym sensie istotniejsze, w przedmiocie zarządzania dostępem do danych przez użytkowników usług płatniczych na potrzeby wykonywania usług dostępu do informacji o rachunku lub usług inicjowania płatności (PSR) oraz przyznanie konsumentom i MŚP prawa do upoważniania stron trzecich do dostępu do danych o sobie, przechowywanych przez instytucje finansowe (FIDA). Wyłączne prawo inicjatywy w tym zakresie ma Komisja Europejska, a równorzędne prawo (w tym zakresie) do procedowania nad projektem ma Parlament Europejski wraz z Radą Unii Europejskiej. Swoją opinię w tej kwestii wydał EBA (European Bank Authority)[1].
PSD2 – kwestie do poprawy
W wyniku problemów, błędów, które powstały za sprawą Dyrektywy, należało przedsięwziąć działania mające na celu ich naprawienie. PSD2 zawiera liczne niejasności, w kontekście niewyjaśnienia pewnych terminów lub niewystarczającego określenia zakresów znaczeniowych. Istotne zdanie ma w tym zakresie właśnie EBA oraz opinie prawne kancelarii[2], będące emanacją opinii firm FinTechowych. Jednym z takich elementów, które należałoby prawnie dopracować są np. zasady określenia miejsca świadczenia usług płatniczych online, szczególnie w kontekście usług świadczonych transgranicznie.[3]
Dodatkowo, zdaniem EBA należałoby precyzyjnie wyznaczyć różnice między poszczególnymi usługami płatniczymi i określić ich istotę.
Postulowane zmiany
Na podstawie Dyrektywy PSD2 niestety nie wyjaśniono niektórych definicji w niej wskazanych np. elektroniczna transakcja płatnicza, zdalna transakcja płatnicza, instrument płatniczy czy rachunek płatniczy. EBA proponuje także ułożenie tematyki modeli biznesowych opartych o „white-label” czyli wykorzystywanie zewnętrznych rozwiązań pod własną marką, a także wprowadzenie wymogów regulacyjnych dla schematów płatniczych, bramek do dokonywania płatności czy nawet sprzedawców[4].
Pod względem bezpieczeństwa, istotne byłoby wprowadzenie wymogów dla:
- schematów płatniczych,
- bramek płatniczych,
- i merchantów (akceptantów).
Pożądane byłoby również wprowadzenie wymogów bezpieczeństwa dla transakcji wyłączonych od stosowania SCA[5].
Dodatkowo, zasadne byłoby określenie reguł podziału odpowiedzialności między ASPSP (Account Servicing Payment Service Provider – dostawca usług płatniczych zapewniający i utrzymujący rachunek płatniczy dla płatnika), a TPP (Third Party Provider) za transakcje nieautoryzowane, niewykonane i nienależycie wykonane[6].
EBA zaleca określenie jasnych zasad przeprowadzania SCA z wykorzystaniem technologii podmiotu trzeciego, delegowania SCA do TPP, a także do dostawców usług technicznych (TSP – Technical Service Provider). W kontekście uwierzytelniania ważne jest również wyjaśnienie wątpliwości odnośnie kwalifikowania poszczególnych metod uwierzytelnienia do poszczególnych kategorii (tj. wiedza, posiadanie i cechy użytkownika). Na tle prawno-gospodarczym podnoszona jest argumentacja zmiany podejścia do SCA stosowanego w przypadku dostępu do usługi AIS w ten sposób, że jedynie na potrzeby pierwszego dostępu SCA byłoby przeprowadzane przez ASPSP, a w przypadku kolejnych dostępów SCA przeprowadzałby AISP (Account Information Service Provider)[7].
Co więcej, transakcje inicjowane przez odbiorcę powinny mieć jasne ramy prawne (merchant-initiated transactions). Przytaczany jest również postulat możliwości wprowadzenia wspólnego standardu API (standard mający na celu ułatwienie przeprowadzania transakcji między klientami a sprzedawcami) we wszystkich państwach członkowskich. W konsekwencji prowadzić mogłoby to do wprowadzenia wymogu, według którego każdy ASPSP powinien oferować TPP dostęp do rachunków płatniczych przez dedykowany interfejs (API). Według EBA obowiązek wdrożenia mechanizmu awaryjnego (fall-back mechanism) przez ASPSP (Account Servicing Payment Service Provider) oferujące dostęp przez API, powinien zostać zlikwidowany[8].
EBA optuje również za wprowadzeniem wymogu, aby ASPSP (Account Servicing Payment Service Provider) przekazywał AISP (Account Information Service Provider) i PISP (Payment Initiation Service Providers) imię, nazwisko posiadacza rachunku oraz imię, nazwisko nadawcy transakcji. Co więcej EBA zaleca sprecyzowanie zakresu informacji o rachunku i transakcjach, jakie ASPSP powinien przekazywać TPP[9].
Ocena postulatów EBA
W mojej ocenie argumenty przytaczane przez EBA są słuszne, ponieważ z jednej strony dążą do poszerzenia uprawnień podmiotów, których dyrektywa dotyczy, a z drugiej do obowiązków i ograniczeń usprawniających procedury bezpieczeństwa wobec m. in. konsumentów. Moim zdaniem wyżej wymieniona rewizja powinna mieć również charakter Rozporządzenia.
Doprowadziłoby to bowiem do jednolitego brzmienia przepisów, bezpośrednio we wszystkich państwach członkowskich. W konsekwencji, takie normy prawne wpłynęłyby pozytywnie na transgraniczne transakcje, czy usługi podmiotów FinTechowych oraz wspomogłyby gospodarczą ekspansję tych firm na europejskie rynki zagraniczne.
Obecnie toczone prace w UE zakładają wprowadzenie podziału, zgodnie z którym ogólne postanowienia rewizyjne będą umieszczone w Dyrektywie PSD3, a szczególnie ważne przepisy zawarte zostaną w rozporządzeniu PSR i FIDA. Uważam takie działanie za rozsądne i zasadne w kontekście zasady wewnętrznego rynku i swobody przepływu usług.
___________________________________________________________________________________
[1] EBA “Opinion of the European Banking Authority on its technical advice on the review of Directive (EU) 2015/2366 on payment services in the internal market” (PSD2)
[2] Bird&Bird “Proposed PSD3 and Payment Services Regulation (PSR)” 2023
[3] FinTech Poland „Rewizja PSD2”
[4] M. Nowakowski „Czy otwartą bankowość czeka rewolucja? EBA prezentuje ponad 200 propozycji zmian do PSD2”, BANK.pl, 2022
[5] FinTech Poland „Rewizja PSD2”
[6] ibidem
[7] FinTech Poland „Rewizja PSD2”
[8] ibidem
[9] ibidem