PSD2
1. Co to jest PSD2?
PSD2 (ang. Payment Services Directive) to dyrektywa Unii Europejskiej dotycząca usług płatniczych. W polskim prawie jej zasady zostały uregulowane w ramach nowelizacji ustawy o usługach płatniczych. Wprowadzenie dyrektywy wynika ze zmian technologicznych na rynku płatności oraz pojawiających się regularnie na rynku nowych usług płatniczych. Dyrektywa umożliwia pojawienie się na rynku nowych podmiotów (tzw. TPP), którzy za zgodą Klienta, będą mogli świadczyć dodatkowe usługi (AIS, PIS i CAF).
Dla Klientów dyrektywa PSD2 to:
- szybciej rozpatrywane reklamacje
- zmniejszenie odpowiedzialności Klienta za nieautoryzowane transakcje
- zmiany metod realizacji płatności zagranicznych
- otwarta bankowość
2. Jakie będą korzyści dla Klienta?
- Szybciej rozpatrywane reklamacje: czas na rozpatrzenie reklamacji dotyczących transakcji płatniczych skróci się z 30 dni kalendarzowych do 15 dni roboczych.
- Zmniejszenie odpowiedzialności za nieautoryzowane transakcje: w przypadku nieautoryzowanej transakcji płatniczej odpowiedzialność wynosi maksymalnie 50 euro; dotychczas ten limit wynosił 150 euro.
- Nowe metody realizacji płatności zagranicznych: Dyrektywa wprowadza nową zasadę realizacji przelewów zagranicznych do krajów z Europejskiego Obszaru Gospodarczego (Unia Europejska, Islandia, Norwegia, Liechtenstein, Szwajcaria) – tzw. opcję SHA – w której część kosztów pokryje zleceniodawca przelewu, a część – odbiorca.
3. Nowe usługi TPP
Dyrektywa umożliwia pojawienie się na rynku nowych podmiotów (tzw. TPP – Third Party Providers), którzy za zgodą Klienta, będą mogli świadczyć dodatkowe usługi:
AIS (ang. Account Information Service).
Zgodnie z regulaminami produktowymi Banku, jest to usługa dostępu do informacji o rachunku, czyli usługa on-line polegająca na dostarczaniu skonsolidowanych informacji dotyczących:
a) rachunku płatniczego Posiadacza rachunku/ Kredytobiorcy prowadzonego u innego dostawcy albo
b) rachunków płatniczych Posiadacza rachunku/ Kredytobiorcy prowadzonych u innego dostawcy albo u więcej niż jednego dostawcy Jest to zatem usługa, która – za zgodą Klienta - umożliwi TPP dostęp do informacji o rachunkach Klienta w różnych bankach. Dzięki tej usłudze Klient będzie mógł mieć dostęp do różnych rachunków z jednego miejsca.
PIS (ang. Payment Initiation Service) .
Zgodnie z regulaminami produktowymi Banku jest to usługa inicjowania transakcji płatniczej, czyli usługa polegająca na zainicjowaniu zlecenia płatniczego przez dostawcę świadczącego usługę inicjowania transakcji płatniczej na wniosek Posiadacza rachunku/ Kredytobiorcy/ Użytkownika karty lub bankowości elektronicznej z rachunku płatniczego Posiadacza rachunku/ Kredytobiorcy prowadzonego przez innego dostawcę.Jest to zatem usługa, która umożliwi – za zgodą Klienta - realizację płatności z rachunku bankowego Klienta przez TPP do wybranego przez Klienta odbiorcy.
CAF (ang. Confirmation of the Availability of Funds).
Zgodnie z regulaminami produktowymi jest to usługa potwierdzenia dostępności środków na rachunku płatniczym, czyli usługa polegająca na potwierdzeniu dostawcy wydającemu instrumenty płatnicze oparte na karcie płatniczej kwoty niezbędnej do wykonania transakcji płatniczej realizowanej w oparciu o tę kartę.Jest to zatem usługa, która umożliwi TPP sprawdzenie, czy na rachunku bankowym jest wystarczająca kwota niezbędna do wykonania danej płatności kartą.
4. Co to jest open banking?
Open banking, czyli otwarta bankowość to nowy standard na rynku usług płatniczych.
Zgodnie z nowymi regulacjami, wprowadzonymi dyrektywą PSD2, banki muszą, za zgodą Klienta, umożliwić dostęp do rachunków płatniczych swoich klientów TPP, czyli nowym podmiotom na rynku, takim jak np. fintechy, serwisy płatnicze czy inne banki. Dzięki otwartej bankowości Klient będzie mógł mieć dostęp do swoich finansów w aplikacjach czy systemach, których obecnie używa, z zachowaniem podwyższonych zasad bezpieczeństwa. Nie jest to jednak całkowicie nowa usługa – obecnie podobnie działają np. płatności tzw. pay-by-link, zgodnie z którymi Klient płacący w Internecie, zostaje przekierowany przez operatora internetowego do systemu bankowości internetowej wybranego banku.
Przydatne informacje
Zmiana sposobu logowania i autoryzacji transakcji w bankowości elektronicznej od 14 września 2019 r.
Ustawa z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (dalej "ustawa") dokonała wdrożenia do prawa krajowego przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającej dyrektywę 2007/64/WE (dalej "PSD2").
Przygotowania do wdrożenia silnego uwierzytelnienia wynikającego z Dyrektywy PSD2 PM Bank rozpoczął m.in. poprzez wycofanie od dnia 05.05.2019 r. jako środka autoryzacji - kodów jednorazowych w postaci listy haseł jednorazowych.Dostępną metodą autoryzacji złożonych przez Użytkowników systemu dyspozycji pozostał kod SMS.
Co zmieni się po 14 września 2019 r.:
- Logowanie do systemu Internet Banking i Firm@ - po 90 dniach od ostatniej poprawnej zmiany hasła do logowania, zostaniesz zobowiązany do:
- zmiany obecnie używanego hasła lub
- do uwierzytelnienia obecnie używanego hasła.
- Sposób zatwierdzania wybranych dyspozycji złożonych w systemie Internet Banking i Firm@ poprzez wykorzystanie silnego uwierzytelnienia.
Silne uwierzytelnienie polega na dodaniu do dotychczas stosowanych metod autoryzacji dodatkowego elementu:
Przed zmianą |
Po zmianie | |
---|---|---|
IB |
Kod sms |
Kod sms + kod uwierzytelnienia |
Firm@ |
Kod sms |
Kod sms + kod uwierzytelnienia |
Certyfikat (własny lub wydany przez Bank z eTokenem) |
Certyfikat + aplikacja nPodpis. |
przy czym, czterocyfrowy kod uwierzytelnienia ustanowisz sam po zalogowaniu do bankowości internetowej.
W celu ułatwienia pierwszego logowania się do systemu od 14 września 2019 r. oraz ustanowienia kodu uwierzytelnienia prosimy o zapoznanie się z niżej opublikowanym opisem wprowadzanych zmian:
- Opis zmian związanych z wdrożeniem silnego uwierzytelnienia w systemie Internet Banking
- Opis zmian związanych z wdrożeniem silnego uwierzytelnienia w systemie Firm@
Aplikacja nPodpis jest do pobrania na stronie internetowej PM Banku w zakładce: Firmy/Rolnicy – Bankowość elektroniczna - Firm@
PM Bank będzie stosował silne uwierzytelnianie w przypadku, gdy płatnik będzie:
- uzyskiwał dostęp do swojego rachunku w trybie online;
- inicjował elektroniczną transakcję płatniczą;
- przeprowadzał czynność za pomocą kanału zdalnego, która może się wiązać z ryzykiem oszustwa płatniczego lub innych nadużyć.
Zestaw działań Klienta w bankowości internetowej wymagających silnego uwierzytelnienia:
Działania Klienta |
Internet Banking |
Firm@ |
---|---|---|
logowanie |
TAK 1) |
TAK 1) |
dodawania kontrahenta |
TAK |
TAK |
dodawanie kontrahenta jako zaufanego |
TAK |
TAK |
modyfikacja i usuwanie kontrahenta |
TAK |
TAK |
modyfikacja parametrów wrażliwych (limitów/ rachunków itp.) |
TAK |
TAK |
dodawanie i modyfikacja przelewu zdefiniowanego |
TAK |
NIE |
wykonanie przelewu zdefiniowanego |
TAK |
NIE |
przelew zewnętrzny i wewnętrzny (oprócz na rachunki własne) |
TAK |
TAK |
przelew wewnętrzny na rachunki własne |
NIE |
NIE |
dyspozycje płatnicze(dla Firm@ będą to Autowypłaty) |
TAK |
TAK |
zakładanie i modyfikacja zleceń okresowych |
TAK |
TAK |
przeglądanie historii dalszej niż 90 dni |
TAK |
TAK |
aktywacja urządzeń mobilnych (w Firm@ także nPodpisu ) |
TAK |
TAK |
aktywacja kanałów dostępu |
TAK |
TAK |
importy |
TAK |
TAK |
1) wymagane za pierwszym logowaniem oraz raz, co najmniej co 90 dni w innych przypadkach wystarczy sam login i hasło
Jesteśmy przekonani, że wprowadzane zmiany zapewnią jeszcze większe bezpieczeństwo środków deponowanych w PM Banku.
Dodatkowo, w trosce o bezpieczeństwo realizowanych przez Państwa transakcji płatniczych PM Bank wprowadził limity transakcyjne. Szczegóły w zakładce PSD2 - Limity transakcji.
1. Czym jest uwierzytelnienie?
Uwierzytelnienie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.
2. Czym jest silne uwierzytelnienie?
Silne uwierzytelnienie klienta oznacza uwierzytelnienie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:
- wiedza (coś, co wie wyłącznie użytkownik np. hasło logowania,numer karty płatniczej, kod CVV, kod PIN)
- posiadanie (coś, co posiada wyłącznie użytkownik np. telefon komórkowyz przypisanym numerem telefonu, na który przychodzą wiadomości SMS z kodami do autoryzacji lub aplikacja nPodpis)
- cechy klienta (coś, czym jest użytkownik - indywidualne cechy użytkownika np. biometria w tym odcisk palca lub skan siatkówki)
niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnienie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.
3. Kiedy należy stosować silne uwierzytelnienie?
Państwa członkowskie zapewniają, by dostawca usług płatniczych stosował silne uwierzytelnienie klienta, w przypadku gdy płatnik:
- uzyskuje dostęp do swojego rachunku płatniczego w trybie online;
- inicjuje elektroniczną transakcję płatniczą;
- przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
W odniesieniu do inicjowania elektronicznych transakcji płatniczych, o którym mowa w ust. 1 lit. b), państwa członkowskie zapewniają, by – w przypadku elektronicznych zdalnych transakcji płatniczych – dostawcy usług płatniczych stosowali silne uwierzytelnienie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą.
W odniesieniu do ust. 1 państwa członkowskie zapewniają, by dostawcy usług płatniczych wprowadzili adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkowników usług płatniczych.
Ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności. Ust. 1 i 3 mają również zastosowanie, w przypadku gdy występuje się o podanie informacji za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.
Państwa członkowskie zapewniają, by dostawca usług płatniczych prowadzący rachunek zezwalał dostawcy świadczącemu usługę inicjowania płatności i dostawcy świadczącemu usługę dostępu do informacji o rachunku na poleganie na procedurach uwierzytelnienia zapewnianych przez dostawcę usług płatniczych prowadzącego rachunek użytkownikowi usług płatniczych zgodnie z ust. 1 i 3, a w przypadku gdy zaangażowany jest dostawca świadczący usługę inicjowania płatności – zgodnie z ust. 1, 2 i 3.
Bezpieczniejsze użytkowanie karty - zmiany wprowadzające silne uwierzytelnienie w kartach płatniczych.
Dla klientów, korzystających z kart płatniczych zostały wdrożone nowe procedury bezpieczeństwa stosowane przy płatnościach internetowych kartą, tzw. silne uwierzytelnienie.
Silne uwierzytelnienie klienta ma zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie i tym samym ograniczyć możliwości wystąpienia oszustw związanych z tymi usługami.
Co się zmienia?
Brak konieczności aktywacji zabezpieczenia 3D Secure w portalu Kartosfera
- Jedną z bardziej widocznych dla Klientów zmian w funkcjonowaniu płatności internetowych jest brak konieczności dokonywania aktywacji usługi 3DSprzez Klienta. Niezależnie od tego, czy Klient kiedykolwiek rejestrował się w portalu Kartosfera,na kartach jest domyślnie włączona usługa 3D Secure z jednym czynnikiem uwierzytelnienia – kategoria „posiadanie” (tj. SMS na numer zarejestrowany w Banku).
- Nie naraża to Klienta na niechciane transakcje internetowe, ponieważ element uwierzytelnienia z kategorii „posiadanie” to kod jednorazowy SMS, wysyłany na numer telefonu zarejestrowany w Banku.
Ustanowienie drugiego czynnika uwierzytelnienia 3D Secure
- w Kartosferze pojawiła się zakładka „3DS”, zawierająca opcję ustanowienia kodu PIN do transakcji internetowych, stanowiącego element kategorii „wiedza”. Kod PIN jest ustalany przez Klienta jednorazowo i skutkuje dla wszystkich posiadanych kart oraz wydanych w przyszłości.
- Będzie także możliwość zmiany kodu PIN do transakcji internetowych w Kartosferze. Do końca roku transakcje w oparciu o jeden czynnik uwierzytelnienia (SMS) będą dopuszczane.Od początku 2021 roku, Klienci będą musieli zdefiniować w Kartosferze kod PIN, aby realizować transakcje z zabezpieczeniem 3D Secure.W przypadku, gdy Klient nie dokona ustanowienia kodu PIN do transakcji internetowych w Kartosferze, po 1 stycznia 2021 transakcja nie zostanie uwierzytelniona a tym samym nieskuteczna.
Realizowanie transakcji z uwierzytelnieniem 3D Secure
- Do końca roku 2020, Klienci którzy nie ustanowią kodu PIN do transakcji internetowych, będą realizowali transakcje tak jak do tej pory.Podczas transakcji otrzymają SMS z kodem do wprowadzenia na ekranie. System będzie wykrywał, czy Klient ustanowił drugi czynnik uwierzytelnienia i wyświetlał odpowiednio ekran z prośbą o wprowadzenie jednorazowego kodu SMS lub kodu PIN.
- Dla Klientów, którzy zalogują się do Kartosfery i ustanowią kod PIN do transakcji internetowych, przebieg uwierzytelnienia będzie zmodyfikowany:na pierwszym ekranie Klient zostanie poproszony o wprowadzenie kodu PIN do transakcji internetowych, a dopiero po jego poprawnym wprowadzeniu, zostanie wysłany SMS i wyświetlony ekran z prośbą o wprowadzenie jednorazowego kodu SMS. Pojawi się także przycisk ponowienia wysłania kodu SMS.
Możliwe scenariusze przebiegu transakcji u Akceptanta z terenu EOG (Europejski Obszar Gospodarczy):
- Klient, który nie jest zarejestrowany w portalu Kartosfera i nie ma ustalonego kodu PIN do transakcji internetowych w większości przypadków otrzyma wyświetloną na ekranie prośbę o zarejestrowanie się w portalu Kartosfera i tym samym konieczność wprowadzenia numeru telefonu. Nie będzie to jednak dotyczyć klientów, którzy mają w Banku wskazany numeru telefonu.
- Klient, który jest zarejestrowany w portalu Kartosfera:
- ale, który nie zdefiniował kodu PIN do transakcji internetowych (jest opcjonalne do 1 stycznia 2021r.), otrzyma SMS i na tej podstawie zrealizuje transakcję,
- zdefiniował kod PIN w portalu Kartosfera.pl, otrzyma prośbę o podanie kodu PIN, po podaniu poprawnego PIN, zostanie poproszony o wpisanie otrzymanego kodu SMS.
Jeżeli Klient realizuje transakcję u Akceptanta spoza regionu EOG lub niedostosowanego do żadnego protokołu 3D Secure: brak uwierzytelnienia PIN oraz SMS - transakcja przebiegnie w oparciu o dane karty (numer, data ważności, CVC/CVV2).
WARTO WIEDZIEĆ
Zaufani Odbiorcy
- W portalu Kartosfera, pojawi sięlista wykonanych transakcji internetowych Klienta,w których doszło do uwierzytelnienia. Klient będzie mógł wykorzystywać tę listę, lecz nie jest to wymagane do poprawnego działania żadnego serwisu – jest to usługa całkowicie opcjonalna.
- Klient będzie mógł wybierać z listy uprzednio dokonanych uwierzytelnień i dokonywać oznaczenia danego Akceptanta jako Zaufanego, czyli nie wymagającego uwierzytelnienia przy kolejnych transakcjach. Przykładowo, gdy Klient regularnie wykonuje transakcje u określonego Usługodawcy, który nie umożliwia zapisania danych karty w swoim portalu, to będzie mógł oznaczyć danego Usługodawcę jako Zaufanego i kolejne transakcje wykonywać jedynie podając dane swojej karty, a transakcja przebiegnie szybciej. Usługa ta, może być także wykorzystana gdy Klient nie chce zapisywać danych swojej karty w obawie o potencjalny wyciek informacji. Klient będzie mógł określić maksymalną kwotę transakcji bez uwierzytelnienia, np. ustalając Zaufanego Akceptanta "zooplus.pl", do kwoty 150 zł, w efekcie czego autoryzacje na kwoty niższe od zdefiniowanej odbędą się bez uwierzytelnienia, zaś każda transakcja przewyższająca 150 zł będzie wymagała pełnego zestawu metod uwierzytelnienia stosowanych przez Bank, tj. kodu PIN i SMS. Klient też samodzielnie dokona usunięcia z listy zaufanych poprzez portal Kartosfera.
Logowanie do portalu Kartosfera
- Z uwagi na dostęp do niektórych informacji wrażliwych wKartosferze, tj. historia transakcji i Zestawień transakcji (Wyciągów) kart kredytowych,wprowadza się dwuskładnikowe uwierzytelnienie w logowaniu do Kartosfery.Każdorazowo, po wprowadzeniu hasła statycznego do portalu Kartosfera, Klientowi będzie wysłany SMS z hasłem jednorazowym na zarejestrowany numer telefonu.
Przypomnijmy jak zalogować się do portalu Kartosfera:
- Portal kartowy „Kartosfera” to system umożliwiający dostęp zarejestrowanemu Użytkownikowi portalu do wybranych usług i funkcjonalności dotyczących kart płatniczych za pomocą sieci Internet i przeglądarki internetowej.
- Aby zalogować się do portalu należy wejść na stronę internetową www.kartosfera.pl. Po wejściu na stronę portalu pojawi się okno do logowania.
- Jeśli logujesz się do portalu po raz pierwszy, kliknij w „Zarejestruj się”. Szczegóły znajdziesz w Podręczniku użytkownika.
- Jeżeli jesteś już zarejestrowany do portalu kartowego wejdź na stronę internetową www.kartosfera.pl, podaj PESEL lub login (jeżeli został nadany) oraz hasło, które ustaliłeś przy pierwszym logowaniu do portalu. Szczegóły znajdziesz w Podręczniku użytkownika.
- Podręcznik użytkownika
Do pobrania:
W trosce o bezpieczeństwo realizowanych przez Państwa transakcji płatniczych w systemie Internet Banking Bank wprowadził następujące limity:
Powyższe limity mogą Państwo zmienić samodzielnie w zależności od aktualnych potrzeb i w dowolnie wybranym przez siebie momencie.
Jednocześnie dla Państwa wygody, została wprowadzona możliwość tymczasowej zmiany limitu na okres 10 minut, w przypadku gdy zachodzi potrzeba zrealizowania jednorazowej większej transakcji.
Wysokość limitów do jakich nie jest stosowane uwierzytelnienie 3D-Secure (transakcje niskokwotowe) | |
Pojedyncza transakcja internetowa | 100 PLN |
Suma transakcji internetowych | 400 PLN |
Liczba następujących po sobie transakcji internetowych | 5 |