Bartłomiej Kurzac
Oddziaływanie przepisów unijnych na FinTech w Polsce na przykładzie Dyrektywy PSD2 – DE LEGE LATA
Jedną z kluczowych dyrektyw wpływających na sektor FinTech jest Dyrektywa 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego[1]. W potocznym języku nazwano ją PSD2 (Payment Services Directive). Zastąpiła ona poprzednią regulację (PSD) ze względu na brak przepisów wystarczająco gwarantujących bezpieczeństwo transakcji elektronicznych. Zmiana ta przyczyniła się do znacznego rozwoju branży FinTech, stwarzając dodatkowe możliwości biznesowe (np. tzw. open banking), jak i przyczyniając się do poprawy stabilności i bezpieczeństwa, poprzez wprowadzenie obowiązku raportowania sytuacji niepożądanych (np. zgłaszanie do organu nadzoru nieautoryzowanych transakcji – w Polsce do Komisji Nadzoru Finansowego, KNF). Dyrektywa ta została implementowana do polskiego porządku prawnego za sprawą nowelizacji Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych[2].
Poprawa bezpieczeństwa
Korelacja między regulacjami prawnymi (lub ich brakiem), a stabilnością rynku finansowego jest bezdyskusyjna i bez wątpienia kluczowa. Dla przykładu od 2017 r. do końca 2018 r. straty poniesione przez firmy w Wielkiej Brytanii na skutek oszustw z wykorzystaniem kart płatniczych wzrosły o 19%, generując koszty na poziomie 760 mln euro.
Polska, jako państwo o mniejszym rynku, ucierpiałaby na takim zdarzeniu znacznie bardziej. W tym celu powstała Dyrektywa PSD2, której celem jest ograniczenie oszustw płatniczych, obejmująca zmiany zwiększające bezpieczeństwo klientów i firm w całej Unii Europejskiej[3].
Oprócz zapewnienia bezpieczeństwa transakcji, dyrektywa wykazała również inne cele, jakimi są ułatwienia rozwoju innowacji produktowych w zakresie usług płatniczych i finansowych, świadczonych przez podmioty nie będące bankami. Stworzyło to podstawę dla już rozwijającej się branży poprzez wykształcenie nowych instytucji prawno-biznesowych, nieznanych dotychczas owym podmiotom. Moim zdaniem w konsekwencji firmy te mogły wytworzyć nowe produkty finansowe, usługi, które wygenerowały większe możliwości wzrostu gospodarczego.
Silne uwierzytelnianie
Wedle art. 4 Dyrektywy PSD2 „uwierzytelnianie” oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.
Wyróżniamy również tzw. „silne uwierzytelnianie” (SCA – ang. Strong Customer Authentication), które opiera się na spełnieniu minimum dwóch z podanych elementów:
- wiedza (coś, co zna tylko użytkownik);
- posiadanie (coś, co ma tylko użytkownik);
- cechy klienta (coś, czym jest tylko użytkownik).
Elementy te muszą być niezależne, a zatem naruszenie jednego z nich nie osłabia pozostałych. Silne uwierzytelnianie musi zostać dokonane, gdy konsument:
- uzyska dostęp do rachunku płatniczego online;
- zainicjuje elektroniczną transakcję płatniczą;
- lub wykona czynność za pośrednictwem zdalnego kanału, który może wiązać się z ryzykiem oszustwa.
Zostało to dookreślone aktem nieustawodawczym Komisji UE (delegowanym), czyli Rozporządzeniem delegowanym Komisji (UE) 2018/389 z dnia 27 listopada 2017 r., uzupełniającym dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych bezpiecznych otwartych standardów komunikacji (RTS).
Mała Instytucja Płatnicza (MIP)
Kolejną istotną innowacją dla branży FinTech jest tzw. Mała Instytucja Płatnicza (MIP), która została wprowadzona dzięki motywowi 106 dyrektywy i wywiera istotne skutki prawne dla państw członkowskich. Taki podmiot nie wymaga zezwolenia na prowadzenie przez drobnych dostawców usług płatniczych (jednakże wymaga dokonania wpisu do rejestru).
Należy jednak pamiętać wówczas o przesłankach, które muszą być spełnione kumulatywnie:
- średni miesięczny limit transakcji nie może przekroczyć 1,5 mln EUR;
- nie mogą przechowywać środków klientów przekraczających łącznie 2 000 EUR;
- nie mogą świadczyć usług w oparciu o dostęp do konta;
- nie mogą świadczyć usług za granicą.
Mała Instytucja Płatnicza wpłynęła w mojej ocenie korzystnie pod względem konkurencyjności na polski rynek finansowy, ponieważ prowadzenie działalności gospodarczej w prawnej formie MIP jest znacznie tańsze i prostsze, niż prowadzenie działalności w formie Krajowej Instytucji Płatniczej (KIP), natomiast pod względem uprawnień umożliwia świadczenie prawie wszystkich usług płatniczych. Mają istotne znaczenie dla polskiego rynku finansowego o czym świadczą nie małe, i stale rosnące liczby zarejestrowanych podmiotów MIP. Od czasu wejścia w życie omawianej dyrektywy powstało 179 MIP’ów (Małych Instytucji Płatniczych) oraz 43 KIP’ów (Krajowych Instytucji Płatniczych), widniejących w rejestrze KNF.
Warto również wspomnieć, że dyrektywa jedynie wspomina o możliwości zarejestrowania i prowadzenia takiej działalności, a tak naprawdę to polski ustawodawca doprecyzował powyższą instytucję w wyniku implementacji.
Kategorie usług
Kolejnymi ważnymi instytucjami są nowe kategorie usług. Utworzona została usługa tzw. PIS (payment initiation services), polegająca na jednorazowej inicjacji płatności, wydawanej na konkretną płatność z datą bieżącą, przyszłą, płatność cykliczną lub paczkę płatności (art. 66 PSD2).
Drugą istotną usługą jest AIS (account information services). Jest to usługa dostępu do informacji o rachunku (art. 67 PSD2). Dyrektywa PSD2 wymaga, aby banki umożliwiały dostęp do informacji o rachunku usługodawcom AIS lub zainicjowanie płatności usługodawcom świadczącym usługę PIS, niezależnie od tego, czy istnieje umowa między nimi, a określonym TPP (Third Party Provider).
Co więcej, powstała usługa CAF (Confirmation of the Availability of Funds) – usługa potwierdzania dostępności na rachunku płatniczym płatnika kwoty niezbędnej do wykonania transakcji płatniczej. W wyniku wprowadzonych zmian TPP może uzyskać dane z rachunków bezpośrednio za zgodą konsumenta (AISP), bądź inicjować transakcję bezpośrednio z rachunku konsumenta (PISP).
TPP może być zarówno klasyczną instytucją finansową, jak i dostawcą usługi cyfrowej. Zatem Dyrektywa w tej materii uprawnia FinTechy płatnicze do uzyskania informacji, bądź do zainicjowania płatności. Stanowi to praktyczny przykład tzw. open banking, który zrewolucjonizował wyżej wymienioną branżę, w szczególności, ze względu na utworzenie nowych, potencjalnych modeli biznesowych, jak i nadał uprawnienie do uzyskania informacji, których wcześniej, przed dyrektywą FinTechy prawnie nie mogły nabyć.
Obsługa transakcji nieautoryzowanych
Dyrektywa reguluje również obsługę nieautoryzowanych transakcji, które polegają na dokonaniu płatności bez zgody płatnika z wykorzystaniem lub bez użycia instrumentu płatniczego.
Jeżeli według konsumenta zostanie ona przeprowadzona, wówczas usługodawca jest w pełni odpowiedzialny i zobowiązany do natychmiastowego zwrotu całości kwoty (bezzwłocznie, nie później niż kolejnego dnia). Użytkownik usług płatniczych jest zobowiązany natomiast zgłosić bez zbędnej zwłoki tego rodzaju transakcję nie później niż w ciągu 13 miesięcy od daty obciążenia rachunku (art. 71 ust. 1 PSD2).
Jednakże konsument nie zostanie obciążony kosztami, jeśli strata została spowodowana działaniami lub brakiem działania ze strony dostawcy usług płatniczych (jego pracownika, agenta lub oddziału). Warto również zaznaczyć istnienie obowiązków odszkodowawczych, zgodnie z którymi dostawca powinien dokonać stosowaną rekompensatę za poniesione straty przez użytkownika. Onus probandi spoczywa na dostawcy usług płatniczych (art. 73 Dyrektywy w związku z motywem 71).
Minimalizowanie zagrożenia dla konsumentów
Wzrost wykorzystania nowych technologii spowodował w pewnym momencie zagrożenie dla konsumentów usług finansowych[4]. Brak regulacji prawnych w tej materii mógłby stworzyć stan niebezpieczeństwa dla stabilności przepływów transakcyjnych, czy przepływu informacji.
Dlatego Dyrektywa miała spełnić zadanie, jakim było zagwarantowanie bezpieczeństwa obrotu finansowego, w dużej mierze dla klientów firm FinTech. Problem nie był jednak wewnątrz-krajowy, a globalny, dlatego moim zdaniem unormowanie kwestii bezpieczeństwa na poziomie unijnym było jak najbardziej korzystnym zabiegiem harmonizacji prawa.
Jak każde działanie legislacyjne wymaga dopracowania w wielu kwestiach m. in. ustanowienia kolejnych środków ostrożności, ale również większego uwzględnienia potrzeb biznesowych.
Należy jednak pamiętać o innych celach, które także spełniła dyrektywa PSD2, a mianowicie zwiększenie dostępności do informacji o rachunku i możliwość zainicjowania płatności. Wykształciło to nowe instytucje prawne, które przekształciły się w nowe modele biznesowe FinTechów. W kontekście open-bankingu również można iść o krok dalej, co w mojej ocenie wpłynęłoby bardzo pozytywnie na opisywaną branżę (patrz FIDA[5].
Nie należy jednak zapominać jak korzystnie zadziałał wobec przemian technologicznych legislator unijny. Doprowadziło to bowiem do dynamicznego wzrostu gospodarczego tej branży, nadając jej nowe możliwości rozwoju[6]. Należy w mojej ocenie zatem jednoznacznie powiedzieć, że rozwój branży FinTech zawdzięcza tej regulacji bardzo wiele, w szczególności w Polsce, co zostanie podkreślone na abstrakcyjnych przykładach case-study w następnym z cyklu artykułów.
[1] DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (Dz. U. UE. L 337/35)
[2] Dz.U. 2011 nr 199 poz. 1175
[3] ELAVON „Praktyczny podręcznik po dyrektywie PSD2”
[4] K. Spirzewski „Wpływ nowych technologii na ryzyko utraty płynności sektora bankowego”, MAZOWSZE Studia Regionalne nr 23/2017, 2017, s.47, DOI: 10.21858/msr.23.03
[5] vide REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554
[6] PWC „Sektor finansowy coraz bardziej #fintech”, 2016, s.19