W dniu 5 kwietnia 2022 roku Europejski Urząd Nadzoru Bankowego (“EBA”) opublikował projekt rozporządzenia zmieniającego Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji („RTS”)[1]. RTS stanowi ważny dokument uzupełniający przepisy dyrektywy PSD2, ponieważ doprecyzowuje zasady stosowania silnego uwierzytelnienia klienta[2] („SCA”) oraz świadczenia usługi AIS (usługa dostępu do informacji o rachunku płatniczym) czy PIS (usługa inicjowania transakcji płatniczej) w ramach tzw. „open bankingu”.
Projekt zakłada zmianę art. 10 RTS, zgodnie z którym (obecnie) dostawcy usług płatniczych prowadzący rachunek (np. bank, krajowa instytucja płatnicza, mała instytucja płatnicza; dalej “PSP”) mogą nie stosować SCA w przypadku gdy dostęp użytkownika (klienta) ogranicza się wyłącznie do dostępu (w trybie online) do salda jednego lub większej liczby wyznaczonych rachunków płatniczych lub historii transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem rachunku płatniczego. PSP nie podlegają natomiast wyłączeniu z obowiązku stosowania SCA jeżeli użytkownik uzyskuje dostęp do salda lub historii transakcji po raz pierwszy lub gdy minie więcej niż 90 dni odkąd użytkownik po raz ostatni uzyskał dostęp do ww. informacji oraz odkąd ostatni raz zastosowano SCA. W przypadku przyjęcia zmian zaproponowanych przez EBA, PSP korzystający z wyłączenia z art. 10 RTS będą mieli obowiązek stosować SCA po 180 dniach, a nie jak dotychczas po 90 dniach od dnia ostatniego zastosowania SCA przy uzyskiwaniu przez klienta dostępu do salda albo historii transakcji.
Kolejna zmiana polegać ma na dodaniu art. 10a do RTS, który wprowadzi kolejne – tym razem obligatoryjne – wyłącznie stosowania SCA w przypadku uzyskiwania przez użytkownika dostępu do rachunku płatniczego za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku (“AISP”). PSP będzie zwolniony z obowiązku stosowania SCA pod warunkiem, że dostęp uzyskiwany za pośrednictwem AISP będzie ograniczony wyłącznie do salda jednego lub więcej rachunków płatniczych lub do historii transakcji płatniczych wykonanych w ciągu ostatnich 90 dni. W trakcie takiego dostępu nie będzie mogło dojść do ujawnienia szczególnie chronionych danych dotyczących płatności. Podobnie jak w przypadku art. 10 RTS i w tym przypadku PSP będzie miał obowiązek zastosowania SCA gdy użytkownik będzie po raz pierwszy uzyskiwał dostęp do ww. informacji za pośrednictwem AISP lub gdy upłynie ponad 180 dni od ostatniego uzyskania dostępu do informacji o rachunku za pośrednictwem AISP oraz zastosowania SCA przez PSP. W przypadku gdy PSP będzie miał obiektywnie uzasadnione i należycie udokumentowane “powody” dotyczące nieuprawnionego lub oszukańczego dostępu do rachunku płatniczego, wówczas PSP będzie mógł zastosować SCA wobec użytkownika. Wówczas PSP będzie miał obowiązek należycie uzasadnić właściwemu organowi, na jego wniosek, powody zastosowania SCA. Wspomniane rozwiązanie ma zapewnić odpowiedni poziom bezpieczeństwa płatności. Ponadto PSP, którzy będą udostępniać dedykowany interfejs dostępowy do rachunku płatniczego za pośrednictwem tzw. TPP („API PSD2”), nie będą zobowiązani do niestosowania SCA w przypadku korzystania z mechanizmów awaryjnych, o których mowa w art. 33 ust. 4 RTS (tj. poprzez użycie interfejsów udostępnionych użytkownikom na potrzeby uwierzytelnienia i komunikacji z PSP – tzw. opcja fallback), jeżeli nie będą stosowali fakultatywnego wyłączenia stosowania SCA przewidzianego w art. 10 RTS (w odniesieniu do interfejsu bezpośrednio używanego do uwierzytelniania i komunikacji ze swoimi klientami).
Wyżej wymienione zmiany w zakresie stosowania SCA będą wiązały się z obowiązkiem udostępnienia przez PSP na rzecz TPP zmian wprowadzonych do dokumentacji technicznej interfejsu dostępowego nie później niż na 2 miesiące przed wdrożeniem tych zmian (co do zasady zmiany powinny być publikowane przez PSP z wyprzedzeniem wynoszącym 3 miesiące przed wdrożeniem).
Projekt oczekuje na zatwierdzenie przez Komisję Europejską. Przewiduje się, że zmiany w RTS mają obowiązywać po upływie 7 miesięcy od dnia opublikowania rozporządzenia zmieniającego RTS w Dzienniku Urzędowym UE.
[1] https://www.eba.europa.eu/eba-publishes-final-report-amendment-its-technical-standards-exemption-strong-customer
[2] W uproszczeniu jest to uwierzytelnianie klienta stosowane w oparciu o co najmniej dwa elementy należące do kategorii „wiedza”, „posiadanie” lub „cecha” użytkownika. SCA stosowane jest m.in. gdy użytkownik uzyskuje dostęp do swojego rachunku płatniczego (np. bankowego) w trybie on-line.