KNF wybiera polskie API
UKNF będzie bezpośrednio stosować zapisy dyrektywy PSD2 (Payment Services Directive 2) w sprawie usług płatniczych w internecie, zanim wejdzie w życie ustawa, dostosowująca polskie prawo do tej unijnej dyrektywy - wynika z piątkowego komunikatu UKNF.
Urząd Komisji Nadzoru Finansowego wydał w piątek komunikat, dotyczący „wybranych oczekiwań nadzorczych w odniesieniu do okresu przejściowego związanego z implementacją Dyrektywy PSD2”.
W komunikacie przypomina, że w 13 stycznia 2016 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zwana Dyrektywą PSD2 i powinna ona zostać implementowana do polskiego porządku prawnego do 13 stycznia 2018 r.
Dyrektywa ta m.in. reguluje usługi płatnicze w internecie.
Aktualnie w Polsce trwają prace nad nowelizacją ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: UUP) dotyczące implementacji PSD2, lecz nie zostaną one zakończone w powyższym terminie. Zakłada się, że znowelizowana ustawa wejdzie w życie w II kwartale 2018 roku – zwraca uwagę UKNF.
Stąd Urząd KNF określa, jakimi zasadami będzie się kierować, „rozważając zakres stosowania prawa wspólnotowego i zależności pomiędzy prawem wspólnotowym, a prawem krajowym po 13 stycznia 2018 roku”.
Będzie to, jak wynika z komunikatu, zasada pierwszeństwa prawa wspólnotowego, zasada bezpośredniej skuteczności przepisów dyrektywy oraz zasada pośredniego skutku dyrektywy.
Zasada pierwszeństwa prawa wspólnotowego oznacza zapewnienie wszystkim normom prawa wspólnotowego przewagi w razie konfliktu z jakąkolwiek wcześniejszą lub późniejszą normą krajową w każdym państwie członkowskim. Zatem w sytuacji, gdy przepisy prawa państwa członkowskiego są sprzeczne z bezpośrednio skutecznymi przepisami prawa wspólnotowego, wówczas sądy i organy krajowe mają obowiązek stosować prawo wspólnotowe - głosi komunikat.
Zasada bezpośredniej skuteczności dyrektyw została ukształtowana w licznym orzecznictwie Europejskiego Trybunału Sprawiedliwości (ETS). W odniesieniu do dyrektyw ETS uznał, że uprawnienia przyznane jednostkom przez prawo wspólnotowe mogą być powoływane przed organami krajowymi bezpośrednio w celu ich wykonania, o ile spełnione są następujące warunki: a) przepisy danej dyrektywy są precyzyjne i bezwarunkowe, b) z norm dyrektywy wynikają prawa jednostek wobec państwa, c) upłynął termin implementacji dyrektywy przez dane państwo członkowskie, a jej normy nie zostały implementowane, albo implementacja jest nieprawidłowa - czytamy.
Z kolei „zasada skutku pośredniego jest generalną dyrektywą interpretacyjną, zgodnie z którą na krajowych organach sądowych i administracyjnych ciąży obowiązek wykładni prawa krajowego zgodnie z prawem wspólnotowym”.
Implementacja PSD2 będzie implikowała istotne zmiany legislacyjne na rynku usług płatniczych, ponieważ niepodlegające dotychczas nadzorowi ostrożnościowemu podmioty trzecie (z ang. Third Party Providers - TPP), po spełnieniu wymogów prawnych, będą mogły w imieniu użytkownika usług płatniczych uzyskać dostęp do informacji o jego rachunku lub zlecać realizację płatności – zwraca uwagę komunikat UKNF.
Projekt odpowiedniej nowelizacji ustawy o usługach płatniczych, dostosowujący polskie prawo do dyrektywy PSD2, został zaakceptowany przez rząd w ostatni wtorek, na pierwszym posiedzeniu po rekonstrukcji.
W komunikacie po posiedzeniu CIR zwrócił uwagę, że wprowadzone zmiany mają sprzyjać rozwojowi obrotu bezgotówkowego i zwiększeniu szybkości realizacji płatności przez użytkowników pieniądza bezgotówkowego oraz przyczynić się do dalszego rozwoju społeczeństwa informacyjnego.
Projekt noweli tworzy ramy prawne działania nowych usługodawców na rynku usług płatniczych. Obok banków, instytucji płatniczych, operatorów pocztowych i innych, pojawią się tzw. podmioty trzecie, czyli TPP (Third Party Provider). Będą one mogły świadczyć dwa typy nowych usług: usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS) - to usługa polegająca na udzieleniu jej dostawcy dostępu do rachunku online płatnika w celu sprawdzenia dostępności środków pieniężnych, a następnie zainicjowania płatności; usługę dostępu do informacji o rachunku (Account Information Service, AIS) - dostawca świadczący tę usługę zapewni klientowi zagregowane informacje online o co najmniej jednym lub kilku rachunkach płatniczych.
Co do zasady wszystkie instytucje płatnicze, w tym także świadczące usługi PIS będą musiały uzyskać zezwolenie na ich świadczenie. Inaczej będzie w przypadku dostarczania usług dostępu do informacji o rachunku (AIS) - ich świadczenie nie będzie wymagało uzyskania zezwolenia (będą podlegać tylko rejestracji). Usługodawcy PIS i AIS będą zwolnieni z niektórych wymogów, które muszą spełniać instytucje płatnicze (ponieważ nie posiadają środków klientów, nie będą musiały tworzyć funduszy własnych i respektować wymogów ochrony tych środków), ale będą musieli mieć ubezpieczenie odpowiedzialności cywilnej - głosi komunikat CIR.
Projekt wprowadza także tzw. silne uwierzytelnienie użytkownika. Oznacza to, że aby zainicjować płatność konieczna będzie identyfikacja klienta za pomocą co najmniej dwóch niezależnych metod uwierzytelnienia, np. jednocześnie za pomocą kodu SMS i rozwiązań biometrycznych.
Zgodnie z projektem, dodaje CIR, „zobowiązano też dostawcę usług płatniczych do niezwłocznego zwrotu płatnikowi kwoty nieautoryzowanej transakcji”.
Płatnik nie będzie ponosił odpowiedzialności, w sytuacji gdy nie mógł sobie zdawać sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. Przyjęto, że w przypadku nieautoryzowanej transakcji płatniczej, płatnik będzie musiał zapłacić 50 euro (obecnie jest to 150 euro) - czytamy w komunikacie.
Projekt wprowadza także nowy podmiot uprawniony do świadczenia usług płatniczych - Małą Instytucję Płatniczą (MIP).
Chodzi o osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, mającą zdolność prawną, wpisaną do rejestru małych instytucji płatniczych, prowadzącą działalność polegającą na świadczeniu usług płatniczych. MIP będą mogły wykonywać swoją działalność wyłącznie w Polsce po uzyskaniu wpisu do rejestru małych instytucji płatniczych, prowadzonego przez Komisję Nadzoru Finansowego (w tym przypadku zastosowanie ma uproszczony tryb postępowania przed organem nadzoru). MIP będą mogły także prowadzić działalność gospodarczą inną niż świadczenie usług płatniczych. Wielkość obrotu realizowanego przez MIP nie będzie mogła przekroczyć 1,5 mln euro miesięcznie - głosi komunikat.
Nadzór nad działalnością MIP ma sprawować KNF.
Nowe przepisy przewidują także wysoki poziom bezpieczeństwa płatności. Jest to kluczowa kwestia dla wielu użytkowników usług płatniczych, a zwłaszcza konsumentów płacących za pośrednictwem internetu. Wszyscy dostawcy usług płatniczych, w tym banki, instytucje płatnicze lub TPP (Third Party Provider, czyli usługodawcy, którzy mogą świadczyć dwie nowe usługi: PIS i AIS), będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności - czytamy także w komunikacie.
Nowe przepisy mają obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw, choć w zastosowano jednak wiele okresów przejściowych, w większości wynikających bezpośrednio z zapisów dyrektywy.
Na podst. PAP