Kaj je PSD2?
Nova Direktiva o plačilnih storitvah na notranjem trgu (t. i. PSD2), ki je bila sprejeta na ravni Evropske unije. Glavni cilj Direktive je izboljšanje varnosti plačil in večja zaščita uporabnikov plačilnih storitev, hkrati pa med ponudniki plačilnih storitev spodbuja konkurenco in inovativnost v finančnem okolju. Republika Slovenija je Direktivo PSD2 v svoj pravni red implementirala s sprejetjem novega Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) v začetku leta 2018.
Ključne novosti, ki jih prinaša PSD2:
Močna avtentikacija strank (angl.: Strong Customer Authentication, Dynamic Linking): ob dostopih do plačilnih računov preko interneta, tudi mobilnih aplikacij, je obvezna močna avtentikacija uporabnika pri kateri uporabnik uporaba dva neodvisna elementa, ki spadata v dve od navedenih kategorij: znanja (nekaj kar uporabnik ve), lastništva (nekaj kar uporabnik ima) in inherence (nekaj kar uporabnik je), katerih rezultat je ustvarjanje šifre za avtentikacijo za dostop do plačilnega računa; primeroma to pomeni uporaba strojnega ali programskega generatorja oziroma kvalificiranega digitalnega potrdila in osebnega gesla PIN. Za stranke Addiko Bank d.d. to ne prinaša sprememb, saj to storitev zagotavljamo že danes.
S 01. 01. 2021 vstopijo v veljavo nova pravila pri avtentikaciji (potrjevanju/avtoriziranju) transakcij pri spletnih trgovcih, ki uporabljajo storitev Mastercard® SecureCodeTM ali Mastercard® Identity CheckTM. Plačila pri teh spletnih trgovcih bomo potrjevali z uporabo močne avtentikacije (angl.: Strong Customer Authentication oziroma s kratico SCA).
Dinamično povezovanje (angl.: Dynamic Linking): ob odreditvi posamezne elektronske plačilne transakcije ali več plačil hkrati oziroma ob kreiranju predloge za hitra plačila mora biti ta korak izveden tako, da se za potrditev plačila uporabi enolična šifra, ki ustreza samo temu koraku, razen v primeru izjem (npr. plačila majhnih vrednosti, plačilo iz predloge in podobno). V Addiko Bank d.d. za ta postopek v spletni banki za občane uporabljamo dodatno šifro, ki jo uporabnik prejme s sporočilom SMS na registrirano mobilno številko, ta način je odslej obvezen. Za uporabnike mobilne banke za občane je tovrstna zahteva novost, pri čemer se zaradi dodatnih varnostnih ukrepov, ki so opisani spodaj, uporabniška izkušnja ne bo bistveno spremenila.
Zagotavljanje varnosti na večnamenskih napravah: pomembna novost je zahteva, da mora banka dodatne varnostne ukrepe zagotavljati na večnamenskih napravah, kot so mobilni telefoni in tablice. Na tak način se omejijo varnostna tveganja, ki izhajajo iz tega, da se vsi postopki odvijajo samo na eni napravi. Med najbolj pomembne ukrepe sodijo zaznava škodljivega programja in skrbniških pravic na napravah, ko mora banka varnostna tveganja (npr. delno ali v celoti onemogočiti uporabo mobilne banke na taki napravi).
Storitev odreditve plačil (angl.: Payment initiation services – PIS): Ponudnik storitev odreditve plačil na zahtevo plačnika odredi plačilno transakcijo in sicer v breme plačilnega računa plačnika, ki je dostopen preko interneta in ga ima plačnik odprtega pri drugem ponudniku plačilnih storitev (npr. banki). Ponudniki storitve odreditve plačil lahko ob izrecni in nedvoumni privolitvi uporabnika dostopajo do podatkov o njegovem plačilnem računu zaradi omogočanja plačevanja preko interneta (najpogosteje v okviru spletnega nakupovanja), pri čemer ponudniki teh storitev nikdar ne posedujejo sredstev plačnika oziroma uporabnika.
Storitev zagotavljanja informacij o računih (angl.: Account information services – AIS): Ponudnik storitev zagotavljanja informacij o računih uporabniku plačilnih storitev na njegovo zahtevo v strnjeni in uporabniku prijazni obliki zagotovi podatke o enem ali več plačilnih računih, ki jih ima pri enem ali več ponudnikih plačilnih storitev, ki vodijo račune, dostopne preko interneta. Namen na trgu že prisotnih oblik tovrstnih storitev je ponuditi uporabniku podporo pri upravljanju osebnih financ. Ponudnik lahko tovrstne storitve opravlja le z dostopom do podatkov na uporabnikovem plačilnem računu, zato mu mora uporabnik tak dostop izrecno in nedvoumno dovoliti.
V primerih, ko neodobrena plačilna transakcija ni posledica prevare, naklepnega ravnanja oziroma malomarnosti uporabnika, boste uporabniki po novem za neodobrene plačilne transakcije odgovorni do največ 50 EUR (prej 150 EUR), če je bil vaš plačilni instrument ukraden ali izgubljen oziroma zlorabljen.
Sredstva, ki jih prejmete na svoj račun po pomoti, lahko banka z vašim soglasjem vrne plačniku. V primerih, ko boste menili, da nakazilo ni bilo opravljeno po pomoti, pa bomo lahko vaše osebne podatke brez vašega izrecnega in vnaprejšnjega soglasja posredovali plačnikovemu ponudniku plačilnih storitev, da bo lahko z vami stopil v stik neposredno. Novi zakon bo namreč zahteval sodelovanje med ponudniki plačilnih storitev, tudi v obliki izmenjave informacij med ponudniki.
V skladu s pričetkom veljavnosti zahteve iz Uredbe (EU) 2019/518 bomo v drugi polovici aprila 2021 v Addiko banki preko sporočil SMS uporabnike kartic po vsaki izvedeni transakciji začeli obveščati o pribitku na referenčni tečaj Evropske centralne banke (ECB) za opravljene kartične transakcije na bankomatu ali prodajnem mestu. Sporočilo SMS bo poslano za transakcije, kjer se izvaja valutna konverzija v katerikoli valuti držav EGP, kjer evro ni domača valuta (to so Bolgarija, Češka, Danska, Hrvaška, Islandija, Lihtenštajn, Madžarska, Norveška, Poljska, Romunija in Švedska).
V Addiko banki obveznosti iz naslova poslovanja s kartico, ki so nastale v tujih valutah, preračunamo po menjalnem tečaju, ki ga določi mednarodni sistem Mastercard.
Previdnost pri posredovanju dovoljenja za dostop do finančnih podatkov licenciranim ponudnikom storitev (angl.: TPP – third party providers):
Storitvi Odreditve plačil in Zagotavljanja informacij o računih bomo lahko uporabnikom nudili že obstoječi ponudniki plačilnih storitev (banke, družbe za izdajo elektronskega denarja in plačilne institucije). Na vašo izrecno zahtevo pa bomo banke morale omogočiti dostop do vaših podatkov tretjim osebam oziroma tudi novim licenciranim ponudnikom storitev (angl.: TPP – third party providers), ki pa bodo morali za opravljanje storitev odreditve plačil (PIS) in zagotavljanja informacij o računih (AIS) pridobiti dovoljenje lokalnega nadzornega organa, ki vodi tudi register TPP.
Obvladovanje operativnih in varnostnih tveganj:
Pri sprejetju odločitve, s katero boste dovolili dostop do podatkov vašega računa in transakcij, se je potrebno zavedati in poučiti, kako so vaši zaupni podatki pri tem zaščiteni. Z varnostnega vidika je pomembno, da ponudnik, ki mu boste dovolili dostop do vaših podatkov, sledi najvišjim standardom varnosti z uporabo sistemov za preprečevanje tveganj. Pomembno je zavedanje uporabnikov, da razkrivanje vaših bančnih podatkov tretjim osebam (med vaše bančne podatke spadajo tudi vaša gesla, PIN-i in drugi podatki, ki jih uporabljate za dostop do bančnih storitev), prinaša povečano tveganje zlorabe. Če se boste odločili za uporabo storitev TPP, je pomembno, da se najprej prepričate, ali ima ta ponudnik ustrezno licenco lokalnih nadzornih organov, ki bo predvidoma na njihovih spletnih straneh tudi objavil register TPP. Hkrati bodite pozorni tudi na varnostne ukrepe, s katerimi TPP zagotavlja dostop do vaših plačilnih računov. Želimo, da se zavedate, da banka ne sme neutemeljeno ovirati TPP pri dostopanju do vaših računov, vendar lahko TPP pridobiva informacije o vaših računih in v vašem imenu odreja plačilne transakcije le, če je za to prejel vaše izrecno soglasje. O vsakršnih zlorabah ali neodobrenih plačilnih transakcijah nas morate obvestiti takoj, ko je mogoče.
Spremenjeni splošni pogoji poslovanja
Na koncu vas želimo obvestiti še o tem, da bo banka v zvezi z zgornjimi novostmi spremenila tudi svoje splošne pogoje poslovanja. Splošni pogoji poslovanja bodo v delu, ki se nanaša na novosti PSD2, začeli veljati takoj, ko bo v veljavo stopil novi ZPlaSSIED.
Ste tretji ponudnik plačilnih storitev? Do testnega okolja lahko dostopate preko te povezave.