Finanțe

Directiva PSD2: Ce se schimbă la plățile cu cardul și aplicațiile de internet banking

Daniel Popescu16 Sep 2019 Leave a comment

Plățile cu cardul la comercianți au devenit mai sigure, iar operațiunile de bază legate de contul curent pot fi realizate și prin intermediul altor aplicații decât cea dezvoltată de banca ta. Acestea sunt cele mai importante noutăți legate de directiva PSD2 (nu, nu are nicio legătură cu partidul aflat în prezent la conducerea României), care a intrat în vigoare în Uniunea Europeană și, implicit, în România începând din 14 septembrie.

Cel mai probabil, ai primit deja o serie de notificări sau mail-uri de la unele servicii bancare sau non-bancare pe care le folosești prin care ești anunțat despre schimbările aduse de această directivă. Totuși, există câteva nuanțe importante cu privire la schimbările directivei PSD2, întrucât furnizorii de servicii au libertatea de a alege modul în care implementează noul regulament. Asta înseamnă că noile reguli decise de Uniunea Europeană pot fi aplicat diferit de furnizorii de servicii.

Ce este directiva PSD2?

În 25 noiembrie 2015, Parlamentul European și Consiliul European au emis directiva 2015/2366 cu privire la serviciile de plată de pe teritoriul Uniunii Europene, care modifică numeroase alte directive anterioare. În spațiul public, directiva este cunoscută sub numele Revised Directive on Payment Services (Directiva Revizuită pentru Servicii de Plăți), iar aceasta este a doua directivă care afectează direct serviciile de plată, de unde și acronimul PSD2.

Așa cum s-a întâmplat și în cazul GDPR-ului, Uniunea Europeană a permis furnizorilor de servicii să se alinieze la standardele directivei PSD2 într-un termen lung de timp. Astfel, PSD2 a avut ca termen final de adopție data de 14 septembrie 2019.

Textul integral al directivei PSD2 este disponibil inclusiv în limba română pe site-ul oficial al Uniunii Europene. Dacă ești curios, poți citi directiva aici, însă te avertizez că textul este lung, iar limbajul este dificil de parcurs din cauza noțiunilor complexe pe care le include. Dintre cele 116 articole pe care le include, doar câteva sunt cu adevărat importante pentru serviciile de plăți.

Ce se schimbă la plățile cu cardul

Directiva PSD2

Potrivit articolului 97(1) din directiva PSD2, furnizorii de plăți sunt obligați să folosească un sistem de autenficare puternic (Strong Customer Authentication – SCA) atunci când clientul își accesează online contul bancar, inițiază o plată electronică sau efectuează o acțiune printr-un canal al unui alt furnizor de servicii.

Între timp, articolul 4(30) definește SCA-ul drept o metodă de autentificare bazată pe două sau mai multe elemente de siguranță care au fost catalogate astfel:

  • ceva ce numai utilizatorul știe (exemple: cod PIN, parolă)
  • ceva ce numai utilizatorul are în posesie (exemple: cardul, laptopul, telefonul, ceasul cu care face tranzacția)
  • ceva ce confirmă identitatea utilizatorului (exemplu: CNP, recunoașterea amprentei sau funcția de recunoaștere facială)

Ideea din spatele acestei reguli este că, atunci când unul dintre elemente este compromis, celelalte elemente de siguranță împiedică efectuarea unor tranzacții de către alte persoane neautorizate.

Fiecare bancă are libertatea să aleagă condițiile impuse clienților pentru autorizarea plăților, atât timp cât respectă cele trei elemente de siguranță de mai sus. Până în prezent, doar două elemente de siguranță erau obligatorii, și anume parola și dispozitivul utilizat, iar băncile vor implementa în mod diferit elementul de siguranță referitor la identitatea utilizatorului.

De exemplu, ING Bank a anunțat că, în cazul plăților cu cardul pe internet, va solicita în plus și introducerea unui cod static format din ultimele 4 cifre ale codului numeric personal (CNP) sau ale numărului de pașaport (în cazul în care ți-ai făcut contul pe baza pașaportului). În schimb, Uber a anunțat că îți poate solicita ocazional să verifici din nou identitatea cu banca ta înainte de a putea plasa o comandă.

În plus, au fost modificate și excepțiile de la această regulă cu privire la plățile contactless. Până acum, orice tranzacție cu o valoare mai mică de 20 de euro (respectiv 100 de lei în România) putea fi efectuată fără introducerea PIN-ului.

Din 14 septembrie, pragul pentru tranzacții a crescut la 30 de euro în țările care folosesc moneda unică europeană, iar pentru România a rămas neschimbat la 100 de lei. Pe de altă parte, după fiecare 5 plăți contactless consecutive sub 100 de lei, următoarea plata contactless va trebui autorizată prin introducerea codului PIN.

Interesant este însă noile reguli pentru plățile contactless se aplică și în cazul plăților efectuate în aplicația de internet  banking a băncii, astfel că pentru 5 tranzacții consecutive mai mici de 100 lei nu mai trebuie să introduci suplimentar parola de acces pentru aplicație.

Ce se schimbă la aplicațiile de internet banking

O altă noutate majoră a directivei Uniunii Europene este că toate băncile sunt obligate să permită unor “furnizori de servicii de informare de cont” să folosească datele financiare ale clienților lor.

Știu că nu sună deloc sigur, dar nu este cazul să-ți faci griji. În primul rând, fiecare furnizor de acest fel este obligat să obțină o autorizație de la banca națională a țării în care are sediul central. În al doilea rând, fiecare furnizor este obligat să primească acordul tău direct pentru a obține acces la aceste date.

Ideea este că, prin noua directivă, poți să accesezi datele unui anumit cont bancar și prin intermediul aplicațiilor de mobile banking ale altor bănci sau ale unor aplicații independente. Concret, ca simplu exemplu fictiv, dacă ai conturi la 4 bănci vei putea să le accesezi pe toate din aceeași aplicație de mobile banking, fără să fii nevoit să te loghezi în aplicațiile individuale ale fiecărei bănci în parte.

În plus, vei putea inclusiv să folosești o aplicație independentă de mobile banking care să integreze datele conturilor de la toate băncile cu care lucrezi. Prin astfel de aplicații poți verifica soldul și tranzacțiile anterioare și poți face plăți din cont. Astfel, va fi mai ușor să-ți gestionezi banii, indiferent de numărul de bănci cu care lucrezi.

În prezent, singură bancă din România care oferă posibilitatea să accesezi datele conturilor pe care le ai la alte bănci este BRD, prin intermediul serviciului ContAll. Totuși, într-un timp relativ scurt, astfel de servicii vor fi oferite probabil de toate băncile majore și de numeroase alte aplicații independente pe care le putem încadra în categoria fintech.

Unele reguli nu se aplică

Deși termenul limită a fost stabilit pentru 14 septembrie 2019, Autoritatea Bancară Europeană a decis să extindă cu 60 de zile termenul pentru regulile referitoare la plățile contactless, adică până la jumătatea lunii noiembrie.

Cel mai probabil, acesta este și motivul pentru care numeroase bănci din România nu au comunicat încă alinierea la noile reguli introduse prin această directivă.

În plus, România este singura țară europeană care nu a transpus încă această directivă în legislația națională. Teoretic, acest lucru nu constituie o problemă majoră, întrucât băncile aplică aceste reguli la nivel european și, implicit, pe piața din România.

Singura problemă este că dezvoltatorii de aplicații din România nu au posibilitatea de a obține autorizație de la BNR pentru a oferi clienților acces la datele conturilor bancare pe care le au, astfel că sunt dezavantajați în concurența cu furnizorii de aplicații din afara României.

În concluzie, nouă directiva europeană impune plăți mai sigure cu cardul la comercianți, dar în același timp asta implică și un pas suplimentar pentru autorizarea plăților. Pe de altă parte, regula care obligă băncile să ofere acces la datele clienților va conduce la apariția a numeroase aplicații financiare de calitate cu care îți vei putea gestiona mai ușor banii.