PSD2: Silne uwierzytelnianie

PSD2: Silne uwierzytelnianie
Krzysztof Wojdyło
Dobiegają końca konsultacje na temat projektu standardów silnego uwierzytelniania na potrzeby dyrektywy
PSD2 (Regulatory Technical Standards; RTS) ogłoszone
przez Europejski Urząd Nadzoru Bankowego (EBA).
Dokument był wyczekiwany przez całą branżę technologii finansowych (fintech). Standardy mogą mieć bowiem bardzo istotny wpływ na modele biznesowe oraz
rozwiązania technologiczne stosowane na rynku. Jedne
z największych kontrowersji wzbudził zakres zastosowania silnego uwierzytelniania. Zgodnie z odpowiednim
przepisem dyrektywy PSD2, który stanowi podstawę
prawną do stosowania silnego uwierzytelniania, jest
ono stosowane m.in. w sytuacji, w której płatnik inicjuje elektroniczną transakcję płatniczą. Zakres tego pojęcia budzi kontrowersje, co poniekąd przyznał sam EBA,
podejmując pewne próby wyjaśnienia znaczenia tego
terminu.
Pojęcie elektronicznych transakcji płatniczych nie jest
zdefiniowane w PSD2. Należy przyjąć, że nie jest ono
bynajmniej równoznaczne z pojęciem transakcji wykonywanych na odległość, co sugeruje zresztą art. 97
ust. 2 tej dyrektywy, który zdaje się zakładać, że elektroniczne transakcje płatnicze na odległość stanowią
jedynie rodzaj elektronicznych transakcji płatniczych.
Wymóg silnego uwierzytelniania był tradycyjnie kojarzony jedynie z transakcjami dokonywanymi on-line.
Tymczasem w świetle pojęcia elektronicznych transakcji płatniczych taka zawężająca interpretacja przestaje
być oczywista. Wyjaśnienia EBA oraz treść projektu
standardów również wskazują na to, że zawężanie pojęcia elektronicznych transakcji wyłącznie do transakcji
on-line nie jest właściwe.
W związku z tym należy się zastanowić, do jakich rodzajów transakcji wymóg silnego uwierzytelniania będzie miał faktycznie zastosowanie. Treść PSD2 oraz
RTS-y sugerują, że taki wymóg będzie co do zasady
miał zastosowanie m.in. do transakcji dokonywanych
kartami w tradycyjny sposób (nie w środowisku online). Wskazuje na to pośrednio jedno z wyłączeń, które zawarto w projekcie RTS-ów, a które dotyczy płatności kartami bezstykowymi do określonej wartości.
Takie wyłączenie byłoby zapewne zbędne, gdybyśmy
przyjmowali, że tradycyjne płatności kartami są wyjęte
spoza zakresu silnego uwierzytelniania.
Jeszcze większe kontrowersje są związane z transakcjami inicjowanymi w oddziale banku. W realiach dzisiejszych systemów finansowych niemal każda transakcja ma charakter elektroniczny, różni się jedynie sposobem jej inicjacji. Interpretując pojęcie elektronicznej
transakcji płatniczej w sposób ekstremalnie szeroki,
można dojść do wniosku, że również przelew zlecany
w oddziale banku za pomocą pisemnej dyspozycji jest
poniekąd inicjowaniem elektronicznej transakcji płatniczej. Mając to na uwadze, wydaje się, że przyszłe RTS-y
powinny w sposób bardziej precyzyjny wskazywać granicę znaczenia pojęciowego elektronicznej transakcji
płatniczej, chociażby poprzez wprowadzenie dodatkowych wyjątków (np. wyłączenie wymogu silnego uwierzytelniania w przypadku osobistego inicjowania transakcji w pomieszczeniach dostawcy usług płatniczych
przy uwierzytelnianiu dokonywanym przez pracownika
dostawcy).
Należy jednocześnie zwrócić uwagę na to, że zarówno
PSD2, jak i RTS-y różnicują wymogi w zakresie silnego
uwierzytelniania w zależności od tego, czy transakcja
odbywa się na odległość czy nie. Transakcje na odległość muszą być uwierzytelniane przy wykorzystaniu
elementów dynamicznych, łączących transakcję z określoną kwotą oraz odbiorcą.