PSD2 direktiva (Revised Payment Service Directive) nedavno je stupila na snagu i donijela brojne promjene na europsko bankarsko tržište. Cilj direktive je uspostava jedinstvenog sustava novčanih transakcija, a obvezujuća je na teritoriju Europske unije i Europskog ekonomskog područja (European Economic Area – EEA ).
Međutim, riješimo odmah na početku jednu veliku dilemu – promjene se neće događati preko noći i prilagodba novom regulatornom okviru u nekim će se dijelovima, primjerice, u segmentu kartičnog poslovanja, odvijati postupno.
Otvaranje bankarskog tržišta i veća sigurnost za korisnike
Bankarska industrija već se neko vrijeme priprema za promjene koje će u konačnici imati veliku korist za sve korisnike i sudionike u platnom prometu. S jedne strane otvara se tržište, što znači da se može pojaviti bilo koja certificirana treća strana (TPP) i nuditi uslugu digitalnog bankarstva, iako sama nema licencu za bankarsko poslovanje. To će raditi spajanjem na banke putem izloženih tzv. API sučelja. Na taj način će se promovirati daleko veće korištenje financijskih digitalnih usluga u cijeloj Europi, a banke će u tome pružiti podršku. S druge strane, direktivom se klijentima povećava razina sigurnosti jer transakcije potpisuju na točno određen način, naravno digitalno, te će uskoro prilikom kupovine na internetu, kod plaćanja karticama biti prisutan jedan dodatni sigurnosni element, koji će sprječavati pojavljivanje sve prisutnijih prijevara. Dakle, povećava se razina sigurnosti, ali istovremeno dolazi i do otvaranja prema novim partnerima koji će sve to promovirati kroz svoje kanale. To mogu biti postojeći pružatelji internetskih usluga ili neki novi, koji će imati dobru ponudu za korisnike zbog čega će oni htjeti koristiti baš njihov servis.
Veći broj TPP-ova na hrvatskom tržištu očekujemo tek za godinu-dvije
Za razliku od Europe, gdje postoji dosta zainteresiranih TPP-ova, u Hrvatskoj to u ovom trenutku možda nije tako vidljivo. Međutim, kao i kod svake promjene, ništa se ne događa preko noći, već će se postupno događati s primjenom nove regulative. Očekujemo da će tijekom iduće dvije godine to postajati sve značajnije, a nekakvu veću promjenu očekujemo nakon toga. U ovom trenutku na hrvatskom tržištu svega je jedan certificirani TPP, a vjerujemo da ih je još nekoliko u postupku certifikacije. I sve banke imaju licencu za TPP, što znači da mogu jedna drugoj, odnosno svojim klijentima pružati uslugu prikaza računa iz druge banke, kao i zadavanja transakcija ne teret tog računa. Međutim, prave TPP-ove na tržištu vidjet ćemo tek u nadolazećih godinu-dvije.
Svaki TPP koji se registrira u jednoj od članica Europske unije, moći će obavljati svoju uslugu na području cijele unije. Središnja banka u bilo kojoj državi morat će provesti postupak licenciranja upravo zato da provjeri je li ta institucija ozbiljna, zadovoljava li sve kriterije sigurnosti, zakonske usklađenosti, adekvatnog portfelja i financijske stabilnosti, kako bi klijenti bili sigurni da se ne radi o nekim neozbiljnim tvrtkama.
Klijent sam odlučuje kome će dati pravo na raspolaganje njegovim podacima
Klijent će od strane TPP-a biti upoznat sa svim svojim pravima i obvezama i morat će TPP-u dati privolu da u njegovo ime pristupa računima gdje to klijent dopusti, da mu prikazuje to u njegovoj aplikaciji, odnosno da obavlja transakcije kroz tu aplikaciju. Isto tako, klijent će u svakom trenutku tu privolu moći otkazati. U tom slučaju TPP više neće imati pravo raspolagati njegovim podacima.
S druge strane, mi ćemo kao banka koja je dobila zahtjev TPP-a da za nekoga klijenta prikazuje uslugu, kroz digitalno izložen certifikat znati pita li nas to certificirani TPP i je li prethodno dobio privolu klijenta. Na taj ćemo način i mi biti sigurni da ne radimo ništa protivno volji klijenta, kao niti zakonskoj regulativi unutar koje se taj TPP nalazi.
PSD2 donosi i brojne promjene u korisničkom iskustvu
Kada govorimo o samim promjenama koje su klijenti već djelomično iskusili, možemo ih podijeliti u dvije dimenzije. Jedna je korištenje digitalnih kanala, poput mobilnog ili internetskog bankarstva, a drugo korištenje kartica prilikom plaćanja na internetu i fizičkim prodajnim mjestima.
Obje skupine klijenata svoju transakciju moraju dodatno potpisati. Neki su to i dosad već radili, poput pravnih osoba, ali i građana koji su potpisivali samo neke transakcije, one koje su izlazile iz postojećih limita za plaćanje bez potpisa. Važno je naglasiti da se ne uvodi nikakva dodatna autentikacija u smislu dodatnog uređaja ili softwarea, a klijenti će i dalje koristiti postojeći mtoken. Prilikom plaćanja će postojati neki izuzeci, primjerice za transakcije manjeg iznosa, do 200 kuna, i za transakcije koje klijenti od ranije rade, poput plaćanja računa za režije, koje će moći složiti na jednu svoju listu. Te transakcije klijenti neće morati potpisivati, jer se zna da se one rade svakog mjeseca i to na točno određeni broj računa. Sve ostale transakcije morat će se potpisivati korištenjem mtokena ili uz pomoć display kartice. Smatramo da to neće biti velika promjena niti lošije korisničko iskustvo, već dodatni sigurnosni element.
Vlastoručni potpis kao potvrda transakcije još uvijek moguć u prijelaznom razdoblju
I za klijente koji karticama plaćaju na internetu to će biti u potpunosti isti proces. Kod plaćanja kartica na fizičkim prodajnim mjestima, chip&pin postaje obavezan način autorizacije transakcija, kako za debitne kartice (a to je već bilo i dosad), tako i za kreditne kartice. Znači svi korisnici kreditnih kartica će od sada morati znati PIN svoje kreditne kartice jer potpis više neće biti potreban.
Međutim, uz važnu ogradu spomenutu na samom početku – cjelokupno kartično tržište, koje uključuje ne samo korisnika kartice i prodajno mjesto na kojem se kartica koristi, već i banke izdavatelje i prihvatitelje kartica (POS uređaji), postupno će se prilagođavati promjenama. Stoga će se u prijelaznom razdoblju i dalje događati situacije da će se transakcije kreditnim karticama na prodajnim mjestima potvrđivati vlastoručnim potpisom. Međutim, od trenutka kada korisnici kreditnih kartica dobiju svoju novu karticu, zajedno s novim pripadajućim PIN-om, novi način autorizacije postat će standard.
Više o svemu saznajte na .debug konferenciji 12. i 13. prosinca 2019.