Świadczenie usługi dostępu do informacji o rachunku w/g PSD2

A skoro dyrektywa PSD2 zbliża się i w mediach pojawiają się różne zapowiedzi — a ludzie się buntują, że państwo chce narzucić, żeby ktoś mógł w nasze pieniądze zaglądać — to dziś chyba dobry moment, żeby sklecić kilka akapitów o tym czym jest świadczenie usługi dostępu do informacji o rachunku?


Świadczenie usługi dostępu informacji rachunku

W serwisie transakcyjnym mBanku — tam gdzie jest podgląd stanów kont — pojawiły się dodatkowe „ptaszki”. Na razie tylko mBank, ale czuję, że lada dzień będzie można za pomocą jednego serwisu mieć dostęp — tylko w trybie podglądu! — do innych swoich rachunków


Zaczynając zatem od początku: usługa dostępu do informacji o rachunku (Account Information Service) to jeden z nowatorskich pomysłów wynikających z PSD2, która zakłada większą dostępność usług poprzez większą wzajemną otwartość instytucji finansowych. Jednym z takich obowiązków jest zagwarantowanie niedyskryminacyjnego dostępu do rachunku prowadzonego on-line poprzez przez infrastrukturę innej instytucji płatniczej.

Usługa dostępu do informacji o rachunku płatniczym jest jednym z rodzajów usług płatniczych, która polega na dostarczaniu skonsolidowanych informacji o innych rachunkach płatniczych, warunki jej świadczenia reguluje art. 67 dyrektywy PSD2 i art. 59s ustawy o usługach płatniczych i obejmuję one m.in.:

  • uzyskanie wyraźnej zgody użytkownika na uzyskanie dostępu do jego rachunku on-line;
  • taka zgoda taka musi być wyrażona przez klienta w sposób silnie uwierzytelniony w rozumieniu PSD2 (art. 32i ust. 5-6 uup), a indywidualne dane uwierzytelniające zabezpieczone przed ingerencją, zaś cała komunikacja prowadzona w sposób bezpieczny;
  • zaś usługodawca ma prawo uzyskać dostęp wyłącznie do danych dotyczących wskazanych przez klienta transakcji i rachunków płatniczych;
art. 3 ust. 6 ustawy o usługach płatniczych (Dz.U. z 2019 r. poz. 659)
Usługa dostępu do informacji o rachunku oznacza usługę on-line polegającą na dostarczaniu skonsolidowanych informacji dotyczących:

1) rachunku płatniczego użytkownika prowadzonego u innego dostawcy albo
2) rachunków płatniczych użytkownika prowadzonych u innego dostawcy albo u więcej niż jednego dostawcy.
  • użytkownik może korzystać z usługi AIS wyłącznie w sposób określony zawartą umową, podejmować wszelkie niezbędne środki w celu zabezpieczenia naruszenia bezpieczeństwa indywidualnych danych uwierzytelniających (art. 117e uup w zw. z art. 42 uup);
  • świadczący usługę nie może pozyskiwać innych informacji niż polegających na uzyskaniu zleconego przez użytkownika dostępu do rachunku;
  • bank prowadzący rachunek, do którego użytkownik pragnie uzyskać dostęp poprzez infrastrukturę innego usługodawcy, nie może traktować takich wniosków w sposób dyskryminujący, chyba że takie postępowanie jest uzasadnione obiektywnymi przyczynami (art. 59s ust. 3 pkt 2 uup), np. „z obiektywnie uzasadnionych i należycie udokumentowanych przyczyn związanych z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego przez takiego dostawcę” (art. 41 ust. 5 uup, art. 68 ust. 5 PSD2; nb. takie zdarzenie traktuje się jako „incydent” w rozumieniu dyrektywy);
  • co więcej zgody na taką usługę nie można uzależniać od zawarcia odrębnej umowy między bankiem, w którym prowadzimy nasz rachunek a samym AISP (art. 67 ust. 4 PSD2);
art. 59s ust. 1-2 uup
1. Użytkownik może korzystać z usługi dostępu do informacji o rachunku, chyba że rachunek płatniczy nie jest dostępny on-line.
2. Dostawca świadczący usługę dostępu do informacji o rachunku:
1) jest obowiązany świadczyć usługi wyłącznie na podstawie zgody użytkownika wyrażonej w sposób niebudzący wątpliwości;
2) jest obowiązany zapewnić, aby indywidualne dane uwierzytelniające nie były dostępne dla podmiotów innych niż użytkownik i dostawca prowadzący rachunek oraz aby były one przekazywane za pośrednictwem bezpiecznych i wydajnych kanałów;
3) w przypadku sesji komunikacyjnej — jest obowiązany identyfikować siebie wobec dostawcy prowadzącego rachunek na rzecz użytkownika oraz porozumiewać się z dostawcą prowadzącym rachunek i użytkownikiem w sposób bezpieczny, zgodnie z wymogami określonymi w przepisach rozporządzenia delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji;
4) może uzyskać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związanych z nimi transakcji płatniczych;
5) nie może żądać szczególnie chronionych danych dotyczących płatności związanych z rachunkami płatniczymi;
6) nie może używać, uzyskiwać ani przechowywać danych do celów innych niż wykonanie usługi dostępu do informacji o rachunku świadczonej na podstawie umowy z użytkownikiem lub zgody użytkownika.
  • świadczyć usługę dostępu do informacji o rachunku mogą m.in. banki — ale także dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku (Account Information Service Provider), którzy nie są (małą) instytucją płatniczą (art. 2 pkt 4f uup, art. 4 ust. 1 pkt 12 uup);
  • z racji nieco ograniczonego zakresu działalności AISP, ograniczony jest też katalog wymogów spoczywających na takim dostawcy, jednak musi on zawsze udzielić użytkownikowi pewnych informacji (np. o opłatach), w tym zakresie spoczywa na nim ciężar dowodu (art. 117e uup w zw. art. 18 uup i art. 23 uup)
  • działalność prowadzona przez AISP jest działalnością regulowaną, podmiot taki może ją podjąć pod warunkiem wpisu do rejestru prowadzonego przez KNF (art. 117a uup, art. 136c uup), co wiąże się z nadzorem i opłatami na koszty owego nadzoru;
  • AISP wpisany do rejestru KNF może prowadzić działalność w innych państwach EU na podstawie tzw. „jednego paszportu europejskiego” (art. 92 uup; „paszport” działa w obie strony, art. 96 uup);
  • dla jasności: prowadzenie działalności w zakresie świadczenia usług płatniczych — świadczenie usługi dostępu do informacji o rachunku jest jednym z rodzajów takiej usługi — bez wpisu do rejestru KNF jest przestępstwem, za które można zostać ukaranym grzywną do 5 mln złotych i karą pozbawienia wolności do lat 2, przy czym odpowiedzialność karną ponosi także osoba, która działa „w imieniu lub w interesie osoby” prowadzącej taką działalność (art. 150 uup).

Zamiast komentarza: od paru lat — od momentu komasacji MultiBanku z mBankiem — nie umiem zrozumieć powodów, dla których mBank nie potrafi połączyć kont w serwisie transakcyjnym klientów, którzy mieli rachunki w obu tych markach BRE. Powody są różne (ostatnio człowiek w placówce nawet nie postarał się o jakiekolwiek uzasadnienie), kiedyś słyszałem o tym, że byłyby trudności z powielonymi ID (sic!).
Tego PSD2 nie załatwi — ale jestem ciekaw jak bank, który nie umie poradzić sobie z chyba najprostszą sprawą, poradzi sobie z grubszymi?

12
Dodaj komentarz

avatar
4 Comment threads
8 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
sjs
Gość
sjs

Jak Alior przejął BPH to przejęte konta dostały nowe numery, stare jednak miały jeszcze działać przez dwa lata. I to było ok, tylko w którymś momencie okazało się, że wysłanie przelewu z Aliora na stary numer rachunku z BPH generowało incydent bezpieczeństwa i taki przelew szedł tydzień i wymagał kilku rozmów telefonicznych z pracownikami banku.

sjs
Gość
sjs

Ogólnie pomysł jest dobry. Teraz jak się chce wziąć kredyt to niektóre banki wymagają przekazania hasła (albo chociaż zalogowania się) na rachunek bankowy starającego się o kredyt.

RYBY
Gość
RYBY

dla jasności: prowadzenie działalności w zakresie świadczenia usług płatniczych — świadczenie usługi dostępu do informacji o rachunku jest jednym z rodzajów takiej usługi — jest przestępstwem,

Chyba zabrakło słów „bez zezwolenia KNF” ;-)

marcin
Gość
marcin

Odnośnie „mBank nie potrafi połączyć kont w serwisie transakcyjnym klientów, którzy mieli rachunki w obu tych markach BRE” – technicznie to operacja trywialna – natomiast jak przypuszczam można nakreślić bardzo wiele scenariuszy, kiedy takie przeniesienie mogłoby spowodować kłopoty w sensie prawnym/organizacyjnym/bezpieczeństwa. Np. sytuacje kiedy człowiek jest na każdym identyfikatorze pełnomocnikiem do różnych rachunków, albo ma pełnomocnictwa różne do swoich rachunków, albo jedno konto jest własne a drugie wspólne z małżonkiem – a w przypadku firm to samo do n-tej potęgi. Do tego rozbieżności danych na tych kontach (które miałyby być wzięte jako wzorcowe?), konta o których ludzie nie pamiętają, konta… Czytaj więcej »