A skoro dyrektywa PSD2 zbliża się i w mediach pojawiają się różne zapowiedzi — a ludzie się buntują, że państwo chce narzucić, żeby ktoś mógł w nasze pieniądze zaglądać — to dziś chyba dobry moment, żeby sklecić kilka akapitów o tym czym jest świadczenie usługi dostępu do informacji o rachunku?
Zaczynając zatem od początku: usługa dostępu do informacji o rachunku (Account Information Service) to jeden z nowatorskich pomysłów wynikających z PSD2, która zakłada większą dostępność usług poprzez większą wzajemną otwartość instytucji finansowych. Jednym z takich obowiązków jest zagwarantowanie niedyskryminacyjnego dostępu do rachunku prowadzonego on-line poprzez przez infrastrukturę innej instytucji płatniczej.
Usługa dostępu do informacji o rachunku płatniczym jest jednym z rodzajów usług płatniczych, która polega na dostarczaniu skonsolidowanych informacji o innych rachunkach płatniczych, warunki jej świadczenia reguluje art. 67 dyrektywy PSD2 i art. 59s ustawy o usługach płatniczych i obejmuję one m.in.:
- uzyskanie wyraźnej zgody użytkownika na uzyskanie dostępu do jego rachunku on-line;
- taka zgoda taka musi być wyrażona przez klienta w sposób silnie uwierzytelniony w rozumieniu PSD2 (art. 32i ust. 5-6 uup), a indywidualne dane uwierzytelniające zabezpieczone przed ingerencją, zaś cała komunikacja prowadzona w sposób bezpieczny;
- zaś usługodawca ma prawo uzyskać dostęp wyłącznie do danych dotyczących wskazanych przez klienta transakcji i rachunków płatniczych;
art. 3 ust. 6 ustawy o usługach płatniczych (Dz.U. z 2019 r. poz. 659)
Usługa dostępu do informacji o rachunku oznacza usługę on-line polegającą na dostarczaniu skonsolidowanych informacji dotyczących:
1) rachunku płatniczego użytkownika prowadzonego u innego dostawcy albo
2) rachunków płatniczych użytkownika prowadzonych u innego dostawcy albo u więcej niż jednego dostawcy.
- użytkownik może korzystać z usługi AIS wyłącznie w sposób określony zawartą umową, podejmować wszelkie niezbędne środki w celu zabezpieczenia naruszenia bezpieczeństwa indywidualnych danych uwierzytelniających (art. 117e uup w zw. z art. 42 uup);
- świadczący usługę nie może pozyskiwać innych informacji niż polegających na uzyskaniu zleconego przez użytkownika dostępu do rachunku;
- bank prowadzący rachunek, do którego użytkownik pragnie uzyskać dostęp poprzez infrastrukturę innego usługodawcy, nie może traktować takich wniosków w sposób dyskryminujący, chyba że takie postępowanie jest uzasadnione obiektywnymi przyczynami (art. 59s ust. 3 pkt 2 uup), np. „z obiektywnie uzasadnionych i należycie udokumentowanych przyczyn związanych z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego przez takiego dostawcę” (art. 41 ust. 5 uup, art. 68 ust. 5 PSD2; nb. takie zdarzenie traktuje się jako „incydent” w rozumieniu dyrektywy);
- co więcej zgody na taką usługę nie można uzależniać od zawarcia odrębnej umowy między bankiem, w którym prowadzimy nasz rachunek a samym AISP (art. 67 ust. 4 PSD2);
art. 59s ust. 1-2 uup
1. Użytkownik może korzystać z usługi dostępu do informacji o rachunku, chyba że rachunek płatniczy nie jest dostępny on-line.
2. Dostawca świadczący usługę dostępu do informacji o rachunku:
1) jest obowiązany świadczyć usługi wyłącznie na podstawie zgody użytkownika wyrażonej w sposób niebudzący wątpliwości;
2) jest obowiązany zapewnić, aby indywidualne dane uwierzytelniające nie były dostępne dla podmiotów innych niż użytkownik i dostawca prowadzący rachunek oraz aby były one przekazywane za pośrednictwem bezpiecznych i wydajnych kanałów;
3) w przypadku sesji komunikacyjnej — jest obowiązany identyfikować siebie wobec dostawcy prowadzącego rachunek na rzecz użytkownika oraz porozumiewać się z dostawcą prowadzącym rachunek i użytkownikiem w sposób bezpieczny, zgodnie z wymogami określonymi w przepisach rozporządzenia delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji;
4) może uzyskać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związanych z nimi transakcji płatniczych;
5) nie może żądać szczególnie chronionych danych dotyczących płatności związanych z rachunkami płatniczymi;
6) nie może używać, uzyskiwać ani przechowywać danych do celów innych niż wykonanie usługi dostępu do informacji o rachunku świadczonej na podstawie umowy z użytkownikiem lub zgody użytkownika.
- świadczyć usługę dostępu do informacji o rachunku mogą m.in. banki — ale także dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku (Account Information Service Provider), którzy nie są (małą) instytucją płatniczą (art. 2 pkt 4f uup, art. 4 ust. 1 pkt 12 uup);
- z racji nieco ograniczonego zakresu działalności AISP, ograniczony jest też katalog wymogów spoczywających na takim dostawcy, jednak musi on zawsze udzielić użytkownikowi pewnych informacji (np. o opłatach), w tym zakresie spoczywa na nim ciężar dowodu (art. 117e uup w zw. art. 18 uup i art. 23 uup)
- działalność prowadzona przez AISP jest działalnością regulowaną, podmiot taki może ją podjąć pod warunkiem wpisu do rejestru prowadzonego przez KNF (art. 117a uup, art. 136c uup), co wiąże się z nadzorem i opłatami na koszty owego nadzoru;
- AISP wpisany do rejestru KNF może prowadzić działalność w innych państwach EU na podstawie tzw. „jednego paszportu europejskiego” (art. 92 uup; „paszport” działa w obie strony, art. 96 uup);
- dla jasności: prowadzenie działalności w zakresie świadczenia usług płatniczych — świadczenie usługi dostępu do informacji o rachunku jest jednym z rodzajów takiej usługi — bez wpisu do rejestru KNF jest przestępstwem, za które można zostać ukaranym grzywną do 5 mln złotych i karą pozbawienia wolności do lat 2, przy czym odpowiedzialność karną ponosi także osoba, która działa „w imieniu lub w interesie osoby” prowadzącej taką działalność (art. 150 uup).
Zamiast komentarza: od paru lat — od momentu komasacji MultiBanku z mBankiem — nie umiem zrozumieć powodów, dla których mBank nie potrafi połączyć kont w serwisie transakcyjnym klientów, którzy mieli rachunki w obu tych markach BRE. Powody są różne (ostatnio człowiek w placówce nawet nie postarał się o jakiekolwiek uzasadnienie), kiedyś słyszałem o tym, że byłyby trudności z powielonymi ID (sic!).
Tego PSD2 nie załatwi — ale jestem ciekaw jak bank, który nie umie poradzić sobie z chyba najprostszą sprawą, poradzi sobie z grubszymi?