Trebuie sa recunosc ca am deschis emailul primit de la banca pe care o folosesc cel mai des, ING, doar pentru ca am vazut “Directiva PSD2” in subiectul mesajului. Mi-am inchipuit ca nu are nicio legatura cu partidul politic, ci mai degraba este vorba de transpunerea in legislatia romaneasca a vreunei directive europene.
Asa este, cu o intarziere de aproape doi ani de zile, incepand cu jumatatea lui septembrie 2019 intra in vigoare si local prevederile Payment Services Directive (directiva privind serviciile de plata), versiunea revizuita. Citind cateva articole pe aceasta tema am ajuns personal la concluzia ca, pe termen lung, vorbim de efecte benefice pentru sectorul financiar si implicit pentru utilizatori.
S-ar putea ca initial sa fie ceva confuzie, sa vedem si o serie de probleme noi, dar cred ca acest lucru este inevitabil de fiecare data cand se schimba lucruri in mod semnificativ, in orice domeniu. O sa incerc sa iti povestesc in continuare pe scurt ce am aflat despre directiva PSD2 si de ce cred ca este un pas important pentru institutiile financiare si pentru utilizatorii acestor servicii.
Ce este PSD2?
In mod traditional sectorul bancar este unul inchis, destul de lipsit de transparenta, motivul invocat cel mai des fiind cel al securitatii. Cred ca oricine este de acord cu asta cat timp banii iti sunt tinuti in siguranta. Expertii in securitate informatica insa iti vor spune ca acest concept de “security by obscurity” (securitate prin obscuritate) este unul care nu functioneaza in practica.
Directiva revizuita privind serviciile de plata are ca scop securizarea si mai buna a platilor online sau cu cardul, cresterea protectiei consumatorilor si in acelasi timp doreste sa ofere un imbold pentru inovatie in sectorul cu una din cele mai mari cresteri economice in ultimii ani, fintech. PSD2 incearca totodata sa ofere sanse egale tuturor jucatorilor din domeniul fintech, inclusiv pentru noii participanti.
Practic doua lucruri trebuie intelese: introducerea standardului Open Banking de comunicare intre institutii financiare si modificarea modului de autentificare in cazul platilor online si contactless.
Open Banking: ce inseamna mai exact si cum va functiona
Pana in prezent banca unde iti tii banii era singura care avea acces la datele tale, la banii tai, fiind cea care autoriza orice plata pe care o faceai. Prin Open Banking banca este acum obligata sa dea acces programatic altor institutii financiare la datele contului tau, dupa ce le vei autoriza accesul bineinteles.
Acestea pot chiar face plati in numele tau, la cererea ta, fara sa mai fie nevoie ca tu sa folosesti aplicatia de Internet Banking a bancii tale. Practic furnizorii terti de servicii financiare pe care i-ai autorizat vor trimite “ordinul de plata” la banca ta, unde tranzactia va fi validata ca si inainte. De fapt va fi validata putin mai bine, pentru ca directiva PSD2 introduce conceptul de SCS (Strong Customer Authentication – Autentificare sigura a clientului).
In ce consta SCS? Practic vorbim de cel putin doua metode de confirmare a fiecarei tranzactii, independente una de alta (parola, PIN, amprenta, recunoastere vocala, faciala, token fizic samd). Aceasta schema de verificare a tranzactiilor va fi obligatorie daca cel putin una din parti este localizata in Uniunea Europeana, pentru toate valutele oficiale, mai putin criptomonedele.
Nu doar atat, dar toate serviciile terte TPP (Third Party Payment Service Providers) sunt companii inregistrate la autoritatile competente. In cazul firmelor romanesti, acestea trebuie sa se regaseasca pe lista BNR sau pe listele de institutii comunicate de autoritatile din tarile membre UE catre BNR (finalul acestei pagini).
Cred ca mai ramane o singura intrebare foarte importanta: de ce ai autoriza alte servicii pentru acces la contul tau bancar?
Daca ai conturi la mai multe banci diferite probabil folosesti aplicatiile de banking ale acestor institutii. Nicio aplicatie nu este perfecta, dar cu siguranta ai una care iti place mai mult. De ce sa nu iti vezi situatia centralizata a conturilor, eventual si un raport cu cheltuielile lunare, toate sub aceeasi interfata?
Cu alte cuvinte, vei putea instala o aplicatie fintech pe telefonul mobil in care sa-ti poti vedea toate coonturile (cu tot cu tranzactii, sold, nu doar IBAN-ul), indiferent la ce banca sunt acestea, vei putea sa faci transferuri intre conturi, plati, etc. fara sa mai fie nevoie sa folosesti aplicatiile de Internet Banking aferente fiecarui cont.
Mie personal imi place interfata Revolut si as vrea sa am toate conturile vizibile in aceasta aplicatie. Nu doar pentru centralizarea informatiei, ci si pentru usurinta cu care pot face plati prietenilor, pentru rapoartele suplimentare si pentru serviciile extra oferite. Revolut este doar un exemplu, bineinteles, insa principiul ramane valabil.
Vei avea si posibilitatea de a retrage accestul acestor servicii terte oricand doresti si vei fi obligat sa ii reautorizezi la fiecare 90 de zile, daca vrei sa le dai acces in continuare.
Platile online dupa intrarea in vigoare a directivei PSD2
Odata cu intrarea in vigoare a directivei PSD2 se vor schimba putin si lucrurile in ceea ce priveste platile online cu cardul. Poti evita Open Banking complet, daca nu vrei sa oferi acces conturilor tale unor terte parti, dar de noile metode de autentificare a tranzactiilor online nu scapi.
Pana acum se folosea sistemul 3D Secure, care presupune confirmarea oricarei tranzactii prin introducerea unui cod unic primit prin SMS. De acum incolo mai apare un pas, adica un cod ce trebuie completat de tine. Acesta va fi format din ultimele patru cifre ale CNP-ului sau ultimele patru cifre ale numarului de pasaport, daca nu esti cetatean roman si deci nu ai CNP.
Schimbari importante si la platile contactless
Si platile contactless, categorie in care intra atat platile cu carduri contactless, cat si cele cu telefonul mobil, vor suferi modificari minore, dar obligatorii. La fiecare 5 plati contactless mai mici de 100 de lei sau 30 EUR fiecare va trebui sa introduci codul PIN pe POS. Pana acum pentru sume mici puteai face oricat de multe plati fara PIN, limitele putand fi de obicei modificate din contul tau de Internet Banking.
Cum destul de multe persoane sunt reticente la folosirea functiei contactless a cardurilor bancare, cred ca aceasta schimbare le va fi pe plac. Personal nu vad un inconvenient major in a confirma cu PIN-ul platile din magazin din cand in cand.
Cateva scenarii cu avantajele noii directive
Chiar daca in viitorul apropiat nu vad un impact major al directive PSD2 asupra serviciilor bancare locale, cred ca pe termen lung va fi impulsionata zona platilor, adica vor aparea modalitati mult mai rapide de a face plati catre prieteni sau pentru microplati.
Posibilitatea de a trimite rapid bani prin aplicatiile de mesagerie instanta exista de ceva timp pe afara, deci ma astept sa ajunga si la noi destul de rapid aceste functii. Autentificarea se va face rapid, biometric, mai ales ca majoritatea telefoanelor moderne vin cu senzori de amprenta sau cu autentificare faciala.
Pentru banci PSD2 reprezinta atat o oportunitate, cat si o problema pentru ca directiva permite intrarea pe piata a gigantilor precum Facebook, Amazon, Google, care abia asteapta sa aiba acces la datele despre cum iti cheltui banii, daca vei dori bineinteles sa le oferi acces.
Posibile probleme
Nu sunt expert in domeniul bancar sau in cel al securitatii informatice, dar cred ca introducerea inca unei parti in procesul de efectuare a platilor va ingreuna arbitrajul in cazul in care ceva merge prost, de frauda sau plati neautorizate. Banca poate da vina pe serviciul tert, acesta poate da vina pe banca, iar ambele pot da vina pe utilizator.
Nu zic ca se va intampla acest lucru, insa ma gandesc la situatia cumparaturilor din magazine online care sunt apoi livrate prin curier. Citind zecile de comentarii din articolul despre ANPC vezi destule probleme care apar cand sunt mai multe parti implicate.
In plus mai sunt si problemele legate de legislatia GDPR, pentru ca datele tale sensibile circula in si mai multe locuri. Toate acestea sunt lucruri care trebuie sa iti dea de gandit inainte de a autoriza accesul la conturile tale bancare.
Nu trebuie insa sa ne alarmam, ci sa lasam lucrurile sa evolueze, urmarind ce se intampla in continuare, dupa intrarea in vigoare a directivei PSD2. Consider ca daca esti corect informat nu ai de ce sa te temi, iar noi te vom tine la curent cu informatii legate de directiva prinvid serviciile de plata.