W poniedziałek 19 sierpnia 2019 r., Komisja Nadzoru Finansowego wydała komunikat ws. zbliżającego się wejścia w życie obowiązku stosowania silnego uwierzytelnienia klienta przez dostawców usług płatniczych.
14 września 2019 r. wejdzie w życie przepis art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. 2011 Nr 199 poz. 1175, ze zm.), który nakłada na dostawców usług płatniczych obowiązek stosowania silnego uwierzytelnianie użytkownika, w przypadku gdy:
- uzyskuje dostęp do swojego rachunku w trybie on-line;
- inicjuje elektroniczną transakcję płatniczą;
- przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.
W przypadkach tych, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą (art. 32i ust. 2). Zgodnie z art. 2 pkt 26aa) ustawy, silne uwierzytelnienie przejawia się zastosowaniem co najmniej dwóch elementów należących do kategorii:
- wiedza o czymś, o czym wie wyłącznie użytkownik,
- posiadanie czegoś, co posiada wyłącznie użytkownik,
- cechy charakterystyczne użytkownika.
Jak informuje KNF, przykładem wiedzy o czymś jest PIN lub hasło wielorazowe; posiadania czegoś wyłącznie przez użytkownika jest karta płatnicza lub aplikacja w telefonie; a cechą charakterystyczną użytkownika: cechy biometryczne.
Europejski Urząd Nadzoru Bankowego wskazał, że wspomniane dwa elementy uwierzytelnienia powinny należeć do dwóch różnych ww. kategorii. Jednocześnie EUNB, a także Urząd KNF, stoją na stanowisku o niedostatecznym przygotowaniu dostawców do pełnego wdrożenia silnego uwierzytelniana przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym zwłaszcza w obszarze e-commerce. Dlatego też na zasadzie wyjątku, organy nadzorcze państw członkowskich UE mogą dopuścić dodatkowy na to okres, po 13 września.
Jak informuje w komunikacie KNF:
„Komisja Nadzoru Finansowego uznaje za dopuszczalne zastosowanie proponowanego przez EUNB rozwiązania w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych. Oznacza to, że wobec dostawców usług płatniczych, którzy przed 14 września 2019 r. zgłoszą Komisji Nadzoru Finansowego potrzebę zastosowania omawianego rozwiązania, a następnie przedstawią stosowny, uzgodniony z Komisją realny „plan migracji”, w okresie prawidłowej realizacji tego planu, nie będą stosowane inne środki nadzorcze związane z niestosowaniem silnego uwierzytelniania klienta. Podkreślić jednak należy, że nawet w takim przypadku ryzyko związane z niestosowaniem po 13 września 2019 r. silnego uwierzytelniania klienta zgodnego z przepisami Rozporządzenia w pełni obciąża zobowiązanych do tego dostawców usług płatniczych” (www.knf.gov.pl).
Autor: Portal Skarbiec.biz
