Dobiegają końca konsultacje na temat projektu standardów silnego uwierzytelniania na potrzeby dyrektywy PSD2 (Regulatory Technical Standards; RTS) ogłoszone przez Europejski Urząd Nadzoru Bankowego (EBA).

Dokument był wyczekiwany przez całą branżę technologii finansowych (fintech). Standardy mogą mieć bowiem bardzo istotny wpływ na modele biznesowe oraz rozwiązania technologiczne stosowane na rynku. Jedne z największych kontrowersji wzbudził zakres zastosowania silnego uwierzytelniania. Zgodnie z odpowiednim przepisem dyrektywy PSD2, który stanowi podstawę prawną do stosowania silnego uwierzytelniania, jest ono stosowane m.in. w sytuacji, w której płatnik inicjuje elektroniczną transakcję płatniczą. Zakres tego pojęcia budzi kontrowersje, co poniekąd przyznał sam EBA, podejmując pewne próby wyjaśnienia znaczenia tego terminu.

Pojęcie elektronicznych transakcji płatniczych nie jest zdefiniowane w PSD2. Należy przyjąć, że nie jest ono bynajmniej równoznaczne z pojęciem transakcji wykonywanych na odległość, co sugeruje zresztą art. 97 ust. 2 tej dyrektywy, który zdaje się zakładać, że elektroniczne transakcje płatnicze na odległość stanowią jedynie rodzaj elektronicznych transakcji płatniczych.

Wymóg silnego uwierzytelniania był tradycyjnie kojarzony jedynie z transakcjami dokonywanymi on-line. Tymczasem w świetle pojęcia elektronicznych transakcji płatniczych taka zawężająca interpretacja przestaje być oczywista. Wyjaśnienia EBA oraz treść projektu standardów również wskazują na to, że zawężanie pojęcia elektronicznych transakcji wyłącznie do transakcji on-line nie jest właściwe.

W związku z tym należy się zastanowić, do jakich rodzajów transakcji wymóg silnego uwierzytelniania będzie miał faktycznie zastosowanie. Treść PSD2 oraz RTS-y sugerują, że taki wymóg będzie co do zasady miał zastosowanie m.in. do transakcji dokonywanych kartami w tradycyjny sposób (nie w środowisku on-line). Wskazuje na to pośrednio jedno z wyłączeń, które zawarto w projekcie RTS-ów, a które dotyczy płatności kartami bezstykowymi do określonej wartości. Takie wyłączenie byłoby zapewne zbędne, gdybyśmy przyjmowali, że tradycyjne płatności kartami są wyjęte spoza zakresu silnego uwierzytelniania.

Jeszcze większe kontrowersje są związane z transakcjami inicjowanymi w oddziale banku. W realiach dzisiejszych systemów finansowych niemal każda transakcja ma charakter elektroniczny, różni się jedynie sposobem jej inicjacji. Interpretując pojęcie elektronicznej transakcji płatniczej w sposób ekstremalnie szeroki, można dojść do wniosku, że również przelew zlecany w oddziale banku za pomocą pisemnej dyspozycji jest poniekąd inicjowaniem elektronicznej transakcji płatniczej. Mając to na uwadze, wydaje się, że przyszłe RTS-y powinny w sposób bardziej precyzyjny wskazywać granicę znaczenia pojęciowego elektronicznej transakcji płatniczej, chociażby poprzez wprowadzenie dodatkowych wyjątków (np. wyłączenie wymogu silnego uwierzytelniania w przypadku osobistego inicjowania transakcji w pomieszczeniach dostawcy usług płatniczych przy uwierzytelnianiu dokonywanym przez pracownika dostawcy).

Należy jednocześnie zwrócić uwagę na to, że zarówno PSD2, jak i RTS-y różnicują wymogi w zakresie silnego uwierzytelniania w zależności od tego, czy transakcja odbywa się na odległość czy nie. Transakcje na odległość muszą być uwierzytelniane przy wykorzystaniu elementów dynamicznych, łączących transakcję z określoną kwotą oraz odbiorcą.