Pozyskiwanie koncesji i zezwoleń /

Silne uwierzytelnianie – KNF dopuszcza okres przejściowy po 14 września 2019

W dniu 19 sierpnia 2019 roku Komisja Nadzoru Finansowego opublikowała stanowisko dotyczące Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (…) w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (dalej: Rozporządzenie).

Zgodnie z Rozporządzeniem począwszy od 14 września 2019 roku dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta (płatnika), w przypadku gdy klient:

  1. uzyskuje dostęp do swojego rachunku w trybie on-line (w szczególności tzw. e-bankowość poprzez przeglądarkę internetową lub aplikację mobilną),
  2. inicjuje elektroniczną transakcję płatniczą (w szczególności transakcję kartą płatniczą),
  3. przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

Zgodnie z ustawą o usługach płatniczych uwierzytelnianie silne to takie, które zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

  1. wiedza o czymś, o czym wie wyłącznie klient-płatnik (np. PIN, hasło wielorazowe),
  2. posiadanie czegoś, co posiada wyłącznie klient-płatnik (np. karta płatnicza, aplikacja mobilna),
  3. cechy charakterystyczne klienta-płatnika (np. cechy biometryczne, w tym odcisk palca)

Wspomniane wyżej elementy powinny stanowić integralną część procesu uwierzytelniania oraz być od siebie niezależne w taki sposób, że naruszenie jednego z elementów nie osłabia wiarygodności pozostałych. Zgodnie ze stanowiskiem Europejskiego Urzędu Nadzoru Bankowego (EUNB), przynajmniej dwa z zastosowanych elementów silnego uwierzytelnienia powinny należeć do różnych kategorii.

Co istotne dla dostawców, EUNB zezwolił krajowym regulatorom (w tym Komisji Nadzoru Finansowego, dalej: KNF) na stosowanie okresu przejściowego (to jest okresu po 14 września 2019 roku), w którym dostawcy usług płatniczych będą mieli dodatkowy czas na przeprowadzenie dostosowania metod uwierzytelniania i doprowadzenie ich do rozwiązań w pełni zgodnych z wymogami w zakresie silnego uwierzytelniania klienta.

KNF dopuszcza taki okres przejściowy w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych. Skorzystanie z okresu przejściowego wymaga zaproponowania KNF-owi przed dniem 14 września 2019 roku tzw. „planu migracji”, który musi następnie zostać zaakceptowany przez KNF. Na chwilę obecną nie jest znany maksymalny termin stosowania okresu przejściowego. Jego wyznaczenie leży w gestii EUNB i nastąpi prawdopodobnie po 14 września 2019 roku.

Zapraszamy do kontaktu z naszą Kancelarią, która oferuje usługi m.in. w zakresie:

  1. reprezentacji przed KNF,
  2. projektowania prawnych aspektów procesu uwierzytelniania klientów dostawców usług płatniczych.


Autor team leader DKP Legal Piotr Putyra
Skontaktuj się z naszym ekspertem
Napisz wiadomość: [email protected]
check full info of team member: Piotr Putyra

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48[email protected]
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48[email protected]
Flaga Polski.WROCŁAWPOLSKA
Swobodna 1
50-088 Wrocław
+48 61 853 56 48[email protected]
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74[email protected]
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48[email protected]