PSD2 (Diretiva de Serviços de Pagamento 2) diz respeito aos serviços de pagamento no mercado interno. Ele ajusta a lei às mudanças que ocorrem no mercado de pagamento de varejo (por exemplo, o surgimento de novos tipos de serviços de pagamento, pagamentos por meio de dispositivos móveis).
O PSD2 afetará as atividades de bancos, instituições de pagamento, operadoras de lojas e cartões de combustível, operadoras de caixas eletrônicos independentes e outros provedores de serviços de pagamento.
O que muda o PSD2? Banco aberto, transações mais seguras
Graças à diretriz, uma nova categoria de prestadores de serviços de pagamento aparecerá no mercado, os chamados terceiros denominados TPP (Terceiros Provedores). Estas entidades poderão prestar três tipos de serviços: AIS (serviço de informação de conta, ou seja, descarregar informação sobre as contas bancárias do cliente num ou mais bancos. O segundo serviço é o PIS (serviço de iniciação de pagamento), ou seja, iniciação de pagamento, sob o qual um o terceiro fará o pedido em nome da transferência para outra conta e, no âmbito do CAF (Confirmação da Disponibilidade de Fundos), um terceiro verificará se o cliente tem fundos suficientes na conta para poder fazer uma determinada transferência.
A lista de entidades TPP será fornecida pela Autoridade de Supervisão Financeira da Polônia.
Outra mudança diz respeito à segurança das transações na internet. Os bancos serão obrigados a realizar um procedimento de autenticação forte, a fim de garantir a confidencialidade dos dados e verificar a identidade da pessoa que realiza a transação. Isso força os bancos a alterar a forma como as transferências são feitas.
A diretriz PSD2 irá expandir o mercado de serviços de pagamento para incluir pequenos provedores que operam em pequena escala. Essas entidades poderão operar legalmente no mercado com base em uma inscrição no registro da PFSA, mas com certas restrições. Eles não terão permissão para aceitar de clientes acima 2 mil euros, realizar atividades fora da Polónia e fornecer serviços que requeiram acesso a uma conta.
Os regulamentos PSD2 limitam a responsabilidade dos clientes por transações não autorizadas, ou seja, aqueles que foram feitos sem o seu consentimento, por exemplo, por meio de um cartão de débito ou um dispositivo móvel. Os prestadores de serviços de pagamento (por exemplo, bancos) serão responsáveis por eles. Se o cliente relatar uma transação não autorizada, o banco será obrigado a reembolsar imediatamente o valor da transação (que foi feita sem o consentimento do pagador com ou sem o uso de um instrumento de pagamento).
Como os bancos implementam o PSD2? [lista]
PKO BP
Em conexão com PSD2, PKO Bank Polski preparou mudanças relacionadas à segurança na área de internet banking iPKO. É um login de duas etapas com autorização IKO móvel (esta solução pode ser usada por clientes PKO Bank Polski hoje) e uma confirmação adicional com uma ferramenta de autorização para acesso ao histórico de transações com mais de 90 dias – o lançamento ocorrerá em setembro.
O Banco já lançou uma campanha de informação aos clientes: via e-mail e mensagens nos sites de transação e nas páginas dos sites PKO Bank Polski e Inteligo.
Pekao SA
Em 14 de agosto, o Banco Pekao retirou os métodos de autorização que eram inconsistentes com os princípios de autenticação forte (incluindo um cartão de código único e um token). Métodos de autorização baseados em códigos SMS e mensagens push geradas pelo aplicativo PeoPay foram deixados.
No caso de acesso a informações sobre a conta (login no banco eletrônico), o Banco Pekao exigirá pelo menos a cada 90 dias o fornecimento de um código SMS ou um código gerado pelo aplicativo PeoPay. O cliente também terá que inserir o código ao entrar no histórico de operações com mais de 90 dias ou ao fazer uma transação de pagamento. No caso de uma necessidade de autenticação forte ao efetuar login via PeoPay, o cliente será solicitado a inserir o PIN, mesmo no caso de efetuar login com biometria. A autorização forte não será coberta, por exemplo, transferências entre contas próprias ou transferências para coleções definidas.
Uma autenticação forte do cliente também será necessária ao usar serviços oferecidos por terceiros (TPP).
Pekao está realizando uma campanha de informação sobre a implementação do PSD2. Os clientes que utilizam os métodos de autorização retirada são sistematicamente informados sobre a necessidade de alterar o método de autorização para um que cumpra os princípios de autenticação forte através de mensagens em banca online e móvel, mensagens SMS, IVR, mensagens de voz, bem como pelos funcionários das sucursais. Além disso, as mudanças são comunicadas na página inicial do banco.
Banco BNP Paribas
O banco ainda não fornece informações detalhadas sobre a implementação do PSD2. Eles serão anunciados em setembro. Um site dedicado será criado para fins de atividades de informação.
Eurobank
As alterações incidirão sobre o método de login no serviço online eurobank. Os clientes devem estar preparados para a necessidade de utilizar um método de autorização adicional – além do identificador e da senha, o banco exigirá uma senha SMS, um token GSM ou o uso de autorização móvel. Do aplicativo móvel eurobank 2.0 a possibilidade de ativar o aplicativo móvel eurobank será retirada 1.0 e ativação do token GSM. Será necessária uma senha do serviço online eurobank em vez do número PESEL.
O banco passou a informar os clientes sobre as mudanças já em julho (mailing, cartas tradicionais). As mensagens apareceram no site e os clientes conectados ao banco on-line exibiram um painel de informações. O Eurobank também planeja enviar mensagens de texto lembrando sobre as mudanças planejadas e referindo-se à mensagem.
ING Bank Śląski
Os clientes do ING podem ser solicitados a inserir o código de autorização de um SMS ao fazer login no Moje ING. Além disso, o banco pode pedir ao cliente para inserir uma senha mascarada (5 caracteres selecionados).
O login no aplicativo móvel Moje ING pode ser feito em 3 formas: inserindo o número PIN no aplicativo, usando um identificador biométrico (impressão digital ou ID facial) ou uma combinação dos dois.
Cada vez que um usuário faz login, nosso sistema de segurança analisa instantaneamente a situação e avalia se uma autorização adicional é necessária.
Não haverá necessidade de confirmar cada login com dois fatores, será necessário SMS para alguns logins.
– Nunca usamos autorização móvel ao fazer o login e ainda não usamos. Também não usamos a lista de senhas de uso único para autorização e ainda não usamos – fomos informados pela assessoria de imprensa do ING Bank Śląski.
O Banco informa seus clientes sobre alterações no site e no sistema Moje ING.
Bank Millennium
Tal como no caso do BNP Paribas, o Millennium não informa sobre os planos de implementação do PSD2. O principal canal de comunicação com os clientes é o site do banco. Mensagens SMS foram enviadas desde julho. O banco planeja uma ampla campanha de divulgação também por meio do aplicativo, na linha direta e nas agências.
mBank
Os clientes do MBank, ao iniciarem sessão na sua conta na Internet, serão solicitados a efectuar uma autenticação adicional na forma de uma palavra-passe SMS ou autorização móvel. A segurança da transação também pode ser confirmada por dispositivos confiáveis (tablet, telefone), que devem ser adicionados no serviço de transação. O método de login no aplicativo móvel não mudará. As transações móveis podem ser aprovadas por meio de um aplicativo mBank Token separado.
mBank retirará a opção de autorizar transações com senhas de uso único após 14 de setembro. O assim chamado uma versão leve do site mBank.
A primeira onda de comunicação direta (por exemplo, push, SMS) alcançou os clientes do mBank no final de julho. O próximo está previsto para o início de setembro. Além disso, o mBank informará sobre as mudanças no site da transação e nas páginas iniciais.
Banco Santander Polska
Após inserir o login e a senha, o Santander solicitará ao cliente uma autenticação adicional. No Santander Internet, ou seja, banco online, a autenticação adicional (além da senha) será ferramentas padrão: token, código SMS, assinatura móvel e um novo dispositivo: dispositivo confiável (computador / tablet / laptop / telefone). A partir de agora, se o cliente fizer login usando um dispositivo confiável, não haverá necessidade de autenticação com outro fator adicional (smsCode, token ou assinatura móvel)
No aplicativo móvel do Santander, cada cliente que ainda não adicionou um smartphone ou tablet como dispositivo de confiança será solicitado para tal atividade. Em tal situação, ao fazer o login pela primeira vez (com confiança no dispositivo), solicitaremos autenticação adicional usando smsKod, token ou assinatura móvel.
No caso de pagamentos sem contato com cartões de pagamento, o cliente pode ser solicitado a inserir um PIN, mesmo para transações cujo valor seja inferior a 50 PLN.
O Santander também planeja começar a operar como TPP para que seus clientes possam agregar contas de outros bancos. – Isso significa que nos serviços de internet banking do Santander Bank Polska eles poderão adicionar suas contas de outros bancos. Você verá o saldo e o histórico de sua conta. Os clientes também poderão iniciar pagamentos de contas em outros bancos do nosso banco – o processo de pagamento será realizado pelo banco onde a conta é mantida – afirma Szymon Staśczak, responsável pela implementação comercial de PSDII no Banco Santander Polska, para Wirtualnemedia.pl.
O Santander Bank Polska começará a se comunicar com os clientes sobre as mudanças relacionadas à autenticação forte a partir de 19 de agosto. Será realizado via site, no celular e também por SMS.
