Legea care transpune PSD 2 este în sfârșit aici. Ce este specific pentru România?

În data de 13 noiembrie 2019, Legea nr. 209/2019 care transpune PSD 2* a fost publicată în Monitorul Oficial al României. Această reglementare, care vine după ce Comisia Europeană a început o procedură de infringement pentru transpunere întârziată, a fost îndelung așteptată de fintech-urile locale și va intra în vigoare în data de 13 decembrie 2019. Începând cu această dată prestatorii de servicii terți români (TPP) vor putea începe procesul de înregistrare la Banca Națională a României și prestatorii de servicii de plată vor avea 60 de zile pentru a asigura conformitatea contractelor aflate în derulare cu dispozițiile titlurilor III și IV din noua lege (care vizează cerințe de transparență, drepturi și obligații legate de serviciile de plată).

Așteptăm ca legislația secundară necesară pentru aplicarea în totalitate a PSD 2 să fie aprobată în perioada următoare de Banca Națională a României, astfel este de preconizat ca până în ianuarie 2020 România va avea o legislație în materia serviciilor de plată nouă și complet funcțională.

Legea nr. 209/2019 reflectă în principal prevederile din PSD 2 și creează în România un mediu de servicii de plată deschise. Prezentăm mai jos pe scurt principalele modificări aduse de Legea nr. 209/2019 cadrului național de plăți existent, dar și o serie de reglementări specifice României.

1. Domeniul de aplicare și excepțiile. Impactul asupra cardurilor de valoare emise de comercianți

Spre deosebire de legislația anterioară și în linie cu PSD 2, Legea nr. 209/2019, își extinde domeniul de aplicare pentru a include și tranzacțiile „one-leg” – i.e. operațiunile de plată în toate monedele în situația în care doar unul dintre prestatorii de servicii de plată este situat într-un stat membru, în ceea ce privește părțile din operațiunea de plată care sunt efectuate într-un stat membru.
În aceeași linie, domeniul de aplicare al excepțiilor a fost redus. De exemplu, excepția agentului comercial se va aplica acelor agenți comerciali implicați într-o tranzacție care acționează doar pe seama plătitorului sau doar pe seama beneficiarului plății și nu în interesul ambelor părți așa cum era posibil anterior.
În plus, excepția rețelei limitate a fost formulată de o manieră mai precisă astfel încât să descurajeze încercările de a profita de un limbaj imprecis și astfel să se eludeze obligațiile impuse de legislația serviciilor de plată. Legiuitorul român a mers mai departe în ceea ce privește excepția rețelei limitate și a prevăzut condiții suplimentare care ar putea avea impact asupra cardurilor de valoare emise de vânzători. Din fericire, legea include o serie de exemple de produse exceptate, cum ar fi cardurile emise de un comerciant, cardurile de combustibil, cardurile de membru, cardurile pentru transportul public, tichetele de parcare sau tichetele de masă.

Este important de menționat că și în acele cazuri în care excepția rețelei limitate se aplică, dacă valoarea totală a operațiunilor de plată în ultimele 12 luni a depășit un milion de euro, opinia Băncii Naționale a României trebuie solicitată cu privire la aplicarea în continuare a excepției.

2. Noi jucători pe piața serviciilor de plată

În ceea ce privește activitatea TPP-urilor, Legea nr. 209/2019 respectă liniile directoare ale PSD 2 cu minime diferențe. Trei tipuri de TPP-uri sunt reglementate:

• PISP - prestator de servicii de plată care inițiază a unui ordin de plată la cererea utilizatorului serviciilor de plată cu privire la un cont de plăți deținut la un alt prestator de servicii de plată. 

Din punct de vedere practic, PISP-urile pot simplifica tranzacțiile prin eliminarea cât mai multor intermediari în procesul de autorizare a plăților și astfel să devină o alternativă pentru tradiționalele carduri de debit sau de credit. De exemplu, în cazul tranzacțiilor de tip comerț electronic, un PISP poate iniția direct un transfer bancar din contul plătitorului în cel al comerciantului.

• AISP - prestator de servicii de plată care furnizează informații consolidate în legătură cu unul sau mai multe conturi de plăți deținute de utilizatorul serviciilor de plată la alt prestator de servicii de plată sau la mai mulţi prestatori de servicii de plată.

În alte cuvinte, AISP-urile sunt agregatori de informație care furnizează date consolidate cu privire la unu sau mai multe conturi deținute de utilizatori la una sau mai multe bănci diferite.

• CBPII - prestator de servicii de plată care emite instrumente de plată bazate pe card.

Scopul CBPII-urilor este să emită instrumente de plată pe bază de card pentru a executa operațiuni de plată dintr-un cont deținut de utilizatorul serviciilor de plată la o bancă (cont care nu este administrat de CBPII).

3. Împărțirea răspunderii atunci când PISP-urile procesează tranzacții

Urmând registrul impus de PSD 2, Legea nr. 209/2019 prevede că în cazul operațiunilor de plată inițiate de un PISP care sunt neexecutate sau incorect executate, banca este cea care despăgubește utilizatorul serviciilor de plată. Ulterior, banca poate fi compensată de către PISP în cazul în care acesta este responsabil de prejudiciu.

Legea nr. 209/2019 nu oferă clarificări suplimentare cu privire la răspundere sau soluționarea disputelor între TPP-uri și bănci. Acest lucru ar putea pune probleme în practică din moment ce, în cazul aproape de neevitat al unui litigiu, instanțele române vor avea o experiență redusă în ceea ce privește întrepătrunderea aspectelor tehnice cu cele de răspundere. Pentru a minimiza aceste riscuri și incertitudini, TPP-urile și băncile pot recurge la înțelegeri contractuale în care să detalieze regimul răspunderii. Cu toate acestea, subiectul stabilirii și împărțirii răspunderii va rămâne de actualitate pe măsură ce practica pieței se va cristaliza.

4. Autentificarea strictă a clienților

În concordanță cu PSD 2 și cu scopul de a asigura o mai bună securitate a operațiunilor de plată, Legea nr. 209/2019 introduce autentificarea strictă a clienților (SCA) care presupune utilizarea a două sau mai multe elemente care sunt incluse în categoria:

• cunoștințelor (ceva ce doar utilizatorul cunoaște) cum ar fi parolă, PIN, întrebări bazate pe cunoștințe, fraze de acces sau modele de swiping path.
• posesiei (ceva ce doar utilizatorul posedă) cum ar fi dispozitive evidențiate de o parolă de unică folosință (OTP) generată de sau primită pe un dispozitiv (generator token de tip hardware sau software, SMS OTP) sau carduri evidențiate de un cititor de carduri;
• inerenței (ceva ce utilizatorul este) cum ar fi scanarea amprentei, recunoaștere vocală, scanarea retinei sau a irisului și chiar dinamica tastării sau unghiul în care dispozitivul este ținut.

5. Dificultăți în implementarea autentificării stricte a clienților în comerțul electronic 

Autoritatea Bancară Europeană (EBA), autoritatea care supervizează implementarea SCA la nivelul Uniunii Europene, a recunoscut dificultățile tehnice cu privire la implementarea unei soluții SCA pentru tranzacțiile cu cardul din comerțul electronic și le-a permis prestatorilor de servicii de plată să pregătească planuri de migrare care ar trebui implementate până la 31 decembrie 2020. Cu toate acestea, EBA a dorit să menționeze că pe parcursul acestei perioade, prestatorii de servicii de plată vor răspunde în continuare pentru tranzacțiile neautorizate în cazul în care SCA nu este aplicată în mod corespunzător.
În baza indicațiilor EBA, este de așteptat ca Banca Națională a României să colaboreze cu toate părțile interesate pentru a superviza și a obține implementarea planurilor de migrare până la termenul propus.
*Directiva 2015/2366 a Parlamentului European și a Consiliului privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE