PSD2 to umowny skrót, którym powszechnie określamy uchwaloną przez Parlament Europejski Dyrektywę o usługach płatniczych (Payment Services Directive 2). Reguluje i ujednolica rynek usług płatniczych na terenie Europejskiego Obszaru Gospodarczego (kraje UE oraz Norwegii, Islandii i Liechtensteinu). Do prawa krajowego wprowadza ją Ustawa z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw.

• Z PSD2 wkraczamy w erę tzw. otwartej bankowości. Konta Twojej firmy i dane o nich będą dostępne dla zewnętrznych podmiotów (banków, fintechów, serwisów płatniczych określanych jako TPP, Third Party Providers). Oczywiście za Twoją zgodą. To już się dzieje - np. jeśli kupujesz przez internet, prawdopodobnie często płacisz szybkim przelewem, tzw. pay-by-link. Operator płatności internetowych inicjuje zapłatę i kieruje Cię do wybranego banku, gdzie tylko potwierdzasz przelew, prawda?
• Wzrośnie bezpieczeństwo pieniędzy Twojej firmy oraz płatności, które robisz w internecie i kartami płatniczymi
• Nowy standard ochrony konsumentów i firm

Przepisy Dyrektywy PSD2 tworzą zupełnie nowy obszar funkcjonowania rynku usług płatniczych. Banki będą miały obowiązek zapewnić dostęp do kont zewnętrznym podmiotom (innym bankom, fintechom, serwisom płatniczym), określanym jako TPP - Third Party Providers). Dostęp ten będzie możliwy tylko i wyłącznie za zgodą właściciela konta.

• Tak, Twoje dane będą chronione przez najnowsze technologie i najwyższe standardy bezpieczeństwa. 
• Tylko od Ciebie zależeć będzie, kto będzie mógł skorzystać z Twoich danych (bank czy inne TPP) i w jakim zakresie. Upewnij się, że dobrze rozumiesz treści, które akceptujesz. W każdej chwili możesz odebrać zewnętrznemu dostawcy usług (TPP) dostęp do informacji o Twoich kontach bankowych

Dostawca trzeci (TPP, Third Party Provider) to bank lub inna firma, która uzyska zgodę organu nadzoru na świadczenie nowych usług. TPP będzie mógł:

• pobierać informacje o koncie Twojej firmy (tzw. usługa AIS - Account Information Service).
• inicjować płatności na konta kontrahentów w imieniu Twojej firmy (tzw. PIS - Payment Initiation Service). Będzie to działać na podobnej zasadzie jak dzisiejsze płatności szybkim przelewem w sklepach internetowych (tzw. pay-by-link).
• potwierdzać wskazanej przez Ciebie firmie dostępność środków na koncie płatniczym (tzw. CAF - Confirmation of the Availability of Funds).

TPP będą mogły pobierać informacje o kontach Twojej firmy w jednym lub wielu bankach.

Każdy użytkownik, w zakresie nadanych mu w ING Business uprawnień. Do dostawcy zewnętrznego (TPP) nie prześlemy więcej danych niż te, do których sam masz dostęp w ING Business w ramach Twoich uprawnień.

Pamiętaj, że to Ty decydujesz, które dane przekazać (np. które konta i statusy transakcji).

Aby udzielić zgody, zostaniesz zawsze przekierowany przez TPP do ING Business, gdzie przy pomocy silnego uwierzytelnienia potwierdzisz zakres udzielonej zgody (np. jakie konta i statusy transakcji chcesz przekazać do dostawcy zewnętrznego - TPP). Upewnij się, że dobrze rozumiesz treści, które akceptujesz. I pamiętaj, że u dostawcy zewnętrznego (TPP) możesz odwołać wcześniej udzielone zgody.

Jako bank zadbaliśmy o odpowiedni, bezpieczny standard przekazywania danych poprzez tzw. API. API to specjalnie przygotowane oprogramowanie, które pozwala korzystać z danych dotyczących kont narzędziom z zewnątrz. Oczywiście po weryfikacji uprawnień i spełnieniu wymagań bezpiecznej komunikacji. Wymagania te są wspólne dla wszystkich banków i ściśle określone przepisami.

Specyfikacja interfejsu wraz ze szczegółowym opisem jest dostępna w ramach tzw. portalu deweloperskiego. Serwis dostępny jest pod adresem: https://devportal.ing.pl/

Za pośrednictwem dostawcy zewnętrznego możesz inicjować:

• Przelewy krajowe
• Przelewy zagraniczne
• Przelewy do Organu Podatkowego/ Izby Celnej
• Zlecenia stałe

Przy inicjacji płatności (tzw. usługa PIS - Payment Initiation Service) zawsze sprawdzamy zakres uprawnień. Nie zainicjujesz płatności z konta, do którego nie masz pełnych uprawnień. Musisz także mieć uprawnienia do jednoosobowej akceptacji zleceń.

Od 14 września podczas logowania do potwierdzania Twojej tożsamości i autoryzacji transakcji będziemy wykorzystywać zawsze 2 z 3 możliwych elementów:

• coś, co wiesz tylko Ty (element wiedzy) – np. hasło albo kod PIN
• coś, co masz (element posiadania) – np. telefon lub karta płatnicza
• coś, czym jesteś (element biometrii) – np. odcisk palca, cecha twarzy

Każdy z tych elementów jest od siebie niezależny.

Logowanie do ING Business:

Podczas logowania, po podaniu loginu i hasła, poprosimy Cię dodatkowo o podanie kodu SMS. Jeżeli do logowania wykorzystujesz certyfikat, to dla Ciebie nic się nie zmieni -  już teraz logujesz się z wykorzystaniem silnego uwierzytelnienia.

Logowanie do aplikacji mobilnej:

Będziesz logował się za pomocą urządzenia przypisanego do Ciebie (sparowanego) w ING Business (element posiadania), podając:

• hasło (element wiedzy), lub
• odcisk palca/cechę twarzy (element biometryczny)

Nie, istnieją wyjątki pozwalające na odstępstwo od silnego uwierzytelnienia, np. zaufani/autoryzowani odbiorcy/kontrahenci. Także wszystkie transakcje między własnymi kontami (np. wymiana walut) nie podlegają wymogom dot. silnego uwierzytelnienia.

Nic się nie zmieni.

Dyrektywa PSD2 obowiązuje w całej Unii Europejskiej. Jeżeli nie posiadasz ING Business, a korzystasz z globalnego rozwiązania bankowości elektronicznej Grupy ING w UE, jesteś objęty również tymi zmianami.

Grupa ING przygotowała rozwiązanie, które jest oparte na innym standardzie API, tj. Berlin Group API. Specyfikacja interfejsu wraz ze szczegółowym opisem jest dostępna w ramach tzw. portalu deweloperskiego. Serwis dostępny jest pod adresem: www.developer.ing.com 

Skontaktuj się ze swoim opiekunem, aby uzyskać szczegółowe informacje.

Nie, nadal będziesz mógł korzystać z usługi jak dotychczas.