Nowela ustawy o usługach płatniczych przede wszystkim dostosowuje polskie prawo do unijnej dyrektywy PSD2 o usługach płatniczych.
Dyrektywa, a w ślad za nią polska ustawa, mają sprzyjać rozwojowi obrotu bezgotówkowego i zwiększeniu szybkości realizacji płatności bezgotówkowych, a także przyczynić się do dalszego rozwoju społeczeństwa informacyjnego. Po wdrożeniu dyrektywy, jak wynika z uzasadnienia, konsumenci mają być lepiej chronieni przed nadużyciami finansowymi w obrocie bezgotówkowym.
Jedna z najistotniejszych zmian, wprowadzanych przez dyrektywę i nową ustawę, to stworzenie ram prawnych dla działania nowych usługodawców na rynku usług płatniczych.
Obok banków, instytucji płatniczych, operatorów pocztowych i innych, pojawią się tzw. podmioty trzecie, czyli TPP (Third Party Provider). Będą one mogły świadczyć dwa typy nowych usług: usługę inicjowania transakcji płatniczej (Payment Initiation Service, PIS) – to usługa polegająca na udzieleniu jej dostawcy dostępu do rachunku online płatnika w celu sprawdzenia dostępności środków pieniężnych, a następnie zainicjowania płatności; usługę dostępu do informacji o rachunku (Account Information Service, AIS) – dostawca świadczący tę usługę zapewni klientowi zagregowane informacje online o co najmniej jednym lub kilku rachunkach płatniczych.
Ustawa wprowadza także tzw. silne uwierzytelnienie użytkownika. Oznacza to, że aby zainicjować płatność, konieczna będzie identyfikacja klienta za pomocą co najmniej dwóch niezależnych metod uwierzytelnienia, np. jednocześnie za pomocą kodu SMS i rozwiązań biometrycznych. To są jednak rozwiązania, które w Polsce obowiązują już od jakiegoś czasu.
W ustawie "zobowiązano też dostawcę usług płatniczych do niezwłocznego zwrotu płatnikowi kwoty nieautoryzowanej transakcji". "Płatnik nie będzie ponosił odpowiedzialności, w sytuacji gdy nie mógł sobie zdawać sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. Przyjęto, że w przypadku nieautoryzowanej transakcji płatniczej, płatnik będzie musiał zapłacić 50 euro (obecnie to 150 euro)" - głosi uzasadnienie.
Ustawa wprowadza także nowy podmiot uprawniony do świadczenia usług płatniczych – Małą Instytucję Płatniczą (MIP). Będzie to osoba fizyczna, osoba prawna lub inna jednostka organizacyjna niebędąca osobą prawną, wpisana do rejestru małych instytucji płatniczych, prowadząca działalność polegającą na świadczeniu usług płatniczych.
MIP będą mogły wykonywać swoją działalność wyłącznie w Polsce po uzyskaniu wpisu do rejestru małych instytucji płatniczych, prowadzonego przez Komisję Nadzoru Finansowego (w tym przypadku zastosowanie ma uproszczony tryb postępowania przed organem nadzoru). Będą też mogły prowadzić działalność gospodarczą inną niż świadczenie usług płatniczych. Wielkość obrotu realizowanego przez MIP nie będzie mogła przekroczyć 1,5 mln euro miesięcznie. Nadzór nad działalnością MIP ma sprawować KNF.
Jednocześnie wszyscy dostawcy usług płatniczych, w tym banki, instytucje płatnicze lub TPP (Third Party Provider, czyli usługodawcy, którzy mogą świadczyć dwie nowe usługi: PIS i AIS), będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa w celu zapewnienia odpowiedniego zabezpieczenia płatności. Nowe przepisy miałyby obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw, choć przewidują zarazem wiele okresów przejściowych, w większości wynikających bezpośrednio z zapisów dyrektywy.