Od Nowego Roku zmiany w zakupach e-commerce dla 400 milionów konsumentów w Europie
Silne uwierzytelnienie klienta (SCA) jest częścią Regulatory Technical Standards (RTS) w ramach zmienionej dyrektywy PSD2 w Europejskim Obszarze Gospodarczym (EOG).
Jaki wpływ będzie miało SCA na płatności za zakupy w e-commerce od stycznia 2021?
Zmiana będzie wymagała, aby wszystkie transakcje online od 1 stycznia 2021 roku posiadały dodatkowe zabezpieczenia, które zmienią sposób dokonywania płatności za zakupy dokonywane przez internet wśród europejskich klientów.
Banki będą mogły przeprowadzać dodatkową weryfikację płacącego kartą klienta aby zwiększyć bezpieczeństwo tego typu transakcji.
Kiedy SCA będzie wymagane w Wielkiej Brytanii?
Nowe przepisy miały wejść w życie 14 września 2019 r., jednak za zgodą EBA ostateczny termin ich wdrożenia wyznaczono na 31 grudnia 2020 r. natomiast w związku z Brexitem, brytyjski regulator FCA opóźnił ich wdrożenie do 14 września 2021 r. na zakupy online.
We wskazanym terminie, akceptanci płatności elektronicznych on-line są zobowiązani do uaktualnienia wykorzystywanego w transakcjach procesu płatności i dostosowania go do obsługi 3DS2.
Co się zmienia i jakie może to mieć skutki?
3DS to najbardziej rozpowszechniony standard uwierzytelniania europejskich kart płatniczych, stosowany już przez wielu dostawców usług.
Aktualnie dostępna jest wersja protokołu – 3D Secure 2, która usprawnia proces realizacji transakcji i obsługuje zwolnienia z SCA.
W celu spełnienia warunków SCA od 1 stycznia 2021 r. wszystkie transakcje płatnicze w handlu elektronicznym na terenie UE, muszą być przetwarzane za pomocą bezpiecznego protokołu EMV 3-D Secure 2.1 I 2.2 (3DS2).
Transakcje płatnicze, które nie spełnią tego standardu będą odrzucane przez bank – wydawcę karty płatniczej.
Jaki wpływ ma SCA na banki?
Dyrektywa PSD 2 wymaga od banków wdrożenia uwierzytelniania wieloskładnikowego dla wszystkich transakcji przeprowadzanych online za pośrednictwem dwóch z trzech następujących elementów:
– wiedza klienta np. PIN lub hasło.
– posiadanie np. karta lub smartfon.
– cecha Klienta np. odcisk palca, rysy twarzy czyli tzw. dane biometryczne
Każdy bank w inny sposób może prosić swoich klientów o potwierdzenie tożsamości, ponieważ SCA wymaga od banków sprawdzenia tożsamości na 2 sposoby.
Sposobów kombinacji takiej weryfikacji może być więc kilka, np. hasło i PIN lub biometria i kod sms, karta i hasło itp.
Dobrym pomysłem ze strony konsumentów będzie sprawdzenie w swoich bankach czy widnieją tam aktualne dane jak np. numer telefonu komórkowego lub ściągnięcie aplikacji bankowej, która ułatwi uwierzytelnianie transakcji
Banki, dostawcy usług płatniczych i instytucje pieniądza elektronicznego zobligowane są do stosowania tych dodatkowych środków bezpieczeństwa zgodnie z poziomem ryzyka oraz znalezienia równowagi między bezpieczeństwem a wygodą użytkownika.
Możliwe są więc zaniechania wymagania SCA przez banki. Kiedy?
Regulacyjne standardy techniczne (RTS) dotyczące SCA wymienia kilka sytuacji, w których dostawcy usług płatniczych (PSP) nie są zobowiązani do przeprowadzania dodatkowego uwierzytelnienia z uwagi na niskie ryzyko.
Do takich transakcji zaliczyć można płatności o niskiej wartości, powtarzalne transakcje i transakcje na rzecz znanych beneficjentów.
Wpływ SCA na przeciętnych konsumentów
Oczekuje się, że nowe przepisy dotyczące silnego uwierzytelniania klienta dotkną ponad 400 milionów konsumentów w samej Europie. Oczekuje się, że 3D Secure 2 przyspieszy proces uwierzytelniania.
Im lepsze dane i im więcej danych wymienianych między akceptantami a wydawcami, tym lepsza jest możliwość wykrywania oszustw, a transakcje stają się bezpieczniejsze.
W przypadku zakupów online, jeśli płatność będzie tego wymagała, klient będzie musiał przejść przez pełny proces uwierzytelniania.
Mimo, że 3D Secure 2 przeszło ulepszenie w porównaniu z poprzednią wersją, istnieją pewne oznaki, że nadal może powodować trudności dla przeciętnych konsumentów.
Dobrym pomysłem ze strony konsumentów będzie sprawdzenie w swoich bankach czy widnieją tam aktualne dane jak np. numer telefonu komórkowego lub ściągnięcie aplikacji bankowej, która ułatwi uwierzytelnianie transakcji.
Sylwia Kowalczyk, Związek Banków Polskich