ZBP przypomina o zmianie sposobu autoryzacji transakcji kartowych w e-commerce od 1 stycznia 2021 roku
Silne uwierzytelnienie klienta (SCA) jest częścią Regulatory Technical Standards (RTS) w ramach zmienionej dyrektywy PSD2 w Europejskim Obszarze Gospodarczym (EOG).
Nowe przepisy miały wejść w życie 14 września 2019 r., jednak za zgodą Europejskiego Urzędu Nadzoru Bankowego (EBA), ostateczny termin ich wdrożenia wyznaczony został na 31 grudnia 2020r.
Wiedza, posiadanie, cecha
Dyrektywa PSD2 nakłada na banki obowiązek stosowania silnego uwierzytelniania (SCA) dla wszystkich transakcji online przeprowadzanych z użyciem karty płatniczej na obszarze Unii Europejskiej.
Mechanizm silnego uwierzytelnienia polega na wykorzystaniu co najmniej dwóch z trzech składników weryfikujących tożsamość klienta określonych jako: (1) wiedza (np. hasło), (2) posiadanie (np. karta sim na urządzeniu, token sprzętowy) oraz (3) cecha użytkownika (np. biometria odcisku palca).
Czytaj także: Od Nowego Roku zmiany w zakupach e-commerce dla 400 milionów konsumentów w Europie
Możliwe odstępstwa od reguły
Wykorzystane w procesie silnego uwierzytelnienia transakcji składniki powinny być niezależne względem siebie w celu zapewnienia najwyższego poziomu bezpieczeństwa i poufności danych użytkownika.
Zwracamy szczególną uwagę na konieczność zweryfikowania aktualności danych osobowych i kontaktowych w bankach
Banki, dostawcy usług płatniczych i instytucje pieniądza elektronicznego zobligowane są do stosowania tych dodatkowych środków bezpieczeństwa, w zależności od przewidywanego poziomu ryzyka danej transakcji.
Dopuszczalne są przypadki zwolnienia z procedury przeprowadzenia silnego uwierzytelnienia. Regulacyjne standardy techniczne (RTS) dotyczące silnego uwierzytelnienia (SCA) przewidują możliwość odstąpienia od jego stosowania w określonych przypadkach.
Do takich zaliczyć można transakcje niskokwotowe, płatności cykliczne (tzw. rekurencyjne) oraz transakcje na rzecz zaufanych odbiorców tzw. biała lista odbiorców.
Jak klienci banków powinni przygotować się na zmianę?
W celu spełnienia wymogów regulacyjnych dotyczących procedury silnego uwierzytelniania (SCA) od 01 stycznia 2021 r. wszystkie transakcje płatnicze w handlu elektronicznym na terenie UE, muszą być przetwarzane zgodnie z protokołem bezpieczeństwa EMV 3-D Secure 2.1 lub 2.2 (3DS2).
Transakcje płatnicze, które nie spełnią tego standardu mogą być odrzucane przez bank – wydawcę karty płatniczej.
W związku z powyższym zwracamy szczególną uwagę na konieczność zweryfikowania aktualności danych osobowych i kontaktowych w bankach oraz na możliwości korzystania z aplikacji bankowych, które znacznie ułatwią uwierzytelnianie transakcji kartowych w kanałach elektronicznych.
Wszystkie wyżej wymienione wymogi mają na celu zwiększenie poziomu bezpieczeństwa klienta w procesie dokonywania transakcji i płatności on-line.