PSD2 w transakcjach e-commerce

14 września wchodzi w życie zmieniona dyrektywa w sprawie usług płatniczych w Unii Europejskiej, znana również jako PSD2. Jednym z obowiązków nakładanych tą dyrektywą przez regulatora na banki i instytucje płatnicze, w tym pośredników w płatnościach internetowych, takich jak np. PayU, jest konieczność wprowadzenia tzw. silnego (podwójnego) uwierzytelniania (z ang. Strong Customer Authentication, SCA) w trakcie dokonywania płatności elektronicznych.

 

Dla kupujących i płacących przez internet nowe przepisy oznaczają zmiany w procesie weryfikacji tożsamości podczas e-zakupów.

 

Silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klienta ma (np. telefon) oraz czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu).

 

Wygoda konsumenta będzie uzależniona od tego, jak dobrze wybrana instytucja płatnicza i bank radzą sobie z potencjalnymi nadużyciami.

 

• W przypadku płatności przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna – hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma – telefon). Warto zatem przy e-zakupach mieć przy sobie telefon. Dla określonych w dyrektywie wyjątków (np. transakcji niskiego ryzyka lub transakcji poniżej 30 euro) bank będzie mógł nadal zdecydować o uwierzytelnianiu transakcji na ‘starych’ zasadach (czyli np. bez konieczności wpisywania kodu SMS).
• Z kolei użytkownicy korzystający z płatności kartą kredytową lub debetową mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure, tak aby spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np., oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), dodatkowo konieczność zalogowania się do bankowości elektronicznej banku – wydawcy karty (coś, co klient zna – hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku – wydawcy karty (coś, czym klient jest – odcisk palca). Nadal jednak, na warunkach określonych w PSD2, agenci rozliczeniowi będą mogli zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania procedury 3D Secure.
• Najmniej zmian zauważą natomiast użytkownicy BLIKa, gdyż to rozwiązanie już dziś wykorzystuje podwójne uwierzytelnianie, czyli jednorazowy kod generowany w aplikacji mobilnej (coś, co klient ma) oraz logowanie do aplikacji mobilnej banku (coś, co klienta zna – hasło lub coś, czym klient jest – odcisk palca, jeśli do logowania wykorzystywana jest biometria).

 

Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Jedynie moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania. Nadal będzie można tworzyć także listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnianie będzie wymagane jednorazowo, podczas inicjowania takiej operacji.

 

Wprowadzane przez PSD2 zmiany mają na celu zwiększenie bezpieczeństwa transakcji dokonywanych online. Szczególnie w ostatnim czasie, gdy mamy do czynienia z coraz częstszymi próbami wyłudzenia przez oszustów czy to danych kartowych, czy danych do logowania do bankowości elektronicznej, kwestia ta jest absolutnie priorytetowa.

 

Na naszym blogu możesz przeczytać także o tym jak ustrzec się przed internetowymi oszustami.