Co to oznacza dla e-konsumentów?
14 września wchodzi w życie rozporządzenie w zakresie regulacyjnych standardów technicznych (tzw. RTS) dotyczące silnego uwierzytelnienia klienta (z ang. Strong Customer Authentication, SCA). Konieczność wprowadzenia podwójnego uwierzytelniania w trakcie dokonywania płatności elektronicznych jest jednym z obowiązków nakładanych przez regulatora na banki i instytucje płatnicze, w tym pośredników w płatnościach internetowych, takich jak np. PayU.
Dla kupujących i płacących przez internet nowe przepisy oznaczają zmiany w procesie weryfikacji tożsamości podczas e-zakupów. Silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klienta ma (np. telefon) oraz czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu).
*W przypadku płatności przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna – hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma – telefon). Warto zatem przy e-zakupach mieć przy sobie telefon. Dla określonych w dyrektywie wyjątków (np. transakcji niskiego ryzyka lub transakcji poniżej 30 euro) bank będzie mógł nadal zdecydować o uwierzytelnianiu transakcji na ‘starych’ zasadach (czyli np. bez konieczności wpisywania kodu SMS).
*Z kolei użytkownicy korzystający z płatności kartą kredytową lub debetową mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure, tak aby spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np., oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), dodatkowo konieczność zalogowania się do bankowości elektronicznej banku – wydawcy karty (coś, co klient zna – hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku – wydawcy karty (coś, czym klient jest – odcisk palca). Nadal jednak, na warunkach określonych w PSD2, agenci rozliczeniowi będą mogli zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania procedury 3D Secure.
*Najmniej zmian zauważą natomiast użytkownicy BLIKa, gdyż to rozwiązanie już dziś wykorzystuje podwójne uwierzytelnianie, czyli jednorazowy kod generowany w aplikacji mobilnej (coś, co klient ma) oraz logowanie do aplikacji mobilnej banku (coś, co klienta zna – hasło lub coś, czym klient jest – odcisk palca, jeśli do logowania wykorzystywana jest biometria).
– Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Jedynie moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania. Nadal będzie można tworzyć także listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnianie będzie wymagane jednorazowo, podczas inicjowania takiej operacji – mówi Jakub Seifert, Kierownik ds. Produktów i usług płatniczych w PayU.
Wygoda konsumenta będzie uzależniona od tego, jak dobrze wybrana instytucja płatnicza i bank radzą sobie z potencjalnymi nadużyciami Wprowadzane przez PSD2 zmiany mają na celu zwiększenie bezpieczeństwa transakcji dokonywanych online. Szczególnie w ostatnim czasie, gdy mamy do czynienia z coraz częstszymi próbami wyłudzenia przez oszustów czy to danych kartowych, czy danych do logowania do bankowości elektronicznej, kwestia ta jest absolutnie priorytetowa.
Jednocześnie jest to pewnego rodzaju wyzwanie zarówno dla banków, jak i instytucji płatniczych, gdyż w obszarze płatności internetowych należy równie mocno dbać także o to, aby całościowe doświadczenie kupującego i płacącego było jak najlepsze, czyli aby płatność była maksymalnie łatwa w wykonaniu, szybka i nie angażująca. Natomiast z myślą o akceptantach, którzy sprzedają usługi i towary przez internet, chcemy także zapewnić jak najwyższą konwersję. Rozwiązaniem, ktore pozwala pogodzić te elementy są płatności wykonywane jednym kliknięciem.
– W tym kontekście nowe przepisy będą nieco ograniczające, jednak wspólnie ze współpracującymi z nami bankami dokładamy starań, aby zaproponować jak najlepsze możliwe rozwiązanie. Regulator zapewnił bankom i instytucjom płatniczym dość szeroki zakres swobody w zakresie stosowania wyjątków dla transakcji nisko kwotowych oraz transakcji o niskim ryzyku, co oznacza, że w wielu przypadkach to instytucja płatnicza, np. PayU, oraz bank będa oceniały ryzyko transakcji i definiowały parametry wskazujące na konieczność dodatkowego uwierzytelniania płacącego – mówi Jakub Seifert.