14 września wchodzi w życie zmieniona dyrektywa w sprawie usług płatniczych w Unii Europejskiej, znana również jako PSD2. Jednym z obowiązków nakładanych tą dyrektywą przez regulatora na banki i instytucje płatnicze, w tym pośredników w płatnościach internetowych takich jak np. PayU, jest konieczność wprowadzenia tzw. silnego (podwójnego) uwierzytelniania (z ang. Strong Customer Authentication, SCA) w trakcie dokonywania płatności elektronicznych.
Co to w praktyce oznacza dla e-konsumentów oraz jak zmieni się sposób w jaki płacą za zakupy internetowe?
Dla kupujących i płacących przez internet nowe przepisy oznaczają zmiany w procesie weryfikacji tożsamości podczas e-zakupów. Silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klienta ma (np. telefon) oraz czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu).
Zobacz też: Bank Millennium otrzymał zgodę KNF na połączenie z Euro Bankiem
- W przypadku płatności przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna – hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma – telefon). Warto zatem przy e-zakupach mieć przy sobie telefon. Dla określonych w dyrektywie wyjątków (np. transakcji niskiego ryzyka lub transakcji poniżej 30 euro) bank będzie mógł nadal zdecydować o uwierzytelnianiu transakcji na ‘starych’ zasadach (czyli np. bez konieczności wpisywania kodu SMS).
- Z kolei użytkownicy korzystający z płatności kartą kredytową lub debetową mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure, tak aby spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np., oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), dodatkowo konieczność zalogowania się do bankowości elektronicznej banku – wydawcy karty (coś, co klient zna – hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku – wydawcy karty (coś, czym klient jest – odcisk palca). Nadal jednak, na warunkach określonych w PSD2, agenci rozliczeniowi będą mogli zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania procedury 3D Secure.
- Najmniej zmian zauważą natomiast użytkownicy BLIKa, gdyż to rozwiązanie już dziś wykorzystuje podwójne uwierzytelnianie, czyli jednorazowy kod generowany w aplikacji mobilnej (coś, co klient ma) oraz logowanie do aplikacji mobilnej banku (coś, co klienta zna – hasło lub coś, czym klient jest – odcisk palca, jeśli do logowania wykorzystywana jest biometria).
– Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Jedynie moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania. Nadal będzie można tworzyć także listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnianie będzie wymagane jednorazowo, podczas inicjowania takiej operacji – mówi Jakub Seifert, Kierownik ds. Produktów i usług płatniczych w PayU.
Wygoda konsumenta będzie uzależniona od tego, jak dobrze wybrana instytucja płatnicza i bank radzą sobie z potencjalnymi nadużyciami
Wprowadzane przez PSD2 zmiany mają na celu zwiększenie bezpieczeństwa transakcji dokonywanych online. Szczególnie w ostatnim czasie, gdy mamy do czynienia z coraz częstszymi próbami wyłudzenia przez oszustów czy to danych kartowych, czy danych do logowania do bankowości elektronicznej, kwestia ta jest absolutnie priorytetowa.
Zobacz też: Bank nie może kserować dowodu, żeby założyć klientowi konto
Jednocześnie jest to pewnego rodzaju wyzwanie zarówno dla banków, jak i instytucji płatniczych, gdyż w obszarze płatności internetowych należy równie mocno dbać także o to, aby całościowe doświadczenie kupującego i płacącego było jak najlepsze, czyli aby płatność była maksymalnie łatwa w wykonaniu, szybka i nie angażująca. Natomiast z myślą o akceptantach, którzy sprzedają usługi i towary przez internet, chcemy także zapewnić jak najwyższą konwersję. Rozwiązaniem, które pozwala pogodzić te elementy są płatności wykonywane jednym kliknięciem.
– W tym kontekście nowe przepisy będą nieco ograniczające, jednak wspólnie ze współpracującymi z nami bankami dokładamy starań, aby zaproponować jak najlepsze możliwe rozwiązanie. Regulator zapewnił bankom i instytucjom płatniczym dość szeroki zakres swobody w zakresie stosowania wyjątków dla transakcji nisko kwotowych oraz transakcji o niskim ryzyku, co oznacza, że w wielu przypadkach to instytucja płatnicza, np. PayU, oraz bank będa oceniały ryzyko transakcji i definiowały parametry wskazujące na konieczność dodatkowego uwierzytelniania płacącego – mówi Jakub Seifert.
Źródło: PayU
Wojciech Boczoń
