Płatności elektroniczne: od września wchodzą w życie nowe standardy

14 września zaczną obowiązywać nowe procedury mające na celu zwiększenie bezpieczeństwa płatności elektronicznych. Zostały one wprowadzone na mocy nowej dyrektywy ustanowionej przez Unię Europejską. O co dokładnie chodzi i co się zmieni dla Ciebie jako przedsiębiorcy oraz dla Twoich klientów? Dowiesz się tego w tym artykule.

blogTitle-PSD2

Czy wiesz, że nadal wielu użytkowników czuje się niepewnie, wprowadzając w Internecie swoje dane osobowe i bankowe?

Oszustwa związane z płatnościami internetowymi nie są rzadkością... Przykładowo w samej tylko Wielkiej Brytanii odnotowano w ubiegłym roku ponad 189 100 przypadków oszustw, a związane z nimi straty oszacowano na 1,12 miliarda funtów.

W przypadku sprzedaży internetowej zaufanie i bezpieczeństwo mają kluczowe znaczenie. Zasadniczą częścią doświadczeń zakupowych są płatności.

Zanim przyjrzymy się szczegółowo nowościom zawartym w drugiej dyrektywie w sprawie usług płatniczych (PSD2), chcielibyśmy krótko omówić wcześniejszą dyrektywę PSD oraz wyjaśnić, dlaczego Komisja Europejska postanowiła wprowadzić PSD2.

PSD — Dyrektywa w sprawie usług płatniczych 

Dyrektywa PSD została wprowadzona w 2009 r. Umożliwiła regulację systemów dokonywania płatności w Unii Europejskiej. Celem było zwiększenie bezpieczeństwa konsumentów, a także zapewnienie ich ochrony.

W kolejnych latach odnotowano szybki i znaczący wzrost sektora płatności internetowych. Postęp technologiczny (w tym rozwój urządzeń mobilnych) i popularność zakupów internetowych przyniosły niezliczone korzyści.

Jednocześnie jednak wzrosła liczba cyberprzestępstw: oszustwa związane z kartami kredytowymi i przypadki kradzieży danych zdarzały się coraz częściej.

Jest to główny powód, dla którego Komisja Europejska postanowiła zaktualizować tę dyrektywę i wprowadzić jej drugą wersję.

Dyrektywa PSD2

europe-3256079_1920

Może słyszeliście już o drugiej dyrektywie w sprawie usług płatniczych (w skrócie PSD2), wydanej przez Unię Europejską, która weszła w życie 13 stycznia 2018 r., ale w rzeczywistości będzie obowiązywać od 14 września 2019 r.

Jaki jest jej cel? PSD2 umożliwia poprawę bezpieczeństwa transakcji elektronicznych i przeciwdziałanie oszustwom, aby zminimalizować ryzyko związane z płatnościami elektronicznymi dokonywanymi przez konsumentów i sprzedawców.

Do kogo jest skierowana? Do wszystkich dostawców usług płatniczych.

Co się zmienia?

1. Główny nacisk położono na „silne uwierzytelnienie klienta” (strong customer authentication, w skrócie SCA).

SCA stosuje się przy uzyskiwaniu dostępu do konta internetowego, przy składaniu elektronicznego polecenia zapłaty lub przy podejmowaniu jakichkolwiek działań, które mogą wiązać się z ryzykiem oszustw lub nadużyć w kontekście płatności internetowych. W następnym rozdziale przyjrzymy się jeszcze bliżej temu nowemu przepisowi.

2. Dozwolone jest przetwarzanie danych przez dostawców zewnętrznych (Third Party Provider – TPP).

Inną nowością, oprócz SCA, jest możliwość uzyskiwania dostępu do informacji dotyczących własnego rachunku bieżącego i dokonanych transakcji za pośrednictwem stron trzecich, a także możliwość składania za pośrednictwem stron trzecich zleceń płatniczych.

O co dokładnie chodzi? Stronami trzecimi są operatorzy inni niż banki, którzy oferują nowe usługi płatnicze PSD2, takie jak PISP, AISP lub CISP.

Te nowe role są przydatne w zarządzaniu informacjami i zleceniami płatniczymi. Korzystanie z usług stron trzecich jest dozwolone już od 1 czerwca 2019 r.

3. Protokół 3DS zostanie zastąpiony protokołem 3DS 2.0 (3-D Secure 2.0).

Ostatnia poprawa bezpieczeństwa transakcji internetowych to przejście na system 3DS 2.0, który również oficjalnie wchodzi w życie i zaczyna obowiązywać od 14 września bieżącego roku.

Nowa wersja protokołu jest niezbędna w celu wyeliminowania ograniczeń wersji poprzedniej: do tej pory ekran pop-up był zawodny z powodu użycia innego adresu URL. Ponadto użytkownik nie będzie musiał zapamiętywać niezliczonych haseł i będzie mógł dokonywać płatności nie tylko przy użyciu kart, lecz także za pośrednictwem wirtualnych portfeli.

Silne uwierzytelnienie klienta

Omówimy teraz dokładniej największą zmianę wprowadzoną przez PSD2: silne uwierzytelnienie klienta (ang. Strong Customer Authentication).

Podstawowa ochrona użytkownika przy wykorzystaniu nazwy użytkownika i hasła nie będzie już wystarczająca z punktu widzenia bezpieczeństwa. W przypadku każdego wydatku powyżej 30€ użytkownik zostanie poproszony o drugi rodzaj identyfikacji.

Przedsiębiorcy muszą ją stosować przy zlecaniu elektronicznej transakcji płatniczej.

To silne uwierzytelnienie użytkownika, podobne do uwierzytelnienia dwuskładnikowego, opiera się na co najmniej dwóch składnikach należących do następujących kategorii:

  • Wiedza: czyli coś, co zna wyłącznie użytkownik, np. hasło, PIN lub pytanie zabezpieczające.
  • Posiadanie: czyli coś, co posiada wyłącznie użytkownik, np. numer telefonu komórkowego, urządzenie typu „wearable” lub token (w tym przypadku jest to token wirtualny, zwykle istniejący tylko w aplikacji bankowości mobilnej banku lub w innej specjalnej aplikacji).
  • Cecha: czyli coś, co charakteryzuje wyłącznie użytkownika, jak osobiste dane biometryczne (np. odciski palców, wzorzec głosu lub rozpoznawanie twarzy).

Zgodnie z dyrektywą przedsiębiorców obowiązuje zakaz stosowania jakichkolwiek dopłat za korzystanie przez klientów z określonej metody płatności.

Oprócz zwiększenia bezpieczeństwa płatności internetowych dla użytkowników, szeroko zakrojonym celem PSD2 jest harmonizacja różnych metod płatności zarówno wewnątrz poszczególnych krajów, jak i na szczeblu UE. Pozwoli to zapewnić efektywność rynku płatności i zwiększyć prawdopodobieństwo wyboru przez konsumenta elektronicznego instrumentu płatniczego.

Podsumowując:

Od 14 września 2019 r. dzięki nowej dyrektywie w sprawie usług płatniczych (PSD2) wzrośnie bezpieczeństwo i przejrzystość elektronicznych płatności internetowych.

Dyrektywa ta chroni konsumenta przed oszustwami, a Tobie jako przedsiębiorcy zapewnia zmniejszenie liczby potencjalnych fałszywych zakupów w Twoim sklepie.

Aby dostosować się do wymogów dyrektywy, każdy przedsiębiorca musi zapewnić, że dysponuje silnym uwierzytelnieniem klienta (SCA) dla płatności, które otrzymuje od nabywców z UE.

Użytkownik, który chce dokonać płatności internetowej, jest identyfikowany i uwierzytelniany w unikalny sposób, poprzez wybór dwóch z następujących składników uwierzytelniania: wiedzy, posiadania lub cechy.

Rozwój technologiczny urządzeń mobilnych zapewnia łatwą dostępność (i preferencyjny wybór jako jednego z dwóch składników uwierzytelniania) trybu uwierzytelniania za pomocą cech, już teraz powszechnie stosowanego w smartfonach.

Te nowe środki będą musiały być stosowane na mocy prawa. Jeżeli od 14 września 2019 r. transakcje nie będą spełniać nowych wymogów, istnieje ryzyko, że bank kupującego odmówi ich realizacji.

º º º

Ten artykuł jest tłumaczeniem: Pagamenti elettronici: nuovi standard a partire da settembre

0 komentarzy