Payment Services Directive 2 (PSD2) ir griežtas kliento autentiškumo patvirtinimas – DUK

PSD2 tai direktyva įsigaliojusi 2018 m. sausio 13 d. Joje apibrėžiami EU komisijos priimti nauji mokėjimų paslaugas Europoje reglamentuojantys reikalavimai, kurie kiekvienoje EU valstybėje integruoti į tos šalies teisinę sistemą.

PSD2 privalomai pradėtas taikyti tik nuo 2019 m. rugsėjo 14 d.

Vienas iš pagrindinių tikslų yra mokėjimus internete paversti saugesniais. Esminis įrankis siekiant šio tikslo yra privalomas griežto kliento autentiškumo patvirtinimo naudojimas. Šis patvirtinimas privalo būti naudojamas prieš bet kurį bankinį internetu atliekamą mokėjimą (pvz.: atliekamą naudojantis kredito kortele ar internetiniu pervedimu).

Didžioji dauguma bankų pastaraisiais mėnesiais jau informavo savo klientus apie artėjančius pokyčius susijusius su jų taikomomis sąlygomis ir nuostatomis.

Ateityje, prieš pradedant internetinį mokėjimą, bankai privalės patikrinti du iš trijų su klientu susijusių kriterijų:

• kažkas, kas tau priklauso (pvz.: kreditinė kortelė, išmanusis telefonas)
• kažkas, ką tu žinai (pvz.: PIN)
• kažkas, įrodantis kas tu esi (pvz.: piršto antspaudas, veido atpažinimas)

Tai reiškia, kad atsižvelgiant į griežto kliento autentiškumo patvirtinimo reikalavimus, klientui norint patvirtinti mokėjimą gali tekti pateikti savo piršto antspaudą naudojantis išmaniuoju telefonu.

Toks biometrinis patvirtinimo metodas palengvina kliento savęs pačio atpažinimą, nes jam tereikia pateikti tai, ką nuolat su savimi turi, šiuo atveju išmanųjį telefoną ir piršto antspaudą.

Įprastų slaptažodžių mokėjimams atlikti nebeužteks.

Bankai privalo reikalauti, jog pardavėjai kredito kortelėmis paremtiems mokėjimams įvykdyti reikalautų griežto kliento autentiškumo patvirtinimo. Tuo tarpu pardavėjai yra įpareigoti savo tinklalapiuose rodyti banko sugeneruotą puslapį, kuriame klientas galėtų aiškiai save identifikuoti. Taip užtikrinant, jog joks pašalinis asmuo negaus prieigos prie kliento banko sąskaitos ir neatliks mokėjimų kliento vardu.

Pervedimo mokėjimai atlikti naudojantis trečiųjų šalių paslaugomis, pavyzdžiui tokių kaip SOFORT Vokietijoje, arba iDeal Nyderlanduose, lygiai taip pat reikalaus griežto kliento autentiškumo patvirtinimo.

Ne. PSD2 numato tam tikras griežto kliento autentiškumo patvirtinimo naudojimo išlygas.
Griežtas kliento autentiškumo patvirtinimas gali nebūti reikalaujamas kai:

• kliento banko manymu esama rizika labai menka, jog mokėjimas atliekamas ne paties kliento, o nepatvirtintos trečiosios šalies
• mokėjimas neviršija 30 eurų. Pastaba: tačiau bankas privalo pareikalauti griežto kliento autentiškumo patvirtinimo jeigu penki mokėjimai buvo atlikti nuo pastarojo patvirtinimo, arba bendra mokėjimų suma nuo praėjusio patvirtinimo viršija 100 eurų
• klientas atlieka mokėjimą paslaugą teikiančiam pardavėjui, kurį klientas savo banke yra įtraukęs į „baltąjį sąrašą“ kaip patikimą gavėją. Įprastai klientas tai gali padaryti patvirtinimo metu.

Svarbu:
Nepaisant šių išimčių, kliento bankas gali pareikalauti griežto kliento autentiškumo patvirtinimo bet kuriuo metu. Nėra jokios garantijos, kad nebus pareikalauta griežto kliento autentiškumo patvirtinimo.

Griežtas kliento autentiškumo patvirtinimas niekada nereikalaujamas jei:

• klientas suteikė įgaliojimą pardavėjui inicijuoti mokėjimus. Taip nutinka, kai klientas užsiregistruoja pardavėjo teikiamoms paslaugoms. Tuomet klientas suteikia įgaliojimus būtinus mokėjimams atlikti ir pateikia griežtą kliento autentiškumo patvirtinimą.
• mokėjimas atliktas prenumeratai. Tokiais atvejais, klientas privalo atlikti griežtą kliento autentiškumo patvirtinimą tik pirmą kartą užsisakydamas prenumeratą.

Kliento bankas nusprendžia kuris griežto kliento autentiškumo patvirtinimo būdas bus pasiūlytas. Pardavėjai priimant šį sprendimą neturi jokios įtakos.

Lygiai taip pat pardavėjai nesužino kurį griežto kliento autentiškumo patvirtinimo būdą klientas pasirinko ir pateikė.

Tai užtikrinama faktu, kad html žymė naudojama rodyti griežto kliento autentiškumo patvirtinimo puslapį yra pateikiama banko arba trečiųjų šalių teikiančių internetinių pervedimų paslaugas (pvz.: iDeal).

Pardavėjai neturi jokios galimybės matyti ar prieiti prie turinio, kurį rodo banko sukuriama html žymė jų puslapyje.

Lygiai tas pats galioja ir tiems mokėjimo metodams, kuriuose pardavėjai nusiunčia klientus į internetinių pervedimų paslaugas teikiančių įmonių puslapius (pvz.: SOFORT), taip nesužinodami, kuris autentiškumą patvirtinantis būdas buvo pateiktas arba pasirinktas kliento.

3D Secure apskritai kalbant yra procesas, kuris skirtas užtikrinti saugumą atliekant mokėjimus kredito kortelėmis internete. Juo siekiama sumažinti apgavysčių riziką reikalaujant klientui patvirtinti tapatybę kodu arba slaptažodžiu.

3D Secure 2.0 yra įrankis šio proceso užtikrinimui atsižvelgiant į PSD2 reikalavimus, ypatingai griežtam kliento autentiškumo patvirtinimui.

Ateityje, mokėjimai kredito kortelėmis taip pat reikalaus griežto kliento autentiškumo patvirtinimo naudojant 3D Secure 2.0.

3D Secure 2.0 griežtą kliento autentiškumo patvirtinimą užtikrins, pavyzdžiui, pasinaudojant kliento banko turima aplikacija. Pardavėjo tinklalapyje matomame banko puslapyje bus reikalaujama klientui atidaryti aplikaciją savo išmaniajame telefone. Priklausomai nuo naudojamo metodo, telefone aplikacija gali pareikalauti, sakykime, kliento piršto antspaudo.

Bankai žinoma gali pasiūlyti skirtingus atpažinimo metodus, iš kurių patys klientai galės pasirinkti jiems patogiausius.

Kiti taip pat galimi metodai: vienkartinis klientui rodomas slaptažodis specialioje aplikacijoje ar veido atpažinimas kliento banko aplikacijoje.

Ateityje, tokie internetinių pervedimų paslaugų teikėjai kaip kad SOFORT, iDeal, Multibanco ar Przelewy24 taip pat turės pradėti taikyti griežtą kliento autentiškumo patvirtinimą.

Nors ir reikalaujama, tačiau daug pardavėjų ir bankų nebus pasiruošę nuo 2019 m. rugsėjo 14 d. taikyti griežto kliento autentiškumo patvirtinimo.

Dėl šios priežasties, 2019 metų birželio 21 d. European Banking Authority (EBA) rekomendavo, kad EU valstybės ir jų atsakingos finansinės institucijos stebinčios PSD2 įgyvendinimą turėtų pasiūlyti tokioms kompanijoms daugiau laiko naujovėms įdiegti.

Tad kai kurios valstybės atsižvelgs į galutinę datą ir jos laikysis, o kitos pasiūlys daugiau laiko bankams šių naujovių įdiegimui.
Nepaisant to, net ir tose valstybėse, kuriose bus skirta daugiau laiko naujovių įdiegimui, kai kurie bankai jau nuo 2019 m. rugsėjo 14 d. pradės taikyti griežtą kliento autentiškumo patvirtinimą.

Tam, kad sužinotum kaip ir kada tavo bankas pradės taikyti griežtą kliento autentiškumo patvirtinimą, prašome susisiekti su savo banku.