Payment Services Directive 2 (PSD2) та надійна автентифікація користувача – питання та відповіді

Директива PSD2 почала діяти 13 січня 2018 року. Вона стала результатом поширення нормативних вимог Європейської комісії, що регулює платежі в Європі, на місцеві законодавства окремих країн – членів ЄС.

Положення PSD2 починають діяти лише 14 вересня 2019 року.

Одна з головних цілей – зробити онлайн-платежі більш безпечними для клієнтів. Головим засобом досягнення цієї мети є обов'язкове використання надійної автентифікації користувача. Її треба виконувати до здійснення будь-яких онлайн-платежів із залученням банків (наприклад, платежі кредитними картками або Інтернет-перекази).

Більшість банків вже звернулася до своїх клієнтів за останні місяці, щоб поінформувати про майбутні зміни до умов.

В майбутньму банки матимуть перевіряти два з трьох критеріїв, що відносяться до клієнта, перед ініціюванням онлайн-платежу:

• те, що ви маєте (наприклад, кредитна карта, смартфон)
• те, що ви знаєте (наприклад, PIN-код)
• те, що є частиною вас (наприклад, відбиток пальця, розпізнавання обличчя)

Це означає, що задля виконання вимог надійної автентифікації користувача клієнту може знадобитися надати відбитки пальців за допомогою смартфону, щоб авторизувати платіж.

Такі біометричні способи автентифікації спрощують ідентифікацію клієнта, оскільки треба просто надати те, що у нього завжди є, наприклад смартфон та відбиток пальця.

Статиного паролю вже недостатньо.

Банки мають вимагати від продавців використання надійної автентифікації користувача при здійсненні платежів кредитними картами. Тому продавці повинні відображати на своєму сайті сторінку банку, де клієнт може недвозначно себе ідентифікувати. Таким чином, жодна несанкціонована особа не зможе отримати доступ до банківського рахунку й зробити платіж від імені клієнта.

Перекази, що здійснюються третіми сторонами, наприклад SOFORT в Німеччині або iDeal в Нідерландах, також потребують надійної автентифікації користувача.

Ні. PSD2 пропонує певні виключення у використанні надійної автентифікації користувача.
Надійна автентифікація користувача може не використовуватися, якщо:

• банк клієнта ввжає незначним ризик того, що платіж виконує несанкціонована третя сторона, а не клієнт
• платіж не перевищує 30 євро. Увага. Банки мають вимагати надійної автентифікації, якщо було зроблено п'ять платежів з часу останньої автентифікації або якщо загальна сума платежів з часу останньої автентифікації перевищує 100 євро.
• клиєнт сплачує продавцеві, якого він вказав як надійного Зазвичай клієнт може це зробити під час процедури автентифікації.

Важливо.
Незважаючи на ці виключення, банк клієнта може вимагати надійну автентифікацію користувача в будь-який час. Це не гарантує того, що надійна автентифікація користувача не знадобиться.

Надійна автентифікація користувача ніколи не вимагається, якщо:

• клієнт надав продавцеві дозвіл на ініціювання платежів. Це відбувається, коли клієнт реєструється на послуги продавця. Клієнт надає дані, необхідні для виконання платежу, та надає надійну автентифікацію користувача.
• платіж здійснюється за підписку. У таких випадках клієнт має надати надійну автентифікацію користувача лише один раз під час підписки.

Банк клієнта остаточно вирішує, який спосіб надійної автентифікації користувача пропонується. Продавець не бере в цьому участі.

Також продавець не знає, який спосіб надійної автентифікації користувача клієнт обирає та надає.

Це забезпечується завдяки використанню елементів iframe, які відображають сторінки для надійної автентифікації користувача, надані банком або стороннім постачальником платіжних послуг (наприклад, iDeal).

Продавець не впливає та не має доступу до вмісту елементів iframe, що відображаються на його сайті.

Також, якщо продавець спрямовує клієнта на сайт постачальника платіжних послуг (наприклад, SOFORT), продавець не знає, який спосіб автентифікації надається або обирається клієнтом.

Взагалі, 3D Secure – це процедура, розроблена для безпечної оплати кредитними картами в Інтернеті. Вона призначена для зниження ризику шахрайства завдяки підтвердженню клієнтом своєї особи кодом чи паролем.

3D Secure 2.0 – це оновлення процедури з метою її відповідності вимогам PSD2, зокрема – надійної автентифікації користувача.

В майбутньому оплата кредитною картою також потребуватиме надійної автентифікації користувача через використання 3D Secure 2.0.

Надійна автентифікація користувача буде забезпечуватися технологією 3D Secure 2.0 з використанням, наприклад, додатку, наданого банком клієнта. На сторінці, що відображається на сайті продавця, буде запит до клієнта відкрити додаток на смартфоні. В залежності від способу, після цього додаток може запитати відпиток пальця на смартфоні.

Банки можуть запропонувати інші способи на вибір клієнта.

Серед інших можливих способів: одноразові паролі, що відображаються в спеціальних додатках користувача, або розпізнавання обличчя через банківський додаток клієнта.

В майбутньому онлайн-перекази через такі служби, як SOFORT, iDeal, Multibanco або Przelewy24, також потребуватимуть надійної автентифікації користувача.

Багато продавців та банків будуть не в змозі підтримувати надійну автентифікацію користувача на 14 вересня 2019 р.

В результаті 21 червня 2019 р. організація European Banking Authority (EBA) порекомендувала країнам – членам ЄС та їхнім фінансовим органам, що відповідають за моніторинг впровадження PSD2, запропонувати розширений період запровадження для таких компаній.

В результаті в одних країнах терміни залишаться незмінними, а в інших – банкам буде надано розширений період запровадження.
Проте навіть у країнах з розширеним періодом запровадження деякі банки почнуть використовуати надійну автентифікацію користувача з 14 вересня 2019 року.

Щоб дізнатися, як та коли ваш банк вимагатиме надійну автентифікацію користувача, зверніться до свого банку.