Payment Services Directive 2 (PSD2) и Засилена Автентификация на Потребителя (ЗАП) - ЧЗВ

PSD2 е в сила от 13-ти януари 2018. Той е резултат от разширяване на регулаторните изисквания от страна на Европейската комисия, регулиращи плащанията в Европа, и е перифразиран в местното законодателство от отделните държави-членки на ЕС.

Разпоредбите на PSD2 влизат в сила едва на 14-ти септември 2019.

Една от основните цели е да се направят онлайн плащанията по-сигурни за клиентите. Основен компонент за постигане на тази цел е задължителното използване на Засилена Автентификация на Потребителя. Това трябва да се извърши преди извършването на каквито и да било банкови онлайн плащания (например плащания с кредитна карта или онлайн преводи).

Повече от банките вече са се свързали с техните клиенти през последните месеци за да ги информират за предстоящите промени и изменения в Общите Условия за Ползване.

В бъдеще банките трябва да проверят два от три критерия, отнасящи се до клиента, преди да започнат онлайн плащане:

• нещо, което притежавате (например кредитна карта, смартфон)
• нещо, което знаете (напр. ПИН)
• нещо, което сте (например пръстов отпечатък, черти на лицето)

Това означава, че за да изпълни изискванията за Засилена Автентификация на Потребителя, може да се наложи клиентът да предостави пръстовия си отпечатък, използвайки смартфон, за да разреши плащане.

Такива методи за биометрична идентификация улесняват клиентската идентификация, тъй като трябва само да предоставят нещо, което винаги имат при себе си, в случая смартфон и пръстов отпечатък.

Статичните пароли вече не са достатъчни.

Банките трябва да изискват търговците да изискват Засилена Автентификация на Потребителя за плащания с кредитни карти. Следователно търговците са длъжни да покажат страница от банката на своя уебсайт, чрез която клиентът може недвусмислено да се идентифицира. Това гарантира, че няма неоторизирани лица да получат достъп до тази банкова сметка и да извършват плащания от името на клиента.

Трансферни плащания направени чрез трети страни, например SOFORT в Германия или iDeal в Холандия, similarly require също изискват Засилена Автентификация на Потребителя.

Не. PSD2 предвижда определени изключения при използването на Засилена Автентификация на Потребителя.
Засилена Автентификация на Потребителя може да не се изисква при:

*банката на клиента смята за незначителен риск, че плащането е от неоторизирана трета страна, а не от клиента
*плащането е на максимална стойност 30 EUR. Забележка: Банките обаче трябва да изискват Засилена Автентификация на Потребителя, ако са направени пет плащания след последната идентификация или общата сума на плащанията, извършени след последната идентификация, надвишава 100 EUR.

• клиентът плаща на търговец, когото клиентът е „изброил“ в своята банка като доверен бенефициент. Клиентът обикновено може да направи това по време на процеса на идентификация.

Важно:
Въпреки тези изключения, банката на клиента може да поиска Засилена Автентификация на Потребителя по всяко време. Няма гаранция, че няма да се изисква Засилена Автентификация на Потребителя

Засилена Автентификация на Потребителя никога не се изисква при:

*клиентът е предоставил на търговеца нареждане за започване на плащания. Това се случва, когато клиентът се регистрира за услугите на търговеца. Клиентът предоставя пълномощията, необходими за извършване на плащанията и предоставя Засилена Автентификация на Потребителя.
*плащането се извършва за абонамент. В такива случаи клиентът трябва да предостави Засилена Автентификация на Потребителя само когато се регистрира за абонамента.

Банката на клиента в крайна сметка решава кой метод за Засилена Автентификация на Потребителя ще предлага. Търговецът няма думата по въпроса.

Търговецът не знае кой метод за Засилена Автентификация на Потребителя е избран и даден от клиента.

Това е гарантирано от факта, че се използват iframes за показване на страниците за Засилена Автентификация на Потребителя, предоставена от банката или от доставчици на плащания от трети страни (например iDeal).

Търговецът няма влияние върху или достъп до съдържанието на iframe, показана на уебсайта им.

Подобно на методите на плащане, когато търговецът препраща клиента на сайта на доставчика на плащания (например SOFORT), той не знае кой метод за идентификация е предоставен или избран от клиента.

3D Secure като цяло е процес, предназначен да осигури сигурност за онлайн плащания с кредитни карти. Има за цел да намали риска от измама, като клиентът потвърди самоличността си с код или парола.

3D Secure 2.0 е ревизия на този процес, за да го приведе в съответствие с изискванията на PSD2, по-специално на Засилена Автентификация на Потребителя.

В бъдеще, плащания с кредитна карта също ще изискват Засилена Автентификация на Потребителя чрез използването на 3D Secure 2.0.

Засилена Автентификация на Потребителя ще бъде осигурена от 3D Secure 2.0 използвайки например, приложение, предоставено от банката на клиента. Банковата страница, показана на сайта на търговеца, ще поиска от клиента да отвори приложението на своя смартфон. В зависимост от конкретния метод, приложението може след това да поиска отпечатъка на клиента на смартфона.

Банките могат да предлагат на клиента различни методи за идентификация, между които да избира.

Други възможни методи включват: еднократни пароли, показвани на клиента в специално приложение, или разпознаване на лица чрез банковото приложение на клиента.

Онлайн трансфери чрез доставчици на платежни услуги като SOFORT, iDeal, Multibanco или Przelewy24 в бъдеще също ще изискват Засилена Автентификация на Потребителя.

Много търговци и банки няма да бъдат в състояние да поддържат Засилена Автентификация на Потребителя на клиентите от 14-ти септември 2019, както се изисква.

В резултат на това на 21-ви юни 2019 European Banking Authority (EBA) препоръча държавите от ЕС и техните финансови органи, отговорни за мониторинга на прилагането на PSD2, да предложат удължение на такива компании.

В резултат на това срокът ще бъде спазен в някои страни, докато други ще предоставят на банките удължаване.
Независимо от това, дори в страни с удължен период, някои банки ще започнат да използватЗасилена Автентификация на Потребителя на клиенти от 14-ти септември 2019.

Свържете се с вашата банка за да разберете как и кога вашата банка ще изисква Засилена Автентификация на Потребителя.