Payment Services Directive 2 (PSD2) i Snažna Autentifikacija Korisnika - FAQ

PSD2 je nastupio na snagu 13. siječnja 2018. Ono je rezultat ekspanzije na regulatorne zahtjeve vezane uz plaćanja unutar Europe donesenog od strane EU komisije, koji je naknadno pretočen u lokalno zakonodavstvo svake inidividualne EU članice.

Provizije PSD2 stupit će na snagu 14. rujna 2019.

Jedan od glavnih ciljeva je učiniti online plaćanja sigurnijima za korisnike. Glavna komponenta za ostvarivanje tog cilja je obavezno korištenje Snažne Autentifikacije Korisnika. Ona mora biti provedena prije bilo kakvih bankarsko orijentiranih online plaćanja (npr. kreditne kartice ili online transfer sredstava).

Velika većina banaka je već kontaktirala svoje korisnike u zadnjih nekoliko mjeseci kako bi ih obavijestili o nadolazećim promjenama i izmjenama Prava i Uvjeta.

Ubuduće, banke moraju potvrditi dva kriterija koji potvrđuju korisnika prije pokretanja online plaćanja:

• nešto što posjedujete (npr. kreditna kartica, smartphone)
• nešto što znate (npr. PIN)
• nešto što potvrđuje vas (npr. otisak prsta, crte lica)

To znači da, kako bi se ispunili uvjeti Snažne Autentifikacije Korisnika, korisnik će možda morati dati svoj otisak prsta koristeći svoj smartphone kako bi autorizirao plaćanje.

Takva biometrijske metode autentifikacije korisniku olakšavaju način identificiranja, jer jednostavno moraju pružiti nešto što uvijek imaju sa sobom, u ovom slučaju smartphone i te otisak prsta.

Statičke lozinke više nisu dovoljne.

Banke moraju zahtjevati od trgovaca da oni zahtjevaju Snažnu Autentifikaciju Korisnika za naplate putem kreditnih kartica. Trgovci iz tog razloga moraju prikazivati stranicu od banke na svojoj web stranici, putem koje se korisnim može nedvosmisleno identificirati. To će osigurati da niti jedna neovlaštena osoba dobije pristup bankovnom računu korisnika putem kojeg bi mogla izvršavati plaćanja u ime korisnika.

Transfer plaćanja putem trećih strana, poput SOFORT-a u Njemačkoj ili iDeal-a u Nizozemskoj, također zahtjevaju Snažnu Autentifikaciju korisnika.

Ne. PSD2 navodi određene iznimke pri korištenju Snažne Autentifikacije Korisnika.
Snažna Autentifikacija Korisnika može biti nepotrebna kada:

• kada banka korisnika naplatu od nepotvrđene treće strane smatra nezanemarivim rizikom umjest korisnika
• kada je plaćanje maksimalne vrijednost od 30 EUR-a. Napomena: Banke moraju zahtijevati Snažnu Autentifikaciju Korisnika ukoliko je napravljeno pet plaćanja od zadnje autentifikacije, ili ukoliko ukupan broj plaćanja od zadnje autentifikacije iznosi više od 100 EUR-a.
• korisnik plaća trgovcu kojeg je korisnik naveo kao dopuštenog s bankom i može biti smatran pouzdanim. Korisnik to može normalno napraviti prilikom autentifikacije.

Važno:
Unatoč ovim iznimkama, banka od korisnika može zahtijevat Snažnu Autentifikaciju Korisnika u bilo kojem trenutku. Ne postoji garancija da Snažna Autentifikacija Korisnika neće biti zahtjevana.

Snažna Autentifikacija Korisnika nikada nije potrebna kada:

• kada je korisnik dao trgovcu punomoć za pokretanje plaćanja. To se događa u slučajevima kada se korisnik registrira za servise koje trgovac nudi. Korisnik u tom slučaju daje sve pristupne podatke potrebne za izvršavanje plaćanja te daje Snažnu Autentifikaciju Korisnika.
• plaćanje je napravljeno za pretplatu. U takvim slučajevima, korisnik mora proći kroz Snažnu Autentifikaciju Korisnika samo jednom prilikom prijavljivanja na pretplatu.

Banka korisnika odlučuje koju će metodu Snažne Autentifikacije Korisnika ponuditi. Trgovac ne odlučuje o tome.

Trgovac također nema nikakve informacije o tome koju će metodu Snažne Autentifikacije Korisnika sam korisnik odabrati i pružiti.

Ovo je garantirano činjenicom da se stranice za Snažnu Autentifikaciju Korisnika prikazuju putem iframe-ova, koji su dodijeljeni od strane banke ili pružatelja usluga naplate treće strane (npr. iDeal).

Trgovac nema nikakvog utjecaja ili pristupa iframe sadržaju koji je prikazan na web stranici od banke.

Isto tako, kod metoda plaćanja gdje trgovac korisnika prosljeđuje web stranici pružatelja usluga naplate (npr. SOFORT), neće imati informacija o tome koja se metoda autentifikacije koristi niti koju je metodu korisnik odabrao.

Generalno, 3D Secure je proces koji se provodi radi dodatne sigurnosti prilikom online plaćanja kreditnim karticama. Cilj mu je smanjenje rizika od prijevara tako da od korisnika zahtjeva potvrdu identiteta putem koda ili lozinke.

3D Secure 2.0 je revizija tog procesa kako bi radio u skladu sa PSD2, odnosno sa Snažnom Autentifikacijom Korisnika.

Ubuduće, plaćanja putem kreditnih kartica će također zatijevati Snažnu Autentifikaciju Korisnika putem 3D Secure 2.0.

Snažna Autentifikacija Korisnika će biti osigurana od strane 3D Secure 2.0 koristeći, na primjer, aplikaciju koja je izdana od strane korisnikove banke. Stranica banke koja će biti prikazana na stranici od trgovca zahtijevati će od korisnika da otvori aplikaciju na svom pametnom uređaju. U ovisnosti o metodi, aplikacija može zahtijevati otisak prsta od korisnika.

Banke također mogu ponuditi i drugačije metode autentifikacije koje korisnik može odabrati.

Druge moguće metode uključuju: jednokratne lozinke prikazane korisniku putem posebne aplikacije, prepoznavanje lica putem aplikacije korisnikove banke.

Online transferi putem servisa za naplatu koji su pružani od strane SOFORT, iDeal, Multibanco ili Przelewy24 će također zahtijevati Snažnu Autentifikaciju korisnika u budućnosti.

Velik broj trgovaca i banaka neće moći podupirati Snažnu Autentifikaciju Korisnika do 14. rujna 2019., kao što je zahtjevano.

Kao rezultat toga, 21. lipnja 2019. European Banking Authority (EBA) predložio je države članice EU te njihova nadležna tijela zadužena za praćenje implementacije PSD2 trebaju ponuditi produžen period takvim kompanijama.

Kao rezultat toga, rok će biti ispoštovan u nekim državama, dok će ostale svojim bankama ponuditi produženi rok za implementaciju.
Unatoč tome, čak i u državama s produženim rokom za implementaciju, neke banke će početi koristiti Snažnu Autentifikaciju Korisnika od 14. rujna 2019.

Kako bi saznali kako će i kada Vaša banka zahtijevati Snažnu Autentifikaciju Korisnika, molimo kontaktirajte banku.