Payment Services Directive 2 (PSD2) ja Kliendi tugev autentimine - KKK

PSD2 jõustus 13. jaanuaril 2018. See on Euroopa Komisjoni poolt täiustatud ning EL-i individuaalsete liikmesriikide poolt täitmisele kuuluv Euroopas tehtavaid makseid hõlmav akt.

PSD2-s sätestatud reeglid jõustuvad 14. septembril 2019.

Üheks peaeesmärgiks on veebimaksete muutmine turvalisemaks klientide jaoks. Peamine võtmeaspekt selle eesmärgi poole püüdlemisel on kohustus kasutada Kliendi tugevat autentimist. Seda peab tegema enne mistahes pangapõhist veebimakset (nt krediitkaardimaksed või pangaülekanded).

Enamus pankasid on viimastel kuudel oma kliente eelseisvatest muutustest ning muudatustest nende kasutustingimustes juba teavitanud.

Edaspidi peavad pangad enne veebimakse sooritamist kasutama kaht või kolme kliendiga seotud turvameedet:

• midagi, mida sa omad (nt krediitkaart, nutiletelefon)
• midagi, mida sa tead (nt PIN)
• midagi kliendilt (nt sõrmejälg, näotuvastus)

See tähendab, et Kliendi tugeva autentimise tingimuste täitmiseks võidakse kliendilt nõuda makse sooritamiseks sõrmejälge.

Sellised biomeetrilised autentimismeetodid võimaldavad klientidel end kergesti identifitseerida, sest nad peavad kasutama midagi, mis neil alati kaasas on, antud juhul on nendeks nutitelefon ja sõrmejälg.

Staatilistest salasõnadest enam ei piisa.

Pangad nõuavad kaupmeestelt Kliendi tugeva autentimise kasutamist krediitkaardimaksetes. Kaupmeestel lasub kohustus oma lehtedel kuvada lehte pangast, mille kaudu saab klient end identifitseerida. See kindlustab, et volitamata isikud ei saa ligipääsu antud pangakontole ega teha kliendi nimel makseid.

Ülekandemaksed kolmandate osapoolte poolt, näiteks SOFORT Saksamaal ning iDeal Madalmaades, nõuavad samuti Kliendi tugevat autentimist.

Ei, PSD2 võimaldab Kliendi tugevas autentimises teatud erandeid.
Kliendi tugev autentimine ei pruugi olla vajalik kui:

• kliendi panga arvates on kaduvväike tõenäosus, et makse sooritab selleks volitamata kolmas osapool
• makse on summas kuni 30 EUR. Märkus: pangad peavad nõudma Kliendi tugevat autentimist, kui viimasest autentimisest saadik on tehtud viis makset või kui viimasest autentimisest tehtud maksete kogusumma ületab 100 EUR.
• klient maksab kaupmehele, kelle ta on oma pangas märkinud kui 'usaldusväärse' kasusaaja. Klient saab seda tavaliselt teha autentimisprotsessi ajal.

Tähtis:
Neist eranditest hoolimata võib kliendi pank iga kell nõuda Kliendi tugevat autentimist. Ei ole garantiid, et Kliendi tugevat autentimist ei nõuta.

Kliendi tugevat autentimist ei nõuta kunagi, kui:

• klient on andnud kaupmehele maksete sooritamiseks mandaadi. See juhtub siis, kui klient registreerub kaupleja teenus(t)ele. Klient annab makse tegemiseks vajalikud andmed ning täidab ka Kliendi tugeva autentimise tingimused.
• makse tehakse tellimuse jaoks. Neil juhtudel peab klient täitma Kliendi tugeva autentimise tingimused vaid ühe korra, tellimusega liitudes.

Kliendi pangal on lõppsõna otsustamaks millist Kliendi tugeva autentimise meetodit pakkuda. Kaupmehel pole selles osas sõnaõigust.

Lisaks ei tea kaupmees, millise Kliendi tugeva autentimise meetodi klient valib ja täidab.

Seda garanteerib tõsiasi, et Kliendi tugeva autentimise kuvamiseks panga või kolmanda makseosapoole poolt (nt iDeal) kasutatakse iframe elemente.

Kaupmees ei saa mõjutada ega pääse ligi tema lehel kuvatavale iframe elementide sisule.

Sarnaselt ei ole võimalik näha valitud autentimismeetodit, kui kaupmees suunab kliendi makseteenuse osutaja lehele (nt SOFORT).

3D Secure on veebis sooritatud krediitkaardimaksete jaoks paremat turvalisust pakkuv teenus. Selle eesmärgiks on vähendada pettuste arvu koodi või salasõna abil, mida klient peab kasutama oma isiku tõendamiseks.

3D Secure 2.0 on selle protsessi uuendus ning nüüd vastab see PSD2 nõudmistele, täpsemalt Kliendi tugevale autentimisele.

Tulevikus on ka krediitkaardimaksete jaoks vaja kasutada Kliendi tugevat autentimist läbi 3D Secure 2.0-i.

Kliendi tugevat autentimist haldab 3D Secure 2.0, kasutades selleks näiteks kliendi panga loodud rakendust. Panga leht kaupmehe saidil nõuab, et klient avab selle rakenduse oma nutitelefonis. Olenevalt valitud meetodist võib rakendus nõuda telefonis ka kliendi sõrmejälge.

Pangad võivad lubada klientidel valida erinevate autentimismeetodite vahel.

Teiste võimalike variantide hulka kuuluvad näiteks ühekordsed salasõnad, mida kuvatakse kasutajale erilises rakenduses ning näotuvastus kliendi panga rakenduses.

Ülekanded makseteenuste (nt SOFORT, iDeal, Multibanco või Przelewy24) kaudu on samuti edaspidi kohustatud käima läbi Kliendi tugeva autentimise.

Paljud kaupmehed ei ole võimelised nõuetekohaselt alates 14. septembrist 2019 Kliendi tugevat autentimist toetama.

Seetõttu soovitas European Banking Authority (EBA) 21. juunil 2019, et EL-i liikmesriigid ning nende finantsinstitutsioonid, kes kontrollivad PSD2 täideviimist, lubavad sellistele firmadele pikendusaega.

Seetõttu kasutatakse mõnedes riikides antud tähtaega, teistes aga võimaldatakse pankadele eelpool mainitud pikendusaega.
Sellegipoolest hakkavad mõned pangad alates 14. septembrist 2019 nõudma Kliendi tugevat autentimist ka pikendatud tähtajaga riikides.

Et saada teada, kas ja kuidas hakkab teie pank nõudma Kliendi tugevat autentimist, võtke palun ühendust oma pangaga.