Payment Services Directive 2 (PSD2) ja Vahva asiakkaan todentaminen – FAQ (UKK)

PSD2 tuli voimaan 13. tammikuuta 2018. Se on lopputulos EU:n komission maksuvaatimuksia koskevien sääntöjen laajentamisesta Euroopassa, ja yksittäiset EU:n jäsenvaltiot ovat saattaneet sen osaksi kansallista lainsäädäntöään.

PSD2 :n säännökset tulevat kuitenkin käyttöön vasta 14. syyskuuta 2019.

Yksi päätavoitteista on tehdä online-maksut turvallisemmiksi asiakkaille. Ydinosa tämän tavoitteen saavuttamisessa on Vahvan asiakkaan todentamisen pakollinen käyttö. Tämä on suoritettava ennen pankkipohjaisten online-maksujen suorittamista (esim. luottokorttimaksut tai online-siirrot).

Suurin osa pankeista on jo ottanut yhteyttä asiakkaisiinsa viime kuukausina ilmoittaakseen heille tulevista muutoksista ja muutoksista heidän käyttöehtoihinsa.

Pankkien on tulevaisuudessa tarkistettava kaksi kolmesta asiakasta koskevasta kriteeristä ennen verkkomaksun aloittamista:

• jotain jonka omistat (esim. luottokortti, älypuhelin)
• jotain jonka tiedät (esim. PIN)
• jotain jota olet (esim. sormenjälki, kasvojentunnistus)

Tämä tarkoittaa sitä, että täyttääkseen Vahvan asiakkaan todentamisen vaatimukset. asiakkaan täytyy mahdollisesti antaa sormenjälkensä, käyttäen älypuhelinta, antaakseen luvan maksulle.

Tällaisten biometristen todennusmenetelmien avulla asiakkaan on helppo tunnistaa itsensä, koska heidän on toimitettava ainoastaan jotain, mikä heillä on aina mukanaan, tässä tapauksessa älypuhelin ja sormenjälki.

Staattiset salasanat eivät ole enää riittäviä.

Pankkien on vaadittava, että kauppiaat vaativat Vahvaa asiakkaan todentamista luottokorttimaksuihin. Siksi kauppiaita vaaditaan näyttämään verkkosivustollaan pankkisivu, jonka kautta asiakas voi yksiselitteisesti tunnistuttaa itsensä. Tämä varmistaa, että luvattomat henkilöt eivät saa pääsyä tälle pankkitilille ja suorita maksuja asiakkaan nimissä.

Kolmansien osapuolien tekemät siirtomaksut, kuten SOFORT Saksassa tai iDeal Alankomaissa, samaan tapaan vaativat Vahvan asiakkaan todentamisen.

Ei. PSD2 sallii tiettyjä erityisehtoja Vahvaan asiakkaan todentamiseen.
Vahvaa asiakkaan todentamista ei välttämättä vaadita kun:

• asiakkaan pankki pitää vähäisenä riskiä, että maksu tapahtuu luvattomalta kolmannelta osapuolelta eikä asiakkaalta
• maksun enimmäisarvo on 30 euroa. Huomaa: Pankin täytyy kuitenkin vaatia Vahvaa asiakkaan todentamista, mikäli viisi maksua on tehty edellisen todentamisen jälkeen, tai edellisen todentamisen jälkeen on tehty ostoksia yhteensä yli 100 euron edestä.
• asiakas maksaa kauppiaalle, jonka asiakas on ”listannut" pankkinsa kanssa luotettavaksi edunsaajaksi. Asiakas voi yleensä tehdä tämän varmistusprosessin aikana.

Tärkeää:
Huolimatta näistä erityisehdoista, asiakkaan pankki voi vaatia Vahvaa asiakkaan todentamista koska tahansa. Ei ole takuita siitä, että Vahvaa asiakkaan todentamista ei vaadittaisi.

Vahva asiakkaan todentaminen ei ole koskaan vaadittu kun:

• asiakas on antanut kauppiaalle valtuudet säännöllisiin maksuihin. Tämä tapahtuu silloin, kun asiakas rekisteröityy kauppiaan palveluun. Asiakas toimittaa maksujen suorittamiseen tarvittavat käyttöoikeustiedot ja antaa Vahvan asiakkaan todentamisen.
• maksu tehdään kuukausitilaukseen. Tällaisissa tapauksissa, asiakkaan täytyy antaa Vahva asiakkaan todentaminen ainoastaan kun hän rekisteröityy kuukausitilaukseen.

Asiakkaan pankki loppupeleissä päättää mitä Vahvaa asiakkaan todentamisen tapaa tarjotaan. Kauppiaalla ei ole sananvaltaa asiaan.

Kauppiaalla ei myöskään ole tietoa siitä, minkä Vahvan asiakkaan todentamisen tavan asiakas valitsee ja tarjoaa.

Tämän takaa se, että iframe-kehyksiä käytetään Vahvan asiakkaan todentamisen sivujen näyttämiseen, pankin tai kolmansien osapuolien maksupalveluntarjoajien (esim. iDeal) toimesta.

Kauppiaalla ei ole vaikutusvaltaa tai pääsyä verkkosivustollaan näytetyn iframe-kehyksen sisältöön.

Samoin maksutavoissa, joissa kauppias välittää asiakkaan maksupalveluntarjoajan sivustolle (esim. SOFORT), he eivät tiedä mitä todentamismenetelmää on tarjottu tai asiakas valinnut.

3D Secure on yleisesti prosessi, joka on suunniteltu antamaan suojaa tehtäessä luottokorttimaksuja verkossa. Sen tarkoituksena on vähentää petosriskiä, laittamalla asiakas vahvistamaan henkilöllisyytensä koodilla tai salasanalla.

3D Secure 2.0 on uudistus tähän prosessiin, jotta se saataisiin samalle viivalle PSD2 :n vaatimuksien kanssa, erityisesti Vahvan asiakkaan todentamisen.

Tulevaisuudessa, maksut luottokortilla tulevat myös vaatimaan Vahvan asiakkaan todentamisen käyttäen 3D Secure 2.0.

Vahva asiakkaan todentaminen tullaan varmistamaan 3D Secure 2.0 :ssa käyttäen, esimerkiksi, sovellusta jonka asiakkaan pankki toimittaa. Pankkisivu, joka esitetään kauppiaan sivulla, pyytää asiakasta avaamaan sovelluksen älypuhelimella. Määrätystä menetelmästä riippuen, sovellus saattaa sen jälkeen vaatia asiakkaan sormenjäljen lukemisen älypuhelimella.

Pankki tarjoaa erilaisia tunnistautumistapoja asiakkaalle, joista valita.

Muut mahdolliset tavat sisältävät: yhden kerran salasana näytettynä asiakkaalle erityisessä sovelluksessa, kasvojentunnistus asiakkaan pankkisovelluksen kautta.

Online-siirrot maksupalveluntarjoajien, kuten SOFORT, iDeal, Multibanco tai Przelewy24, kautta edellytetään myös keräävän tulevaisuudessa Vahvaa asiakkaan todentamista.

Monet kauppiaat ja pankit eivät ole kykeneviä tukemaan Vahvaa asiakkaan todentamista heti 14. syyskuuta 2019, kuten vaadittu.

Tuloksena, 21. kesäkuuta 2019 European Banking Authority (EBA) suositteli, että EU-jäsenmaat ja heidän taloudelliset tahonsa, jotka ovat vastuussa PSD2 :n sisällyttämisestä, voisivat tarjota jatkettua täytäntöönpanoaikaa näille yhtiöille.

Tuloksena, määräaikaa noudatetaan joissakin maissa, kun taas toiset tarjoavat pankeille jatketun täytäntöönpanoajan.
Tästä huolimatta, jopa maissa joissa jatkettua täytäntöönpanoaikaa annettiin, jotkin pankit alkavat käyttää Vahvaa asiakkaan todentamista 14. syyskuuta 2019 alkaen.

Saadaksesi tietää kuinka ja milloin pankkisi tulee vaatimaan Vahvaa asiakkaan todentamista, ole yhteydessä pankkiisi.