Payment Services Directive 2 (PSD2) i silne uwierzytelnienie klienta – FAQ

Dyrektywa PSD2 jest ważna od 13.01.2018. Stanowi wynik rozszerzonej regulacji obrotu płatniczego w Europie przez Komisję Europejską i została przejęta w pojedynczych państwa UE jako prawo lokalne.

Regulacje, które pociąga za sobą PSD2, wchodzą jednak w życie dopiero dnia 14.09.2019.

Jednym z głównych celów tych zmian jest zapewnienie klientowi wyższego stopnia bezpieczeństwa podczas dokonywania płatności w internecie. Centralnym środkiem do osiągnięcia tego celu jest obowiązkowe stosowanie silnego uwierzytelnienia klienta. Uwierzytelnienie to musi zostać przeprowadzone przed dokonaniem bankowej płatności online (np. za pomocą karty kredytowej lub przelewu online).

Dlatego większość banku w przeciągu ostatnich miesięcy kontaktowała się ze swoimi klientami, aby poinformować ich o nadchodzących zmianach i związanych z nimi modyfikacjach ich Ogólnych Warunków Umowy.

W przyszłości przed autoryzacją płatności online banki będą musiały sprawdzić dwa z trzech aspektów swoich klientów:

• własność (np. karta kredytowa, smartfon)
• wiedza (np. PIN)
• indywidualne osobiste lub cielesne cechy danego klienta (np. odcisk palca, rozpoznanie twarzy).

Klient musi zatem w ramach silnego uwierzytelnienia autoryzować płatność za pomocą np. odcisku swojego palca, który wprowadzi w specjalnej aplikacji swojego smartfona.

Te tzw. metody biometryczne mają ułatwić klientowi uwierzytelnienie, ponieważ wymagają od niego tego, co i tak ma cały czas przy sobie. W powyżej podanym przykładzie są to smartfon klienta oraz odcisk jego palca.

Statyczne hasła nie będą już wystarczać.

W przypadku płatności kartą kredytową banki muszą wymagać silnego uwierzytelnienia klienta od strony handlarza. Handlarze muszą zatem zadbać o możliwość uwierzytelnienia klienta na ich stronach przez stronę danego banku. W ten sposób żadna nieupoważniona osoba nie będzie miała dostępu do konta bankowego danego klienta i nie będzie mogła dokonać płatności w jego imieniu.

Także płatności za pomocą przelewu bankowego za pośrednictwem takich usług jak np. SOFORT w Niemczech lub iDeal w Holandii wymagają silnego uwierzytelnienia klienta.

Nie. PSD2 przewiduje w zastosowaniu silnego uwierzytelnienia klienta pewne wyjątki.
Silne uwierzytelnienie klienta nie jest ewentualnie wymagane, gdy

• według banku klienta istnieje znikome ryzyko, że dana płatność nie jest wykonywana przez klienta, lecz przez nieupoważnioną osobę trzecią.
• cena do zapłacenia opiewa na maks. 30 euro. Wskazówka: banki muszą jednak ponownie wymagać silnego uwierzytelnienia klienta, jeśli od ostatniego uwierzytelnienia dokonano pięć płatności, lub jeśli suma płatności od ostatniego uwierzytelnienia przekroczyła 100 euro.
• klient płaci u handlarza, którego zgłosił w swoim banku jako godnego zaufania. Zazwyczaj może tego dokonać w trakcie procesu uwierzytelnienia.

Ważne:
Bank klienta może mimo wszystkich wyjątków w każdej chwili zażądać silnego uwierzytelnienia klienta. Nie ma zatem gwarancji na brak wymogu silnego uwierzytelnienia klienta.

Silne uwierzytelnienie klienta nigdy nie jest wymagane, gdy

• klient udzielił handlarzowi pozwolenia do realizacji płatności. Pozwolenie takie jest udzielane podczas rejestracji klienta do odpowiedniej usługi handlarza. Klient podaje w trakcie tej rejestracji wszystkie dane wymagane do przeprowadzenia płatności i dokonuje silnego uwierzytelnienia klienta.
• płatność przebiega w ramach subskrypcji. W tym przypadku klient przeprowadza silne uwierzytelnienie klienta tylko raz, subskrybując daną usługę.

O metodzie silnego uwierzytelnienia udostępnionej klientowi decyduje ostatecznie jego bank. Handlarze nie mają na nią żadnego wpływu.

Handlarze nie widzą także, którą z metod silnego uwierzytelnienia wybierze klient.

Wynika to z tego, że wyświetlanie stron do silnego uwierzytelnienia klienta banków stosuje tzw. iFrames lub korzysta się z zewnętrznych usług płatniczych (np. iDeal).

Na zawartość stron ukazywanych w iFrame handlarze nie mają żadnego wpływu i nie mają do nich dostępu.

Także w przypadku metod płatniczych, przy których handlarz przekierowuje klienta do usług płatniczych (np. SOFORT), sam handlarz nie wie, jakie metody klient będzie miał do wyboru i którą z nich wybierze.

3D Secure to proces, który ma gwarantować bezpieczeństwo płatności kartą kredytową w internecie. Redukuje ryzyko oszustwa, wymagając od klienta potwierdzenia swojej tożsamości za pomocą kodu lub hasła.

3D Secure 2.0 stanowi udoskonalenie tego procesu, którego celem jest sprostanie wymogom normy PSD2, czyli silnego uwierzytelnienia klienta.

W przypadku płatności kartą kredytową silne uwierzytelnienie klienta będzie w przyszłości gwarantowane za pomocą zastosowania metody 3D Secure 2.0.

Silne uwierzytelnienie klienta metodą 3D Secure 2.0 przebiega np. za pomocą aplikacji banku danego klienta. W takim przypadku klient otrzyma na stronie danego handlarza powiadomienie od swojego banku, aby uruchomić tę aplikację na swoim smartfonie. W zależności od metody aplikacja poprosi np. o uwierzytelnienie za pomocą odcisku palca na smartfonie.

Banki udostępnią prawdopodobnie kilka metod do wyboru dla swoich klientów.

Inne metody to np.: jednorazowe hasła generowane przez specjalną aplikację lub rozpoznawanie twarzy za pomocą aplikacji banku klienta.

Także przelewy bankowej online za pośrednictwem takich usług jak np. SOFORT, iDeal, Multibanco lub Przelewy24 będą wymagać w przyszłości silnego uwierzytelnienia klienta.

Wielu handlarzy oraz wiele banków do 14.09.2019 nie będzie jeszcze w stanie wspierać w pełnym zakresie silnego uwierzytelnienia klienta.

Dlatego European Banking Authority (EBA) dnia 21.06.2019 poleciła państwom UE i ich odpowiedzialnym za realizację PSD2 urzędom nadzoru finansów, aby wyznaczyć dotkniętym zmianami przedsiębiorstwom późniejsze ultimatum.

W wyniku tego polecenia niektóre państwa postanowiły pozostać przy pierwotnym terminie, a inne przedłużyły bankom okres adaptacji.
Jednak także w państwach z przedłużonym okresem adaptacji znajdą się banki, które dotrzymają pierwotnego terminu i będą wymagać silnego uwierzytelnienia klienta już od 14.09.2019.

Aby się dowiedzieć, od kiedy Twój bank będzie wymagać silnego uwierzytelnienia klienta i jaką metodą będzie się w tym celu posługiwać, chcemy Cię poprosić o skontaktowanie się z Twoim bankiem.