Payment Services Directive 2 (PSD2) и усиленная аутентификация пользователей — вопросы и ответы.

PSD2 вступила в силу 13 января 2018 года. Эта директива направлена на реализацию усиленных предписаний по безопасности платежей в Европе, разработанных Европейской Комиссией, которые впоследствии были приняты в местных законотворческих органах стран-членов ЕС.

Положения PSD2 вступают в силу 14 сентября 2019 года.

Одной из основных целей является усиление безопасности онлайн-платежей. Основным средством в достижении данной цели является усиление аутентификации пользователей. Эта мера состоится перед проведением любого из банковских онлайн-платежей (например, оплата кредитной картой или онлайн-перевод).

Большинство банков уже выслало информацию пользователям о том, какие изменения их ждут в рамках условий и положений.

В будущем, банки обязаны будут подтвердить личность пользователя перед проведением онлайн-платежа посредством удовлетвореня двух из трех нижестоящих критериев:

• наличие принадлежащего предмета (например, кредитная карта, смартфон)
• наличие знаний (например, пин-код)
• наличие физического подтверждения (например, отпечатки пальцев, лицо)

Это значит, что в соответствии с требованиями усиленной аутентификации пользователей, пользователь может быть обязан подтвердить платеж отпечатком пальца на смартфоне.

Некоторые биометрические методы аутентифицации с легкостью позволяют пользователю подтвердить личность, т.к. в таком случае понадобится лишь что-то, что они всегда имеют при себе, т.е. смартфон и отпечаток пальца.

Предустановленный пароль более не считается достаточным.

Банки должны требовать от торговцев проведение усиления аутентификации пользователей при оплате кредитной картой. Таким образом, торговцы будут обязаны отобразить страницу банка на своем сайте, на которой пользователь сможет непосредственно пройти процедуру аутентификации. Таким образом исключается неавторизованный доступ третьих лиц к банковском счету и проведению неавторизавнных оплат от лица пользователя.

Проведение платежей с помощью третьих лиц, как например SOFORT в Германии или iDeal в Нидерландах, также подпадает под действие усиленной аутентификации.

Нет. PSD2 предусматривает определенные ограничения в усилении аутентификации пользователей.
Усиление аутентификации пользователей может не требоваться в следующих случаях:

• банк пользователя считает риск того, что оплата производится неавторизованным третьим лицом, а не клиентом, незначительным
• производимая оплата не превышает сумму 30 евро. Примечание: банки обязаны запрашивать усиленную аутентификацию пользователей в случае, если она не проводилась в течение последних пяти платежей или если общая сумма платежей с последней аутентификации превышает 100 евро.
• если оплата производится торговцу, отмеченному банком как "доверенный". Пользователь может произвести данные действия в процессе аутентификации.

Важно:
Несмотря на эти исключения, банк пользователя может запросить усиленную аутентификацию пользователя в любое время. Нет гарантии, что банк не запросит усиленную аутентификацию пользователя.

Усиление аутентификации пользователей никогда не требуется в следующих случаях:

• пользователь предоставил торговцу разрешение на проведение оплаты. Это происходит, когда пользователь регистрируется на получение услуг торговца. В таком случае пользователь предоставляет необходимую информацию для проведения платежей и обеспечивает осуществление усиленной аутентификациию
• оплата проводится по подписке. В таком случае пользователь проходит процедуру усиленной аутентификации лишь однажды при регистрации подписки.

Банк пользователя решает, какие методы усиленной аутентификации он будет предлагать пользователю. Торговец не влияет на этот вопрос.

Торговец не будет получать информацию о том, какой метод усиленной аутентификации выбран и проводится пользователем.

Этот факт гарантируется тем, что страница для усиленной аутентификации предоставляется банком или посредником в проведении платежей (например, iDeal).

Торговец не будет влиять или иметь доступ к отображаемой странице.

При выборе метода оплаты, при котором торговец переведет пользователя на страницу посредника в проведении платежей (например, SOFORT), он также не будет знать, какой метод аутентификации был предложен или выбран пользователем.

3D Secure — это процесс, призванный обеспечивать безопасность при оплате кредитной картой онлайн. Его цель — снизить риск мошенничества посредством подтверждения личности пользователя с помощью пароля или кода.

3D Secure 2.0 — это обновление данного процесса, направленное на его соответствие нормам PSD2, в частности, усиленной аутентификации пользователя.

В будущем, платежи кредитной картой также будут подпадать под усиленную аутентификацию пользователя посредством прохождения процедуры 3D Secure 2.0.

Усиление аутентификации пользователей будет проводиться с помощью 3D Secure 2.0, в частности, например, посредством приложения, предоставленного банком пользователя. Банковская страница, отображенная на сайте торговца, будет предписывать пользователю открыть приложение банка на смартфоне. В зависимости от выбранного метода авторизации, приложение может запрашивать отпечаток пальца в качестве подтверждения личности пользователя.

Банки могут предоставлять различные варианты аутентификации на выбор пользователя.

Иные возможные методы аутентификации включают в себя: одноразовый пароль, отображаемый пользователю в специальном приложении или распознавание лица посредством банковского приложения пользователя.

Онлайн-переводы с помощью посредников как например SOFORT, iDeal, Multibanco или Przelewy24, также будут подпадать под действие усиленной аутентификации.

Многие банки и торговцы не будут готовы поддерживать процедуру усиленной аутентификации пользователей с 14 сентября 2019 года, как обязаны.

Вследствие этого, 21 июня 2019 года European Banking Authority (EBA) порекомендовала странам ЕС и их управляющим финансовым органам, ответственным за реализацию изменений, предусмотренных PSD2, ввести продленный период внесения изменений для таких компаний.

В результате этого, в части стран изменения будут проведены до окончания указанного срока, а в других странах вступит в силу продленный период внесения изменений.
Тем не менее, даже в странах с продленным периодом внесения изменений часть банков начнет проводить процедуру усиленной аутентификации пользователей с 14 сентября 2019 года.

Для информации о том, когда и как ваш банк введет процедуру усиленной аутентификации пользователей, свяжитесь с вашим банком.