Payment Services Directive 2 (PSD2) in Močna avtentikacija uporabnika (MAU) - FAQ

PSD2 je stopila v veljavo 13. januarja 2018. To je rezultat razširitve obveznih zahtev Komisije EU za nadziranje plačil v Evropi in je stopila v lokalno pristojnost individualnih EU držav.

Zagotovitev PSD2 stopi v veljavo 14. septembra 2019.

En glavnih ciljev je narediti spletna plačila bolj varna za stranke. Osrednja komponenta zasledovanja tega cilja je obvezna uporaba Močne avtentikacije uporabnika. To mora biti izvedeno preden pride do spletnega plačila preko banke (npr. kartična plačila ali spletni prenosi).

Večina bank je že obvestila stranke v zadnjih mesecih o prihajajočih spremembah in dodatkih k njihovim pogojem uporabe.

V prihodnosti morajo banke potrditi dva od treh kriterijev, ki se nanašajo na stranko pred izvedbo spletnega plačila:

• nekaj, kar si lastiš (npr. kreditna kartica, pametni telefon)
• nekaj, kar veš (npr. PIN)
• nekaj, kar si (npr. prstni odtis, značilnosti obraza)

To pomeni, da mora stranka za zadostitev zahtevam Močne avtentikacije uporabnika zagotoviti prstni odtis z uporabo pametnega telefona za potrditev plačila.

Takšna biometrična potrditev olajša stranki identificiranje, saj lahko le stranka zagotovi nekaj, kar ima vedno s sabo, v tem primeru pametni telefon in prstni odtis.

Statična gesla niso več zadostna.

Banke morajo zahtevati, da trgovec za plačila s kreditno kartico zahteva Močno avtentikacijo uporabnika. Trgovci morajo zato prikazati stran banke na svoji spletni strani, preko katere lahko stranka nedvomno dokaže svojo identiteto. To zagotavlja, da nepooblaščene osebe nimajo dostopa do tega bančnega računa in plačujejo v imenu stranke.

Transferna plačila tretjih oseb, kot je SOFORT v nemčiji in iDeal na Nizozemskem, podobno zahtevajo Močno avtentikacijo uporabnika.

Ne. PSD2 nudi določene izjeme pri uporabi močne potrditve uporabnika.
Močna avtentikacija uporabnika ni potrebna, ko:

• uporabnikova banka zagotovi neznatno tveganje, da je plačilo nepotrjene tretje osebe namesto uporabnika
• najvišji znesek plačila je 30 EUR. Pazi: Banke morajo vsekakor zahtevati Močno potrditev uporabnika, če je bilo od zadnje avtentikacije opravljenih pet plačil ali pa skupni znesek plačil od zadnje avtentikacije presega 100 EUR.
• stranka plača trgovcu, ki ima stranko na beli listi z njegovo banko kot del zaupanja vredne stranke. Stranka lahko to normalno naredi med procesom avtentikacije.

Pomembno:
Kljub tem izjemam, lahko strankina banka kadarkoli zahteva Močno avtentikacijo uporabnika. Ni zagotovila, da Močna avtentikacija uporabnika ne bo zahtevana.

Močna avtentikacija uporabnika ni nikoli zahtevana, ko:

• stranka podeli trgovcu mandat za začetek plačil. To se zgodi, ko se stranka registrira pri trgovčevih storitvah. Stranka zagotovi potrebne podatke za izvedbo plačil in zagotovi Močno avtentikacijo uporabnika.
• je plačilo za naročnino. V teh primerih mora stranka zagotoviti Močno avtentikacijo uporabnika le enkrat, ko se prijavi na naročnino.

Strankina banka odloči, kateri način Močne avtentikacije uporabnika bo ponujen. Trgovec pri tem nima nikakršne besede.

Trgovec prav tako ne ve, kakšen način Močne avtentikacije uporabnika stranka uporabi in zagotovi.

To je zagotovljeno, glede na to, da so za prikaz strani Močne avtentikacije uporabnika uporabljeni iframei, kot so zagotovljeni s strani bank ali zunanjih ponudnikov (npr. iDeal).

Trgovec nima vpliva na dostop do iframe vsebin, prikazanih na njegovi spletni strani.

Podobno velja za načine plačila, kjer trgovec posreduje stranko na stran ponudnika plačil (npr. SOFORT), saj tudi oni ne poznajo načina avtentikacije, ki je ponujen ali izbran s strani stranke.

3D Secure je na splošno proces, zasnovan za zagotavljanje varnosti pri spletnih plačilih s kreditnimi karticami. Tako zmanjšuje tveganje prevare, saj mora stranka potrditi identiteto s kodo ali geslom.

3D Secure 2.0 je revizija tega procesa, da ustreza PSD2, posebej Močno avtentikacijo uporabnika.

V prihodnosti bodo plačila s kreditnimi karticami tudi zahtevala Močno avtentikacijo uporabnika z uporabo 3D Secure 2.0.

Močna avtentikacija uporabnika bo zagotovljena s 3D Secure 2.0, na primer, aplikacijo, ki jo nudi strankina banka. Bančna stran, prikazana na strani trgovca bo zahtevala, da stranka odpre aplikacijo na pametnem telefonu. Glede na točno metodo, bo lahko aplikacija zahtevala strankin prstni odtis na pametnem telefonu.

Banke lahko ponudijo druge vrste avtentikacije, ki jih lahko stranka izbere.

Druge razpoložljive metode vsebujejo: enkratna gesla, prikazana stranki v posebni aplikaciji ali prepoznavo obraza preko bančne aplikacije stranke.

Spletni prenosi preko ponudnikov spletnih plačil, kot je SOFORT, iDeal, Multibanco ali Przelewy24, bodo morali v prihodnosti tudi zbirati Močno avtentikacijo uporabnika.

Veliko trgovcev in bank ne bo moglo podpirati Močne avtentikacije uporabnika do 14. septembra 2019, kot je zahtevano.

Zaradi tega je 21. junija 2019 European Banking Authority (EBA) priporočila, da EU države in njihove finančne institucie, ki so odgovorne za nadzor implementacije PSD2 ponudijo podaljšano obdobje implementacije takšnim podjetjem.

Zato bo v nekaterih državah rok spoštovan, drugje pa bodo banke podaljšale čas implementacije.
Treba je vedeti, da bodo tudi v državah s podaljšanjem, banke začele uporabljati Močno avtentikacijo uporabnika od 14. septembra 2019.

Za informacijo o tem, kdaj in kako bi banka zahtevala Močno avtentikacijo uporabnika, prosimo kontaktiraj svojo banko.