Payment Services Directive 2 (PSD2) и Поуздана аутентификација клијента – FAQ

PSD2 ступио је на снагу 13. јануара 2018. Резултат је проширења регулаторних захтева од стране EU комисије које регулишу плаћања у EU, а земље чланице су пренеле у локално законодавство.

Одредбе PSD2 ступају на снагу тек 14. септембра 2019. године.

Један од главних циљева је учинити онлине плаћања сигурнијим за купце. Основна компонента у остваривању овог циља је обавезна употреба поуздане аутентификације клијента Ово се мора извршити пре него што се изврше било каква плаћања на мрежи заснована на банкарству (нпр. Плаћања кредитном картицом или интернетски трансфери).

Већина банака је већ контактирала своје клијенте последњих месеци како би их обавестила о предстојећим променама и променама њихових Услова и одредби.

У будућности банке морају да провере два од три критеријума која се односе на клијента пре него што покрену онлајн плаћања:

• нешто што поседујете (нпр. кредитна картица, паметни телефон)
• нешто што знате (нпр. ПИН)
• нешто лично (нпр. отисак прста, црте лица)

То значи да ће клијенту за испуњавање строгих захтева за поуздану аутентификацију клијента можда требати да достави и отисак отиска прста користећи паметни телефон како би одобрио плаћање.

Овакве методе биометријске аутентификације олакшавају купцу да се идентификује, јер само треба да обезбеди нешто што увек има код себе, у овом случају паметни телефон и отисак прста.

Статичне лозинке више нису довољне.

Банке морају захтевати да трговци ураде поуздана аутентификација клијента за плаћање кредитним картицама. Трговци су стога дужни да на својој веб страници приказују страницу банке преко које се клијент недвосмислено може идентификовати. На тај начин се осигурава да ниједна неовлашћена особа не може приступити овом банковном рачуну и извршавати уплате у име клијента.

Трансфери за плаћање трећих страна, као што су SOFORT у Немачкој или iDeal у Холандији, такође захтевају поуздана аутентификација клијента.

Не. PSD2 предвиђа изузетке у употреби поуздана аутентификација клијента.
Поуздана аутентификација клијента можда неће бити потребна када:

• банка клијента сматра занемарљивим ризиком да плаћање буде од неовлашћене треће стране, а не од клијента
• плаћање је максималне вредности 30 EUR. Напомена: Банке морају, међутим, захтевати поуздану аутентификацију клијента ако је извршено пет уплата од последње аутентификације или укупан износ у уплатама од последње аутентификације премашује 100 EUR.
• купац плаћа трговцу коме је корисник „додан на листу“ од своје банке као поуздан корисник. Клијент то може учинити током поступка аутентификације.

Важно:
Упркос овим изузецима, банка може у сваком тренутку затражити поуздана аутентификација клијента Не постоји гаранција да се неће тражити поуздана аутентификација клијента.

Поуздана аутентификација клијента купца никада није потребна када:

• купац је трговцу дао пуномоћ за покретање плаћања. То се догађа када се купац региструје за услуге трговца. Клијент пружа акредитиве потребне за плаћање и пружа поуздану аутентификацију клијента.
• плаћање се врши за претплату. У таквим случајевима, купац мора приликом узимања претплате само једном пружити поуздану аутентификацију клијента.

Банка клијента на крају одлучује који ће начин поуздане аутентификације клијента бити понуђен. Трговац се у вези са тим ништа не пита.

Трговац такође нема сазнања о томе који начин поуздане аутентификације клијента је одабран и пружен.

То је загарантовано чињеницом да се ифрејмс користе за приказивање страница за поуздани аутентификацији клијента, као што то пружа банка или трећи добављачи плаћања (нпр. iDeal).

Трговац нема утицаја на садржај ифрејма који је приказан на њиховој веб страници.

Слично је и за начине плаћања у којима трговац прослеђује купца на локацију добављача плаћања (нпр. SOFORT), они не знају који начин провере аутентичности пружа или бира купац.

3D заштита у целини је процес који је осмишљен да обезбеди сигурност плаћања путем кредитних картица на мрежи. Циљ му је смањити ризик од преваре тако што ће клијент потврдити свој идентитет помоћу кода или лозинке.

3D Secure 2.0 је ревизија овог процеса како би га ускладила са захтевима PSD2, тачније поуздане аутентификације клијента.

У будућности ће за плаћање кредитном картицом бити потребна и поуздана аутентификација клијента са употребом 3D Secure 2.0.

поуздана аутентификација клијента биће обезбеђена 3D Secure 2.0 користећи, на пример, апликацију коју обезбеђује клијентова банка. Банковна страница приказана на веб локацији трговца захтева од купца да отвори апликацију на свом паметном телефону. У зависности од одређеног метода, апликација тада може затражити отисак прста купца на паметном телефону.

Банке могу понудити различите начине аутентификације за клијента између којјих могу бирати.

Остале могуће методе укључују: једнократне лозинке које се клијенту приказују у посебној апликацији или препознавање лица путем банкарске апликације клијента.

Интернетски трансфери преко услуга плаћања које пружају компаније попут SOFORT, iDeal, Multibanco или Przelewy24 такође ће бити обавезни да изврше поуздану аутентификацију клијената у будућности.

Многи трговци и банке неће бити у могућности да подрже поуздану аутентификацију клијената до 14. септембра 2019. године, као што се захтева.

Као резултат тога, 21. јуна 2019. European Banking Authority (EBA) препоручила је да државе чланице EU и њихове финансијске власти одговорне за надгледање примене PSD2 таквим компанијама понуде продужени рок примене.

Као резултат тога, у неким се земљама поштује рок, док ће у другим банке пружити продужени рок имплементације.
Без обзира на то, чак и у земљама са продуженим периодом имплементације неке банке ће почети да користе поуздану аутентификацију клијената од 14. септембра 2019. године.

Да бисте сазнали како и када ће ваша банка захтевати поуздана аутентификација клијента, обратите се својој банци.