25.09.2019

Европейский Союз: с 14 сентября 2019г. заработала норма SCA — строгая аутентификация клиентов при транзакциях банковскими картами

SCA в Европе

Предыстория:

следом за первой платёжной директивой Европейского Союза, вступившей в силу в далёком 2007г., и основным достижением которой стало создание единой зоны платежей в Евро (Single Euro Payments Area/SEPA), Европейский Союз с 13 января 2018 года начал переход ко второй платёжной директиве PSD2 (Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market). К этой дате банки должны были привести свою деятельность в соответствие с требованиями законодательства ЕС.

Пересмотренная Директива о платёжных услугах (PSD2) направлена ​​на:

  • дальнейшую модернизацию платёжных услуг в Европе в интересах потребителей и предприятий, что способствует развитию инновационных онлайн и мобильных платежей, более безопасных платежей и лучшей защиты потребителей;
  • увеличение прав потребителей во многих областях. К ним относятся снижение ответственности потребителей за несанкционированные платежи и введение безусловного («без вопросов») права на возмещение прямых дебетов в евро (применяется с января 2018 года);
  • запрет взимать дополнительную плату за платежи с помощью потребительских кредитных или дебетовых карт, как в магазинах, так и в Интернете (применяются с января 2018 года);
  • улучшение процедуры подачи жалоб — PSD2 обязывает государства-члены назначать компетентные органы для рассмотрения жалоб от пользователей платёжных услуг и других заинтересованных сторон, таких как ассоциации потребителей, если они считают, что их права, установленные Директивой, не были соблюдены. Поставщики платёжных услуг должны установить процедуру подачи жалоб для потребителей, которую можно использовать до обращения за внесудебным возмещением или до начала судебного разбирательства. Поставщики платежных услуг обязаны в письменной форме ответить на любую жалобу в течение 15 рабочих дней (с января 2018 года);

PSD2 также знаменует собой ещё один шаг к завершению единого цифрового рынка в ЕС и предоставляет потребителям больше и лучший выбор, когда дело доходит до розничных платежей.
Как видим, многие элементы PSD2 уже вступили в силу по всему ЕС 13 января 2018 года, а 14 сентября 2019 года после волнения, вызванного Общим регламентом о защите данных (GDPR) в 2019 году, который направлен прежде всего на обеспечение гражданам контроля над собственными персональными данными и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС, активировались новые улучшения:

  • надёжная система идентификации клиента, усиленная защита данных при передаче их сторонним провайдерам;
  • изменения касательно контента, публикуемого в Интернете—новый набор правил авторского права.

Итак, детальнее о строгой аутентификации клиентов (Strong Customer Authentication/SCA):

PSD2 обязывает поставщиков платёжных услуг применять SCA, когда плательщик инициирует транзакцию электронного платежа.

SCA — это процесс аутентификации, который проверяет личность пользователя платёжного сервиса или платёжной транзакции. В частности, SCA указывает, разрешено ли использование платёжного инструмента. Некоторые государства-члены ЕС, такие как Бельгия, Нидерланды и Швеция, уже используют SCA для электронных транзакций удалённых платежей, будь то платеж по карте или кредитный перевод из онлайн-банка. В некоторых других странах ЕС некоторые поставщики платёжных услуг применяют SCA на добровольной основе.
Требования строгой аутентификации клиентов по всему ЕС помогут снизить риск мошенничества при онлайн-платежах и онлайн-банках, а также защитить конфиденциальность финансовых данных пользователя, включая личные данные. Это означает, что европейские потребители получат выгоду от более безопасных электронных платежей. С точки зрения того, как это работает на практике, клиенты будут получать советы от своих банков или платёжных систем. Они должны будут предоставить два или более из следующих элементов при осуществлении платежей, которые могут быть классифицированы как:

SCA

В первую очередь SCA направлена на сокращение мошеннических платежей по кредитным и дебетовым картам в транзакциях электронной торговли. Ведь по мере того, как онлайн-покупки увеличиваются, количество мошеннических покупок или кражи европейских дебетовых и кредитных карт также увеличивается. По оценкам Европейского центрального банка (ЕЦБ), общее количество преступлений достигает 1,3 миллиарда Евро. Предполагается, что количество покупок электронной коммерции достигнет одного триллиона долларов к 2022 году, именно поэтому новый регламент так необходим уже сегодня.

Есть некоторые исключения, когда SCA не применяется:

  • в случае частых покупок, к примеру, подписка на одну и ту же сумму в том же бизнесе: здесь платёжный шлюз рассматривается как инициированный со стороны бизнеса и не подлежит аутентификации, и иные категории исключений, касающиеся корпоративных платежей;
  • операции с низким уровнем риска в случае, если поставщик платежа и банк не превышают установленное количество транзакций;
  • транзакции на сумму менее 30 Евро;
  • бесконтактные платежи в точках продаж, при которых сумма одной транзакции не должна превышать 50 Евро и совокупная сумма предыдущих бесконтактных платежей со времени последнего выполненного SCA (например, путём ввода PIN-кода карты) не превышает € 150.

Могут применяться дополнительные исключения, которые установлены в Регламенте делегированного комиссией (ЕС) 2018/389 и учитывают связанные с этим риски, стоимость транзакций и каналы, используемые для оплаты. Поставщики платёжных услуг, которые хотят быть освобождёнными от SCA, должны сначала применить механизмы для мониторинга транзакций, чтобы оценить насколько низкий риск мошенничества, и должны сообщить определённые данные о мошеннических транзакциях компетентным органам и EBA (European banking authority). Все поставщики платёжных услуг должны будут доказать выполнение, тестирование и аудит мер безопасности. В случае мошеннического платежа потребители будут иметь право на полное возмещение. Для онлайн-платежей безопасность будет дополнительно усилена путём привязки через одноразовый пароль онлайн-транзакции к ее сумме и получателю платежа. Эта практика гарантирует, что в случае взлома информация, полученная потенциальным мошенником, не может быть повторно использована для инициирования другой транзакции. Эта процедура уже применяется в некоторых государствах-членах ЕС и привела к значительному сокращению мошенничества при онлайн-платежах.

Несколько шагов, которым нужно следовать, чтобы быть готовым бизнесу электронной коммерции к SCA:

1. Оцените платёжный опыт Вашей платформы

Проведите обширный анализ процесса, который Ваш пользователь выполняет в Вашем платёжном шлюзе, чтобы определить, где Вы можете сделать изменения. Помните, что очень важно, чтобы клиенту было легко, и чтобы он не покинул корзину выбранных услуг (товаров) до завершения оплаты;

2. Убедитесь, когда SCA применим, а когда нет

Выше были указаны случаи неприменения SCA, однако последнее слово за банками на местных рынках. Каждый банк может интерпретировать закон по-своему, а если Ваш бизнес работает в разных странах, то необходимо изначально изучить законодательство этих стран с целью правильного соблюдения требований SCA на международных рынках;

3. Попробуйте 3D Secure 2.0

До вступления в силу новых правил, когда совершалась покупка онлайн, обычно вводился номер кредитной или дебетовой карты, а затем банк запрашивал код, который он отправлял на номер телефона клиента с помощью SMS. Эта система называется «3D Secure», а в свете новых правил эта система превратилась в «3D Secure 2.0», которая предложит улучшенный пользовательский интерфейс и уменьшит трения, которые могут возникнуть при попытке выполнить онлайн-транзакцию, а также выведет онлайн-безопасность в индустрии платежей на совершенно новый уровень. Протокол 3D Secure 2.0 обеспечит возможность установить безопасный канал обмена данными, работающий в режиме реального времени, по которому будет передаваться намного больше данных о транзакции для более точной аутентификации покупателя.

В целом, можно отметить, что нововведения PSD2 приносят такие основные потребительские преимущества, как:

  • борьба с мошенничеством в онлайн-платежах, что должно повысить доверие потребителей при покупке онлайн;
  • открытие платёжного рынка ЕС для конкуренции: PSD2 закладывает основу для будущего. Благодаря постоянному развитию онлайн-финансовых услуг, новые правила будут в равной степени применяться к традиционным банкам, а также к инновационным платёжным услугам и новым провайдерам, таким как FinTechs, которые появились в результате digitalization. Эти игроки, также называемые сторонними поставщиками платежных услуг (TPP), теперь будут регулироваться правилами ЕС. Ведь одно из основных требований нового законодательства – доступ к аккаунтам клиентов для сторонних компаний. Другими словами, организация, которая владеет платёжным аккаунтом клиента (например, банк), позволит другой организации (например, финтех-стартапу) получить к нему доступ через API и использовать эти данные с целью создания новых продуктов и управления финансами при условии согласия клиента. Они смогут принести множество потребительских преимуществ. Например, они могут инициировать платежи от имени клиентов. Они дают уверенность ритейлерам в том, что деньги уже в пути, или предоставляют своим клиентам обзор доступных счетов и остатков. Такая функция Директивы способствует более интегрированному и эффективному европейскому рынку платежей. В целом, обновлённые правила помогут стимулировать инновации, конкуренцию и эффективность на рынке онлайн-платежей ЕС.

Подытожим, что новые требования строгой аутентификации клиентов SCA уже должны постепенно внедряться и применяться с 14 сентября 2019 года в соответствии с планами, разработанными под руководством национальных и европейских надзорных органов, однако EBA признал трудности, с которыми сталкиваются некоторые заинтересованные стороны, чтобы полностью внедрить SCA к 14 сентября. В связи с этим EBA 21 июня 2019 года принял Решение, позволяющее национальным органам надзора обеспечивать соблюдение новых правил SCA для онлайн-платежей по картам с определённой степенью гибкости, предоставляя при необходимости «ограниченное дополнительное время» для перехода на совместимые методы аутентификации. Потребители должны продолжать платить в обычном порядке в государствах-членах, которые решили воспользоваться этой гибкостью. По истечении этого периода времени потребителям будет предложено выполнить двухфакторную строгую аутентификацию клиента, если не применяется исключение.