14 września 2019 r. będzie ważną datą dla transakcji w Internecie. Od tego dnia klienci nie będą mogli robić zakupów online posługując się wyłącznie danymi karty kredytowej lub karty debetowej. Jakie zabezpieczenia transakcji przewiduje nowa dyrektywa w sprawie usług płatniczych (PSD2)?
Polska implementowała nową dyrektywę płatniczą PSD2, nowelizując ustawę o usługach płatniczych. Nowe przepisy przewidują m.in. konieczność wdrożenia zasad silnego uwierzytelniania (SCA) w transakcjach internetowych.
Uwierzytelnianie silne – czyli jakie?
Silne uwierzytelnianie płatności to dodatkowe wymogi bezpieczeństwa dla transakcji kartą o wartości powyżej 30 euro. Co do zasady, podczas zakupów w sklepie internetowym wydawca karty zweryfikuje tożsamość użytkownika, biorąc pod uwagę co najmniej dwa niezależne elementy, np. jednorazowe hasło wysyłane użytkownikowi, dane jego karty lub smartfona, a niekiedy nawet dane biometryczne.
Dyrektywa PSD2 będzie obowiązywać tylko w ramach Europejskiego Obszaru Gospodarczego, czyli wyłącznie wtedy, gdy bank płatnika i bank odbiorcy znajdują się w tym regionie. Nie będzie dotyczyło sytuacji, gdy jeden z banków znajduje się poza EOG, np. w USA lub Japonii (tzw. one leg out).
Silne uwierzytelnianie płatności – wyjątki od reguły
Reguła zgodna z dyrektywą PSD2 będzie w większości przypadków obowiązkowa. Przewiduje jednak kilka istotnych wyjątków od tej reguły.
Wyłączenia z tytułu niskiej wartości transakcji
Internetowe zakupy kartą do kwoty 30 euro to transakcje o niskiej wartości i co do zasady będą zwolnione z uwierzytelniania. Wymogi dyrektywy PSD2 będą jednak obowiązywać, jeśli klient wykona co najmniej sześć następujących po sobie transakcji o niskiej wartości u jednego sprzedawcy lub jeśli łączna wartość zakupów przekroczy 100 euro.
Wyłączenia z tytułu powtarzających się płatności
Wyłączeniem będą objęte stałe należności na taką samą kwotę na rzecz tych samych odbiorców, które zostały uprzednio ustanowione (np. opłaty subskrypcyjne). Uwierzytelnienie będzie wymagane tylko podczas tworzenia stałej płatności.
Wymóg dyrektywy PSD2 nie dotyczy także tzw. transakcji zainicjowanych przez sprzedawcę – regularnych płatności kartą, których kwota może różnić się z miesiąca na miesiąc (np. za rachunek telefoniczny).
Wyłączenia na podstawie analizy ryzyka transakcji
Elavon lub inny dostawca usług płatniczych może wykonać analizę ryzyka transakcji w imieniu właściciela sklepu internetowego. Analiza pozwala oszacować prawdopodobieństwo, że transakcja jest realizowana przez faktycznego użytkownika karty. Ostateczna decyzja w sprawie silnego uwierzytelniania w ramach dyrektywy PSD2 zawsze jednak będzie należeć do wydawcy karty.
Wyłączenia na podstawie listy zaufanych odbiorców
W związku z dyrektywą PSD2 użytkownik karty może zdefiniować firmę jako zaufanego odbiorcę. Transakcje wykonywane na rzecz takich odbiorców mogą być w przyszłości zwolnione z silnego uwierzytelniania. Wydawca może zaakceptować listę zaufanych odbiorców użytkownika karty, ale może również odrzucić pierwszy bądź kolejny wniosek w tej sprawie, jeśli uzna, że są ku temu powody.
Inne wyłączenia
Silne uwierzytelnianie, zgodne z dyrektywą PSD2, nie jest także konieczne w przypadku określonych typów transakcji: wymienianych już transakcji zainicjowanych przez sprzedawcę lub transakcji one leg out, jak również transakcji MOTO (realizowanych w ramach zamówień pocztowych i telefonicznych). W związku z rosnącą liczbą oszustw oraz reklamacji chargeback dotyczących transakcji MOTO, zalecamy ich realizację w ramach płatności internetowych, np. przez usługę Pay by Link.
Silne uwierzytelnianie – co muszę zrobić?
Do 14 września pozostało niewiele czasu. Dopilnuj, aby metody przeprowadzania transakcji dostępne w Twoim sklepie internetowym były gotowe na „godzinę zero”, zapewniając klientom silne uwierzytelnianie zgodne z dyrektywą PSD2. Możesz to uczynić, wdrażając autentykację w wersji V1, ale pamiętaj, że jest już dostępna nowa, ulepszona wersja (V2).
Jeśli korzystasz już z silnej autentykacji V1, aktualizacja do wyższej wersji będzie łatwa – w tym celu wystarczy skontaktować się z dostawcą usługi bramki płatniczej. Jeśli dotąd nie korzystałeś z silnej autentykacji, potrzebny będzie kontakt z dostawcą usługi bramki płatniczej lub z programistą aplikacji webowych.
Więcej informacji o wymogach przewidzianych dyrektywą PSD2 znajdziesz w naszym przewodniku. Informacje zawarte w przewodniku możesz także uzyskać od opiekuna handlowego reprezentującego Elavon.