Автор: Rosie Bileva
Основите на последните изисквания за авторизация на онлайн плащанията в Европа бяха поставени на 14ти септември 2019, като част от Директивата за платежните услуги (PSD2). Крайният срок за въвеждане на тези изисквания в Европа е 31 декември 2020 и 14 март 2021 във Великобритания.
Когато се говори за задълбочено установяване на идентичността на клиента (Strong Customer Authentication – SCA) се има предвид усилията за борба с онлайн финансови измами и борбата с прането на пари, както и постигането на по-сигурни и надеждни онлайн плащания.
За да се подготвят за новите регулаторни промени, търговците трябва да изградят допълнителен елемент на авторизация в процеса на проверка на клиентите си. Новите промени налагат да се използват поне 2 от следните 3 елемента, така наречената дву-факторна авторизация (2-factor authentication, 2FA):
-
Нещо, което клиентът знае – като например, парола за акаунта
-
Нещо, което клиентът притежава, като токън или хардуерно устройство, също така личен компютър или телефон
-
Нещо, което е идентично за клиента, като лицево разпознаване или пръстов отпечатък
Бизнесът е изправен пред предизвикателство, като се стреми да въведе новите промени по начин, който няма да ощети сигурността и авторитета на предлаганите услуги.
Динамичното свързване е способ за удостоверяване на онлайн плащанията, при който се задава код за авторизация, който трябва да е уникален, т.е. може да се използва само един единствен път, специфичен е за конкретната сума на транзакцията, за даден потребител и двата параметъра са ясно зададени на субекта иницииращ транзакцията. Следните изисквания трябва да са изпълнени от доставчика на онлайн плащането, за да отговарят на изискванията в Директивата за платежните услуги (PSD2):
-
Платецът има информация и знае кой е търговецът, при който плаща, както и сумата на транзакцията
-
Генерираният авторизационен код е специфичен за дадената транзакционна сума и платецът е съгласен с параметрите на плащането
-
Авторизационният код, който доставчикът на онлайн плащането получава, отговаря на първоначално-зададената транзакционна сума и идентичността на търговеца, която е съгласувана с платеца
-
Всяка промяна на един от двата параметъра прави кода за авторизация невалиден.
Доставчиците на плащания трябва да гарантират сигурността, конфиденциалността и авторитета на страните участници и на информацията, която те получават, използвайки различни методи и технологии за сигурност.
Кого засяга SCA?
SCA се отнася до всички онлайн плащания, инициирани от краен потребител в Европа, в резултат на което повечето картови транзакции и всички банкови плащания влизат в обсега на новите изисквания. Има и транзакции, които остават незасегнати от новите промени. Пример за това е директният дебит, който се инициира от търговеца. Изключение също правят безконтактните плащания.
Засегнати от новите правила са онлайн картовите разплащания, при които както бизнесът, така и банката на картодържателя, се намират в Европейската Икономическа Зона (European Economic Area, EEA).
Регулацията за задълбоченото установяване на идентичността ще бъде въведена и на острова, но това ще стане на по-късен етап, след като бъдат вече направени реформите в Евро Съюза. Предвижда се това да влезе в сила на 14 март 2021, както вече беше споменато по-рано.
Преди да бъдат приети новите промени, най-разпространеният метод за авторизация на онлайн картови разплащания е 3D-secure – стандарт за авторизация, който се поддържа от по-голямата част от картоиздателите в Европа.
Прилагането на 3D-secure добавя допълнителна стъпка в края на процеса на покупка, при която картодържателят е задължен от банката, издател на картата, да въведе допълнителна информация, за да завърши плащането (типичен пример са еднократните пароли, които се изпращат до мобилния телефон или авторизация чрез пръстов отпечатък, зададена от мобилната апликация).
Най-новата версия на авторизационния прокотол, който се наложи през 2019, е основният метод за авторизация на онлайн плащания, съответно отговарящ и на новите SCA изисквания – 3D-secure 2 (версия 2.0). Като при тази версия вече не се налага потребителят да се прехвърля на друга страница, а авторизацията става бързо и лесно, примерно с пръстов отпечатък или просто усмивка.
Други картови методи за разплащания, като Apple и Google pay, вече поддържат схема на плащане с вградена система за защита (биометрична или основаваща се на парола).
Това всъщност дава една много голяма възможност на бизнеса да предлага по-плавно, сигурно и безпроблемно разплащане за крайния клиент, като същевременно процесът отговаря напълно на новите регулации. Много от вече съществуващите методи на разплащане в Европа, ще изпълняват новите изисквания с минимални промени във вече установените процеси.
Разбира се има и определени транзакции за по-ниски, незначителни суми, които са извън обсега на новите регулации. Транзакции на стойност по-ниска от 30 евро не са в обхвата на Директивата за платежните услуги. Въпреки това банката издател на картата ще пази информация за сумата на направения трансфер, така че когато общата сума на транзакциите извършени без SCA надхвърли 100 евро, задълбочена установяване на идентичността ще се наложи, както и ако отделните транзакции са 5 или повече на брой.
Съществуват определени модели транзакции, при които операторите на онлайн плащания комуникират с банката на крайния клиент, при което банката прави оценка на риска, който съответната транзакция носи и на свой ред ще прецени дали да я одобри без авторизация или тя е належаща.
Друга ситуация, при която няма да се прилага SCA, e във връзка с доверените бенефициенти, за които онлайн плащанията няма да подлежат на авторизация. Това е нож с две остриета, тъй като това само по себе си е предпоставка за създаването на възможности за по-агресивни фишинг атаки и развиващо се социално инженерство.
Имплементирането на авторизация в процеса на завършване на онлайн покупката предоставя една допълнителна стъпка на сигурност, но същевременно и утежнява процеса на завършване на покупка, което би отказало значителна част от потребителите на онлайн стоки и услуги с ниска стойност. Използването на модели, при които авторизацията на транзакции с ниски суми се пропуска, ще намали повторната такава, както и отлива на крайни клиенти. Но доставчиците и картоиздателите ще продължат да следят за нетипично поведение, което е извън установеното за съответния краен клиент.
Развитието на съответните технологии, както и събирането на съответната база данни е доста трудоемко и обвързано с ресурси, но със сигурност е целесъобразно, тъй като по този начин се гарантира сигурността не само на крайния клиент, но и на бизнеса. Някои търговци и картоиздатели се доверяват на системи за дигитална самоличност, които също не спират да развиват своите услуги според изискванията не само на регулаторните органи, но и на своите клиенти. Участниците в онлайн плащанията са част от една екосистема, която би могла да работи изключително ефективно ако всички си партнират в постигането на общите цели, а именно сигурните онлайн транзакции.
Проучване на един от лидерите в картовите разплащания показва, че начинът по който потребителите пазаруват се променя динамично, особено с трудностите, които Covid-19 извънредната ситуация наложи през последната половин година. Потребителите в световен мащаб са 4 милиарда, като 3 милиарда от тях са онлайн. Крайните клиенти придобиват нови навици на пазаруване при повишена честота на транзакциите, като отлив обратно към физическите продажби не се очаква или поне е малко вероятен. Това придава на процеса на преминаване към по-сигурни плащания още по-голямо предизвикателство за участниците в онлайн разплащанията. Банките и доставчиците трябва да се подготвят за новите промени, като съответно това и обуславя промени за крайния потребител, които понякога могат да се окажат голямо предизвикателство.
Европейският Банков Орган (ЕБО, European banking Authority, EBA) предоставя възможност на националните регулатори да въвеждат новите промени по различен и гъвкав начин, до 31 декември 2020, с някои конкретни мерки, при които отклонение не се толерира, след което промените трябва да са реални, както и участниците напълно готови и отговарящи на новите изисквания.
Търговците, доставчиците и банките са основните участници и засегнати страни в този двустранен процес. Често новите закони и регулации биват приемани от сектора като едностранен процес, но е важно да се осъзнае, че това е двустранен процес, при който засегнатите страни имат право на глас и ако участниците имат опасения трябва да ги споделят с регулаторните органи на национално и наднационално ниво и трябва да търсят дискусии, защото точно в тях се крие най-правилното и добро решение, както за бизнеса, така и за потребителите, което от своя страна ще доведе до по-ясни регулации и надзор. Регулаторите очакват и приветстват обратната връзка, неслучайно ЕБО публикува дискусии и пояснения към вече издадената директива и регламенти.
****************
Росица Билева е опитен специалист с дългогодишен опит в сферата на къмплайънса и онлайн плащанията, като придобива опита си от работата си за световно-признат инвестиционен брокер. Роси е завършила специалност Финанси в Икономически Университет – Варна и по-късно получава своята диплома в Международни Икономически Отношения от Българската Академия на Науките. Към момента е член на CISI (Chartered Institute for Securities and Investment, Институт за Инвестиции и Ценни книжа в Англия), от който има сертификати за Борба с финансовите измами, Международни къмплайънс норми, Въведение в ценните книжа и инвестициите, и Инвестиционни операции. Към настоящия момент Роси работи като външен консултант за инвестиционни посредници в Англия. Тя специализира в къмплайънс сферата, изготвянето на рапорти, създаване на вътрешни правила и съблюдаване изпълнението на регулаторните изисквания.