Regulacyjne standardy techniczne zaproponowane przez Europejski Urząd Nadzoru Bankowego w pierwotnej wersji mogły doprowadzić do zniknięcia z rynku uproszczonych metod płatności w sieci. EBA zakładał, że większość transakcji będzie wymagać tzw. silnego uwierzytelnienia. W ostatecznej wersji propozycji reguły rozluźniono, ale operacje „jednym klikiem” będą dopuszczalne tylko, jeśli instytucja będzie zbierać wiele danych potrzebnych do oceny ryzyka transakcji.
Pod koniec lutego Europejski Urząd Nadzoru Bankowego opublikował ostateczny projekt rozporządzenia towarzyszącego drugiej dyrektywie o usługach płatniczych (PSD2). Jak wskazywaliśmy na łamach Bankier.pl, nowe wymogi wpłyną na przyzwyczajenia użytkowników bankowości internetowej.
Znacznie częściej będziemy musieli sięgać np. po telefon, a drugi poziom zabezpieczeń stosowany ma być także przy logowaniu do serwisu transakcyjnego.
W standardach technicznych EBA wiele miejsca poświęcono także regulacjom dotyczącym płatności zbliżeniowych i internetowych. Zmiany zmierzają do szerokiego stosowania tzw. silnego uwierzytelnienia. Przypomnijmy, że idea ta opiera się na użyciu przez klienta co najmniej dwóch z trzech elementów:
- czegoś, co wiemy (np. numeru klienta, hasła, numeru PESEL),
- czegoś, co mamy (np. telefonu komórkowego, tokena),
- czegoś, czym jesteśmy (np. odcisk palca).
Zaprezentowana w połowie zeszłego roku wersja regulacji była bardzo restrykcyjna – zakładała obowiązek stosowania silnego uwierzytelnienia niemal w każdej sytuacji. W drugiej rundzie konsultacji nadzór złagodził podejście i dał się przekonać dostawcom usług płatniczych argumentujących, że monitoring transakcji może pozwolić zachować wysoki poziom bezpieczeństwa bez utrudniania życia użytkownikom.
Analiza ryzyka transakcji zamiast tokenów i SMS-ów
Kompromis doprowadził do przyjęcia zestawu wyjątków, w których użycie silnego uwierzytelnienia nie będzie konieczne. W przypadku zdalnych płatności elektronicznych będzie to możliwe, jeśli:
- kwota transakcji nie przekracza 30 euro
- zsumowana kwota poprzednich zdalnych płatności elektronicznych zleconych bez użycia silnego uwierzytelnienia nie przekracza 100 euro lub dokonano w ten sposób mniej niż 5 transakcji pod rząd
Pod naciskiem branży nadzór zgodził się na rozszerzenie powyższej listy. Przyjęto, że dostawcy usług płatniczych mogą dla transakcji, które uznają za obarczone niskim ryzykiem oszustwa, nie stosować silnego uwierzytelnienia. Będzie to możliwe nawet, gdy kwota transakcji sięgać będzie 500 euro.
Przywilej taki będą miały jednak tylko firmy, które zadbają o to, by odsetek transakcji oszukańczych był odpowiednio niski. Innymi słowy – trzeba będzie udowodnić, że podejście oparte na monitorowaniu ryzyka operacji (zamiast wymagania dodatkowych zabezpieczeń) sprawdza się w praktyce.
Progi wartości oszustw obliczane będą w oparciu o specjalny wskaźnik (wartość oszustw odniesiona do wszystkich transakcji zdalnych wykonanych za pomocą danego instrumentu płatniczego w okresie 90 dni). Przykładowo, by klienci dostawcy usług płatniczych mogli zlecać transakcje do progu 500 euro „jednym klikiem”, odsetek oszustw dla płatności kartowych nie będzie mógł przekroczyć 0,01 proc., a dla przelewów – 0,005 proc. Obliczanie wskaźnika ma być kontrolowane poprzez niezależny audyt. Kto dopuści do wzrostu wartości oszustw, będzie musiał obniżyć próg wartości „uproszczonych” transakcji.
Monitoring płatności będzie bardziej szczegółowy
Europejski nadzór określił wprost nie tylko zasady i progi zwolnienia z obowiązku stosowania silnego uwierzytelnienia, ale także zmienne, które trzeba monitorować w czasie rzeczywistym, jeśli chce się oferować uproszczone metody płatności. Obok odnotowywania kwoty każdej transakcji, prowadzenia „czarnej listy” skradzionych lub zastrzeżonych instrumentów, gromadzenia wzorów śladów typowych dla złośliwego oprogramowania ingerującego w proces płatności, konieczne będzie monitorowanie:
- poprzednich wzorów zachowania (spending patterns) klienta
- historii transakcji użytkownika
- lokalizacji płatnika i akceptanta w momencie dokonania transakcji (jeśli umożliwia to urządzenie lub oprogramowanie)
- nietypowych wzorów zachowań płatniczych użytkownika w odniesieniu do jego historii transakcji
- logów dostępu do urządzenia lub oprogramowania używanego w procesie płatności (jeśli dostawca usług płatniczych ma do nich dostęp)
Nadzór zdecydował się na zupełnie osobne potraktowanie tylko jednego przypadku. Silne uwierzytelnienie nie będzie wymagane w przypadku samoobsługowych terminali stosowanych na potrzeby wnoszenia opłat za parkingi i transport. Za takim podejściem przemawia, jak zauważono w uzasadnieniu projektu, zarówno konieczność skrócenia czasu transakcji (np. w komunikacji publicznej), jak i niebezpieczeństwo ujawnienia osobom postronnym zabezpieczeń instrumentu płatniczego (tzw. shoulder surfing – np. podejrzenie numeru PIN przez towarzysza podróży).
Limit płatności bezstykowych – do 50 euro
W dokumencie EBA znalazło się także odniesienie do płatności zbliżeniowych. Silne uwierzytelnienie nie będzie wymagane, jeśli:
- kwota pojedynczej transakcji bezstykowej nie przekracza 50 euro.
- zsumowana wartość poprzednich transakcji bez zastosowania dodatkowych zabezpieczeń nie przekracza 150 euro lub bez silnego uwierzytelniania odbyło się mniej niż 5 kolejnych operacji.
Regulacja EBA pozostawia otwartą drogę do podniesienia przez organizacje płatnicze limitów transakcji bezstykowych niewymagających podania numeru PIN. W Polsce górną granicę stanowi dziś kwota 50 zł.
Ostateczny szkic standardów technicznych przygotowany przez EBA zostanie przekazany do Komisji Europejskiej, a następnie do Parlamentu Europejskiego. Regulacje zaczną obowiązywać od 18 miesięcy po ich opublikowaniu w dzienniku urzędowym – najwcześniej w listopadzie 2018 r.
