close-btn

Новый рубеж PSD2: в Европе вступили в силу новые правила проверки платежей

14 сентября 2019 года в Европе вступило в силу очередное требование новой платежной директивы PSD2 — SCA

SCA

Новый стандарт PSD2 (SCA) вступил в силу 14 сентября Фото: akeo.tech

Норматив Strong Customer Authentication (SCA) предполагает новые правила аутентификации пользователей, желающих совершить онлайн платеж. Согласно им онлайн-торговцы должны добавить в процесс оплаты (чекаут) дополнительную проверку клиента. Другими словами, если ранее было достаточно карточных данных и одноразового пароля, теперь нужно использовать как минимум два элемента защиты, которые подтверждают, что по ту сторону монитора находится честный покупатель, а не мошенник.

Для аутентификации можно комбинировать такие параметры: PIN-коды или пароли, идентификатор устройства, с которого совершается платеж, биометрические данные покупателя. Достаточно использовать два показателя из этих групп:

SCA

В рамках нового законодательства банки должны будут отклонять транзакции, которые не соответствуют требованиям SCA. Это коснется всех расчетов картой в интернет-магазинах ЕС, которые происходят по инициативе покупателя-европейца. При этом повторяющиеся платежи в формате direct debit и расчеты в традиционных магазинах не подпадают под новые требования.

Как соответствовать требованиям SCA: новый стандарт 3D Secure 2.0

В рамках SCA нужно использовать новый протокол проверки транзакций — 3D Secure 2.0.

Изначально он разрабатывался, чтобы упростить идентификацию. В процессе верификации транзакции должны были использоваться разные параметры устройства, с которого совершается платеж: настройки браузера, IP-адрес, e-mail и прочее. Идея состояла в том, чтобы покупатель даже не заметил, что его идентифицировали.

Однако с вступлением в силу SCA, этих данных будет недостаточно. У клиента дополнительно будет запрошен пароль или биометрический маркер. А упрощенный вариант идентификации будет использоваться для исключений, о которых пойдет речь далее.

Как оптимизировать проверки: исключения из правил

Определенные виды платежей с низким уровнем риска могут быть освобождены от строгой аутентификации клиентов (SCA). Платежные системы, которые обслуживают интернет-магазины, должны запросить эти льготы при обработке платежа. А банк владельца карты — оценить уровень риска транзакции и решить, нужно ли применять дополнительный параметр проверки платежа.

К таким платежам относятся:

  • Платежи с низким риском. Платежный провайдер, который обслуживает интернет-магазин, может признать платеж безопасным, полагаясь на свою систему мониторинга рисков. Банк подтвердит или опровергнет его предположение.
  • Покупки до 30 евро. Банки могут не требовать дополнительную идентификацию таких транзакций, за исключением случаев, когда с карты совершается сразу серия таких покупок.
  • Платежи по подписке. Если покупатель ежемесячно перечисляет продавцу фиксированную сумму за определенный сервис, процедуру идентификации нужно будет пройти только в первый раз.
  • Платежи, которые инициируют продавцы. Если покупатель сохранил свою карту в сервисе типа Uber, ему не придется подтверждать каждую транзакцию.
  • Платежи в пользу бизнеса, которому доверяют. Покупатель может выбрать магазины, которым он доверяет, и совершать там платежи без подтверждения. Однако эту опцию пока поддерживают не все банки.
  • Продажи по телефону, почте и оплата с помощью корпоративных карт также могут стать причиной упрощенной проверки платежа.

Однако нужно помнить, что конечное решение об упрощенной проверке принимает банк, который выпустил карту покупателя.

Негативные отзывы участников рынка

С одной стороны, новые требования сделают платежи более защищенными. А с другой — добавят хлопот участникам рынка, которые уже неоднократно просили отсрочить дату вступления в силу нового законодательства. Например, Европейская торговая ассоциация предлагала перенести дедлайн на 18 месяцев для стандартных программ, а для более сложных случаев — на 36 месяцев. Связывая это с тем, что онлайн-бизнес может понести значительные потери из-за SCA. Ведь дополнительный уровень проверки — это лишний шаг в процессе чекаута, который может снизить конверсию. Кроме того, многие финучреждения просто не готовы к стандарту технически. Так, 40% европейских банков не будут соответствовать SCA к 14 сентября.

Украина пока только обсуждает внедрение директивы PSD2 и всех ее составляющих, в том числе и более строгих процедур идентификации. Банкам и бизнесу нужно быть готовым к этим изменениям.

ВАС ЗАИНТЕРЕСУЕТ — Открытый банкинг в действии: как банки и стартапы внедряют PSD2

google news