Od 1 stycznia 2021 r. transakcje online dokonywane za pomocą kart płatniczych będą musiały być dodatkowo zabezpieczone. Bardziej powszechne stanie się potwierdzanie płatności przez konsumentów. Na przykład poprzez przyłożenie palca do czytnika linii papilarnych telefonu.
Chociaż unijna dyrektywa w sprawie usług płatniczych PSD2 weszła w życie we wrześniu 2019 r., to niektóre jej zapisy zaczynają obowiązywać dopiero od 1 stycznia 2021 r.
Tak jest z silnym uwierzytelnieniem klienta (ang. SCA, strong customer authentication), które od nowego roku musi być obowiązkowo stosowane przez banki i sprzedawców. Czasu na dostosowanie się do nowych regulacji zostało więc naprawdę niewiele.
Nowa jakość płatności kartą
Co należy wiedzieć na temat wymagań silnego uwierzytelnienia zawartych w PSD2? Jedną z ważniejszych nowinek, które wprowadza dyrektywa, jest regulacja dotyczącą handlu cyfrowego. Transakcje realizowane zdalnie będą wymagać silnego uwierzytelenienia. Ma ono dotyczyć dużej części wszystkich transakcji kartowych przeprowadzanych w internecie na obszarze Unii Europejskiej – tam, gdzie nie stosuje się odstępstw.
Co do metod pozwalających na silne uwierzytelnienie, to dyrektywa pozostawia w tym względzie pewną swobodę. Wśród składników weryfikujących tożsamość klienta wyróżnione zostały trzy warianty. Banki muszą zastosować przynajmniej dwa z nich. Są to:
(1) wiedza (np. hasło),
(2) posiadanie (np. telefon),
(3) cecha użytkownika (np. odcisk palca)
Jak to będzie wyglądało w praktyce? Użytkownik po wpisaniu danych swojej karty płatniczej może dostanie powiadomienie z aplikacji bankowej, która powiadomi go o dodatkowej weryfikacji za pomocą biometrii (odcisku palca lub rozpoznawania twarzy) lub kodu – w zależności, jak ustawiona jest aplikacja bankowa.
Klienci, którzy nie korzystają z aplikacji otrzymają kod na przykład SMS-em oraz najczęściej dodatkowo będą musieli podać ustawiony ePIN, zalogować się do bankowości elektronicznej, czy podać odpowiednie hasło, ustalone wcześniej z bankiem.
Aby sprostać nowym wymaganiom oraz umożliwić na lepszy przepływ informacji między sklepem a bankiem wydającym kartę opracowano nowy standard technologiczny EMV 3D Secure (lub EMV 3DS). Spełnia on nowe wymogi prawne związane z silnym uwierzytelnieniem między innymi dostarczając jasnej informacji, jaką transakcję klient w danym momencie potwierdza (tzw. dynamic linking). Nowe funkcjonalności przewidziane przez standard pozwalają przeprowadzić uwierzytelnienie również w aplikacjach mobilnych bez konieczności otwierania dodatkowych stron.
Dyrektywa przewiduje też kilka wyjątków, dzięki którym dodatkowe uwierzytelnienie klienta nie jest niezbędne. Jeden z nich jest zarezerwowany dla transakcji o małej wartości. Oznacza to, że kupując np. bilet na autobus, bank nie będzie od nas wymagał dodatkowego potwierdzenia.
Taka sama sytuacja wystąpi w przypadku płatności cyklicznych czy odbiorców płatności, którzy zostali wcześniej dodani do grona zaufanych, czyli „białej listy” odbiorców.
Klienci wolą odcisk palca
Choć z punktu widzenia bezpieczeństwa zakupów w sieci dyrektywa PSD2 jest korzystna dla konsumentów, sprzedającym nowinki zafundowane przez Unię Europejską mogą początkowo nieco utrudnić życie. Dlaczego? Wymagając od klienta dodatkowej czynności uwierzytelniającej, mogą niechcący zniechęcić go do zakupów.
Dlatego sprzedawcy powinni skontaktować się przed nowym rokiem ze swoim dostawcą usług płatniczych lub instytucją przetwarzającą transakcje, by upewnić się, że są one przygotowane do nowych wymagań.
Sprzedawcy nie mogą także zapominać o swoich klientach. Początkowo konsumenci mogą być zdezorientowani nową formą potwierdzania płatności. Firma doradcza CMSPI ostrzegała nawet, że wystraszeni i zniechęceni użytkownicy e-commerce tylko w przyszłym roku mogą zostawić w swoich portfelach 90 mld euro. Warto więc poinformować swoich klientów o nadchodzących zmianach, tak by cały proces płatności kartą od nowego roku był dla kupujących maksymalnie wygodny.
Tym bardziej, że jak wynika z badań Mastercard, klienci są generalnie dość pozytywnie nastawieni do idei stojącej za silnym uwierzytelnianiem. Za potrzebne uznało je trzy czwarte respondentów. Co więcej, 28 proc. przepytywanych dodało, że po wprowadzeniu nowych norm uwierzytelniania będzie częściej robić zakupy w internecie za pomocą karty.
Powyższe dane warto jednak omówić nieco dokładniej. Respondenci owszem, uznali, że nowe przepisy lepiej zabezpieczą ich pieniądze, ale jednocześnie wskazali, że na niektóre formy uwierzytelnienia patrzą bardziej przychylnym okiem, a na inne mniej. Decyduje o tym wygoda.
Każdy, kto choć raz korzystał z zakupów w sieci, zna ten temat doskonale. Ilość czasu, jaką trzeba poświęcić na dokonanie płatności, przesądza nie raz, czy uda się sfinalizować całą transakcję, czy klient opuści stronę w ostatniej chwili.
Trudno się zatem dziwić, że faworytem jest szybkie i proste uwierzytelnianie biometryczne. A wśród różnych metod biometrycznych konsumenci najchętniej wybierają odcisk palca. Dlaczego? Możliwe, że użytkownicy smartfonów mieli już dość czasu, by oswoić się z tą technologią. Jest ona dzisiaj na wyposażeniu praktycznie wszystkich nowych telefonów. Wielu użytkowników używa jej wielokrotnie w ciągu dnia, by odblokować ekran.
75 proc. respondentów uważa dzisiaj czytnik linii papilarnych za metodę weryfikacji tożsamości, która jest całkowicie bezpieczna. Ten rodzaj biometrycznego uwierzytelnienia został uznany za bezpieczniejszy niż kody jednorazowe (66 proc.), wciąż powszechnie używane przez wielu użytkowników.
Narzędzie od Mastercard
Na nadchodzące zmiany są już przygotowane te banki, które obsługują standard EMV 3DS. Pomaga im w tym Mastercard, który udostępnia rozwiązanie Mastercard Identity Check. Dzięki temu konsumenci mogą korzystać z biometrii i połączyć bezpieczeństwo z wygodą, a sprzedawca ma pewność, że zakupu dokonuje posiadacz karty.
Mastercard Identity Check pozwala sprzedawcy przesłać do banku 10-krotnie więcej informacji niż umożliwiał to poprzedni standard 3DS 1.0, co ułatwia i przyspiesza wymianę danych potrzebnych do autoryzacji płatności.
Dziś użytkownik nie musi już zapamiętywać niezliczonych haseł. Coraz popularniejsze są bardziej przyjazne alternatywy, jak np. uwierzytelnianie biometryczne. Potwierdzenie tożsamości posiadacza karty oparte jest nie na tym, co pamięta, ale na tym, kim jest i jakie ma cechy. W efekcie proces płatności jest znacznie prostszy
– tłumaczy Aleksander Naganowski, dyrektor ds. rozwoju rozwiązań cyfrowych w polskim oddziale Mastercard Europe.
Odrzuciło mi transakcję. Co robić?
Po wdrożeniu standardu EMV 3DS sprzedawcy mogą natknąć się na komunikat o odrzuceniu transakcji. Co może być jego przyczyną? Ubiegając przyszłoroczne problemy, Mastercard podsuwa kilka możliwości:
0. Klient jest pozostawiony bez pomocy, gdy jeden z etapów płatności się nie powiedzie. Nie wie, kiedy oczekiwać silnego uwierzytelnienia i jak je przeprowadzić. Tak – to punkt 0, bo jest podstawowym elementem przystosowania sklepu.
1. Nieprawidłowo obsłużone jest przekierowanie na stronę uwierzytelnienia lub strona ta jest wyświetlana z nieprawidłowymi ustawieniami (np. nie dopuszcza Java Script)
2. Sprzedawca i agent rozliczeniowy nie wysyłają wszystkich danych o sprzedawcy i transakcji w ramach zapytania EMV 3DS.
3. Numer identyfikacyjny sprzedawcy lub numer BIN agenta rozliczeniowego używany w żądaniach uwierzytelniania EMV 3DS nie został prawidłowo zarejestrowany (co powoduje odrzucenie).
4. Autoryzacja nie jest odpowiednio powiązana z wcześniejszym uwierzytelnieniem (dynamiczne linkowanie nie jest możliwe).
Warto z wyprzedzeniem przyjrzeć się powyższym kwestiom i zawczasu skontaktować się ze swoim integratorem płatności i agentem rozliczeniowym, tak żeby w razie pojawienia się 1 stycznia jakichś problemów mieć szybką ścieżkę rozwiązywania problemów.
Wprawdzie postępująca cyfryzacja wymaga od banków i sprzedawców stosowania coraz większej liczby zabezpieczeń, to jednak dzięki nowoczesnej technologii, takiej jak biometria, da się połączyć wygodę z bezpieczeństwem.
* Materiał powstał we współpracy z Mastercard