В соответствии с пересмотренной Директивой о платежных услугах (2015/2366) (PSD2) Европейское банковское управление (EBA) и Европейская комиссия должны были разработать и принять нормативные технические стандарты в отношении строгой аутентификации клиентов и общих и безопасных открытых стандартов связи.
Эти стандарты были переданы в законодательство ЕС как Постановление Комиссии (ЕС) 2018/389 (РТС), которое вступило в силу 14 сентября 2019 года.
РТС оказывает прямое влияние на поставщиков платежных услуг (PSP), включая эмитентов и приобретателей карт, во всех государствах-членах ЕС. Тем не менее, некоторые государства-члены ЕС, включая Великобританию, приняли переходные меры для поэтапного внедрения правил в контексте карточных платежей для транзакций электронной торговли.
В этом обновлении обсуждаются требования в соответствии с RTS для эмитентов и приобретателей карт для аутентификации пользователей платежных услуг (PSU), что называется «строгой аутентификацией клиентов» (SCA).
Что такое строгая аутентификация клиента?
«Строгая аутентификация клиента» определяется как аутентификация, которая основана на использовании двух или более элементов, классифицированных как знания, владение и неотъемлемость. Эти пункты являются независимыми, поскольку нарушение одного не угрожает надежности других.
Процесс аутентификации идентичности блока питания включает по крайней мере два из следующих элементов, при которых знание одного не приведет к знанию других:
- знание - то, что знает пользователь (например, пароль или PIN-код);
- владение - то, что есть у пользователя (например, конкретная SIM-карта в мобильном телефоне или смарт-карта);
- неотъемлемость - биометрическая характеристика (например, отпечаток пальца, глаз или лица, а также звук голоса пользователя).
Согласно RTS, PSP также должен гарантировать, что функции безопасности, связанные с этими элементами, соответствуют определенным стандартам безопасности, включая:
- Обеспечение достаточной длины или сложности для элементов знаний.
- Введение минимальной длины ключа (например, токена) для элементов владения;
- Надежные алгоритмические спецификации для элементов неотъемлемости.
Это значит, что безопасность и целостность этих элементов строгой аутентификации клиента должны быть спроектированы таким образом, чтобы снизить риск их обнаружения посторонними лицами.
Для удаленных транзакций (то есть, когда PSU отсутствует) также должна использоваться так называемая «динамическая связь». Она включает в себя привязку транзакции к определенной сумме и конкретному получателю, например, с помощью одноразовых паролей.
PSP в соответствии с требованиями строгой аутентификации клиента также должен обеспечивать безопасную доставку или передачу персонализированных элементов безопасности. Обработка и маршрутизация таких учетных данных безопасности (и соответствующих кодов аутентификации, используемых для динамического соединения) должны осуществляться в защищенных средах в соответствии с жесткими и широко признанными отраслевыми стандартами.
Когда следует применять SCA
PSP должен применять SCA, когда PSU:
- получает доступ к своему платежному счету онлайн;
- инициирует транзакцию электронного платежа;
- осуществляет любые действия через удаленный канал, которые могут повлечь за собой риск мошенничества.
Карточные платежи и SCA
Что касается карточных платежей, SCA применяется к транзакциям, инициированным плательщиком через получателя (то есть, карточная транзакция, инициированная плательщиком в точке продажи, онлайн или в приложении).
Платежи по карте, инициированные только получателем являются исключением. EBA подтвердил, что основанные на карточках торговые операции (MIT) исключены из сферы действия требований строгой аутентификации клиента. Они характеризуются отсутствием участия держателя карты в инициировании конкретного индивидуального платежа. MIT - это платеж или серия платежей, инициированных продавцом без какого-либо прямого вмешательства со стороны владельца карты в соответствии с ранее существовавшими полномочиями, предоставленными владельцем карты продавцу. Владелец карты будет участвовать в предоставлении мандата и, для ряда транзакций, может инициировать первую транзакцию. Последующие транзакции инициируются только продавцом без какого-либо взаимодействия с владельцем карты.
MIT выходят за рамки требований SCA при условии, что они регулируются действительным мандатом, данным держателем карты продавцу, инициируются только продавцом. Первоначальный мандат от держателя карты и любые последующие поправки к мандату будут зависеть от требований строгой аутентификации клиента. Примеры MIT включают оплату счетов за коммунальные услуги, подписку на ТВ и мобильные телефоны, подписку на цифровые услуги и оплату страховых взносов.
Платежи по карте, инициированные с помощью карт, зарегистрированных в файле у продавца, когда владелец карты должен инициировать каждый отдельный платеж (также известный как платежи по карте), не подпадают под действие этого исключения.
Кто применяет SCA в отношении транзакций по карточным платежам
PSP, который выдал персональные учетные данные PSU, будет PSP, применяющим SCA. Следовательно, в контексте карт, как правило, эмитент обязан применять строгую аутентификацию клиента, а не эквайер или продавец. Это может иметь место, даже если процесс применения SCA или решение о том, применять ли исключение, передается на аутсорсинг продавцу (например, в транзакции электронной торговли). EBA подтвердил, что покупатель может полагаться на определенные типы исключений SCA или требовать, чтобы на него полагалось исключение SCA, но именно эмитент всегда принимает окончательное решение о том, принимать или полагаться на исключение строгой аутентификации клиента.
Ответственность за несанкционированные платежные операции
Как правило, эмитент несет ответственность в случае несанкционированной или мошеннической платежной транзакции.
Однако, когда покупатель применяет освобождение, покупатель несет ответственность за несанкционированную транзакцию. В случае, если эмитент передал на аутсорсинг фактическое исполнение SCA либо покупателю, либо продавцу (или обоим), а также если эмитент обязан применить SCA, но покупатель не применяет строгую аутентификацию клиента в рамках такого соглашения об аутсорсинге, то можно считать, что покупатель несет ответственность за «непринятие» SCA.
Сроки реализации
В июне 2019 года, после лоббирования со стороны покупателей, эмитентов, карточных схем и продавцов, Европейское банковское управление опубликовало Мнение об элементах SCA. В заключении были учтены опасения относительно готовности и соответствия некоторых участников цепочки платежей требованиям строгой аутентификации клиента к 14 сентября 2019 года.
В Европейском банковском управлении заявили, что не смогли отложить дату подачи заявок, установленную законодательством ЕС, но позволили бы регулирующим органам государств-членов договориться с PSP и соответствующими заинтересованными сторонами, включая потребителей и продавцов, чтобы предоставить ограниченное дополнительное время для реализации строгой аутентификации клиента. В августе 2019 года FCA подтвердило, что утверждается 18-месячный план, который дает эмитентам и покупателям дополнительное время для внедрения SCA. Агентство FCA подтвердило, что оно не будет предпринимать принудительные действия против фирм, если они не соответствуют соответствующим требованиям строгой аутентификации клиента с 14 сентября 2019 года.
Также FCA ожидает, что все фирмы произведут необходимые изменения и проведут необходимые испытания для полного применения строгой аутентификации клиента к 14 марта 2021 года.
Регуляторные органы в других государствах-членах ЕС, включая Германию, Францию, Италию и Нидерланды, разработали или выразили поддержку аналогичным переходным механизмам.
Если у Вас возникли вопросы по теме данной статьи, то за дополнительной консультацией Вы можете обратиться к юристам компании IncFine. Квалифицированные опытные специалисты помогут получить лицензию на электронные платежи и зарегистрировать компанию в Европе.