Skrót najważniejszych informacji i wskazówek dotyczących SCA

SCA — Strong Customer Athentification (ang.) - Silne Uwierzytelnianie Klienta, to nowy europejski wymóg regulacyjny mający na celu zwiększenie bezpieczeństwa płatności elektronicznych poprzez wprowadzenie nowych zasad ich autoryzacji — uwierzytelnienia. SCA wymaga w tym celu użycia, co najmniej dwóch spośród trzech następujących grup elementów, które zna, posiada, lub charakteryzuje prawowitego posiadacza karty:

1. Czegoś, co ZNA - (PIN lub Hasło, lub hasło jednorazowe wysłane np. na telefon klienta).
2. Coś, co POSIADA - (karta, token – inny nośnik karty: telefon, zegarek).
3. Coś, co JEST cechą charakterystyczną - (Biometria, odcisk palca, rozpoznawanie twarzy, skan siatkówki oka).

W ubiegłym roku UE przyjęła dyrektywę w sprawie usług płatniczych nr 2 (PSD2), ale nie wszystkie jej elementy weszły w życie w tym samym czasie. Jedno z najistotniejszych postanowień PSD2 dotyczy wprowadzenia tzw. silnego uwierzytelniania klientów (Strong Customer Authentication - SCA), dotyczącego przede wszystkim transakcji handlu elektronicznego. Zgodnie z dyrektywą, SCA obowiązuje od 14 września 2019 roku. SCA wymaga od całej branży płatniczej zmian i spełnienia dodatkowych wymogów w zakresie uwierzytelniania zabezpieczeń transakcji kartami płatniczymi. Wiąże się to z koniecznością modyfikacji systemów informatycznych, której muszą dokonać wszyscy uczestnicy łańcucha płatności – banki, organizacje płatnicze, agenci rozliczeniowi, a także klienci dysponujący własnymi systemami kasowymi, zintegrowanymi z infrastrukturą płatniczą (najczęściej duże sklepy sieciowe).

Nie, SCA musi być stosowane do wszystkich transakcji handlu elektronicznego, chyba że zastosowanie ma zwolnienie z obowiązku lub wnioskuje się o wyłączenie stosowania SCA. W takim wypadku decyzja o tym, czy wymagać od posiadacza karty silnego uwierzytelnienia należy do emitenta – banku będącego wydawcą karty. Nawet jeśli akceptant oznaczy transakcję jako zwolnioną, emitent nadal ma prawo wymagać uwierzytelnienia transakcji. Co więcej, od 1 stycznia 2021 r. SCA nakłada też obowiązek stosowania 3DS2 dla wszystkich transakcji on-line.

Mechanizmy SCA mają zastosowanie głównie do transakcji kartowych na terminalach oraz płatności internetowych (eCommerce, mCommerce) realizowanych za pomocą kart płatniczych. W tym przypadku do autoryzacji transakcji niezbędne jest użycie rozwiązań 3D – Secure (3DS), a od 1 stycznia 2021 r - 3DS2.

To narzędzie uwierzytelniające lub protokół wprowadzony przez EMVCo i największe organizacje płatnicze, aby pomóc konsumentom w wygodnym i bezpiecznym uwierzytelnianiu tożsamości przy transakcjach kartami, które nie są fizycznie obecne w czytniku terminala (do transakcji podaje się jedynie dane karty). 3DS2 to najnowsza wersja protokołu uwierzytelniania, która zapewnia ulepszenia uwzględniające wymogi regulacyjne związane z SCA. Dzięki 3DS2 akceptanci będą mogli umieścić dodatkową warstwę zabezpieczeń w swoich procesach transakcyjnych, co pomoże im spełnić nowe przepisy dotyczące uwierzytelniania SCA i skuteczniej zwalczać próby oszustw płatniczych.

3DS2 umożliwia przedsiębiorstwom i ich dostawcom usług płatniczych przekazywanie dodatkowych danych z każdej transakcji do banku posiadacza karty (emitenta). Umożliwia również bezproblemowe przetwarzanie płatności poprzez stosowanie zwolnień, chociaż emitent może nadal zażądać silnego uwierzytelnienia. Ogólnie rzecz biorąc, 3DS2 zapewnia lepsze doświadczenie płatnicze niezależnie od typu urządzenia / kanału płatności. Dalsze informacje na temat spodziewanych korzyści obejmują:

• Zwiększenie zaufania konsumentów do środowiska handlu elektronicznego, skutkujące większą liczbą konsumentów kupujących w Internecie.
• Mniejsza liczba oszustw i chargeback oraz ochrona akceptantów przed odpowiedzialnością związaną z oszustwami w przypadku transakcji z silnym uwierzytelnieniem.
• Zmniejszenie liczby przypadków zaniechania transakcji ze względu na lepsze doświadczenie płatnicze, uwarunkowane sprawniejszym przepływem danych, co pozwoli na lepsze podejmowanie decyzji dotyczących transakcji.

Z uwagi na różnorodność sposobów implementacji 3DS2 u Akceptantów zaliczanych do poszczególnych grup użytkowników informacje na ten temat wymagają indywidualnego profilowania. Kontakt w tej sprawie znajdą Państwo na stronie www.eservice.pl/psd2/wsparcie-dla-klientow/

Wszędzie tam, gdzie to możliwe, należy podać wszystkie dostępne dane w celu zapewnienia posiadaczowi karty i akceptantowi optymalnego doświadczenia płatniczego oraz w celu osiągnięcia bezproblemowej transakcji (challenge rate). Im więcej informacji podacie Państwo, tym większa istnieje szansa, że emitent nie będzie wymagał od posiadacza karty silnego uwierzytelnienia SCA.

Chociaż korzyścią wynikającą z SCA będzie zmniejszenie liczby oszustw związanych z płatnościami kartami online, oczekuje się, że zmiany mogą również wpłynąć na współczynniki konwersji osób korzystających z kart online. Jeśli nie wprowadzicie Państwo zmian niezbędnych do obsługi 3DS2, doświadczycie wzrostu liczby odrzuconych transakcji. Jak w przypadku każdej nowej technologii, zaznajomienie się z tym procesem może wymagać od posiadaczy karty czasu, a SCA może w krótkim czasie doprowadzić do zwiększenia liczby przerwanych transakcji, podczas gdy liczba transakcji wymagających uwierzytelnienia może się zmniejszyć. Oczekuje się, że z czasem system 3DS2, dzięki ulepszonemu przepływowi danych, wpłynie na zwiększenie zaufania konsumentów do zakupów on-line, ograniczenie oszustw i zmniejszenie liczby przypadków rezygnacji z zakupów.

SCA dotyczy wszystkich klientów, posiadających karty płatnicze wydane na rynku europejskim i ma zastosowanie wyłącznie do transakcji w Europejskim Obszarze Gospodarczym (EOG), gdy zarówno bank płatnika, jak i odbiorcy znajdują się w UE. Oznacza to, że transakcje realizowane przez klientów spoza UE, płacących kartami wydanymi przez banki spoza UE nie będą podlegały obowiązkowemu SCA. Jest to tzw. transakcja "one leg out".

Klient płacący kartą przy terminalu lub w internecie może zostać poproszony np.: o podanie dodatkowego hasła zabezpieczającego, lub kodu potwierdzenia przesłanego SMS-em, lub kodu PIN, lub odpowiedź na pytanie, na które tylko okaziciel będzie znał odpowiedź lub użycie odcisku palca na swoim telefonie.

Przewidziano kilka wyjątków niepodlegających zasadom SCA. Dotyczą one:1. Transakcji o obniżonym ryzyku — możliwe tylko dla banków lub agentów rozliczeniowych (np. eService), którzy notują bardzo niski procent transakcji oszukańczych. Dla transakcji poniżej 100 EUR jest to 0,13%.2. Transakcji poniżej 30 EUR, które są określane jako "Low Value" (niska wartość). Są one wykluczone z SCA do chwili, kiedy łączna kwota transakcji następujących po sobie od ostatniej weryfikacji zgodnie z SCA, przekroczy 100 EUR lub kartą wykonano 5 następujących po sobie transakcji niskiej wartości – bez użycia PIN.3. Transakcji rekurencyjnych, czyli powtarzających się – cyklicznych transakcji eCommerce. Jeżeli kwota się nie ulega zmianie, to każda kolejna transakcja (wykonana po drugiej transakcji), nie będzie podlegała weryfikacji SCA. Jeżeli kwota transakcji zostanie zmieniona, to do autoryzacji transakcji konieczne będzie zastosowanie zasad silnego uwierzytelnienia.4. Transakcji realizowanych przez zaufanych beneficjencjentów (handlowcy z tzw "białej listy")5. Bezpiecznych płatności korporacyjnych (SCP)6. Transakcji MOTO (mail order / telephone order) - nie podlegają wymogom SCA, ponieważ nie są traktowane jako transakcje online.5. Transakcji międzynarodowych realizowanych przez posiadaczy karty wydanej poza UE. Więcej szczegółowych informacji zawiera ją Tabele zwolnień i wyłączeń SCA (do pobrania).

Zwolnienie z obowiązku SCA oznacza, że agent rozliczeniowy / akceptant wnioskuje o zwolnienie (w celu osiągnięcia bezproblemowej realizacji transakcji bez SCA), a następnie emitent decyduje, czy SCA jest wymagane. W przypadku, gdy SCA jest wymagane, emitent uruchomi proces uwierzytelniania posiadacza karty. Wyłączenie stosowania SCA (transakcja „poza zakresem”) nie nakłada żadnego obowiązku uwierzytelnienia ani żadnej decyzji, pod warunkiem, że jest prawidłowo oznakowane.

eService będzie obsługiwać wszystkie zwolnienia dla agentów rozliczeniowych podlegające odpowiednim politykom i ocenom ryzyka, np. dla rynku lokalnego, określonych rodzajów działalności, indywidualnego ryzyka akceptanta, w stosownych przypadkach. W 2021 roku wprowadzi zwolnienie TRA. O jego dostępności zostaniecie Państwo poinformowani.

Nie, dotyczy to agenta rozliczeniowego i emitenta - w zależności od tego, który z nich składa wniosek o zwolnienie. Spółka planuje skorzystać ze zwolnienia TRA. O jego dostępności zostaniecie Państwo niezwłocznie poinformowani.

W przypadku zastosowania SCA, akceptanci / agenci rozliczeniowi objęci są ochroną na wypadek sporu związanego z oszustwem. W przypadku, gdy transakcja bez SCA doprowadzi do sporu związanego z oszustwem, akceptant/agent rozliczeniowy ponosi odpowiedzialność za transakcję oszukańczą.3DS chroni przed sporami dotyczącymi oszustw. Nie chroni natomiast przed wszystkimi sporami związanymi z chargeback, tj. sporami niezwiązanymi z nadużyciami finansowymi, takimi jak niezgodność towaru/usługi z opisem lub sporami związanymi z brakiem dostawy.

Nie. Nie ma możliwości indywidualnej rezygnacji z silnego uwierzytelniania. Są to obligatoryjne normy obowiązujące wszystkich uczestników rynku płatności na terenie UE. W przypadku niespełnienia wymogów określonych przez PSD2, bank wystawca karty ma prawo odrzucić transakcje niezgodne z SCA.

Ze względu na szeroki zakres zmian wprowadzonych w systemach wszystkich podmiotów odpowiedzialnych za procesowanie transakcji bezgotówkowych, w początkowym okresie funkcjonowania SCA mogą zdarzyć się przypadki odrzucenia niektórych transakcji, mimo ich prawidłowego wykonania. W takim przypadku zalecane jest powtórzenie transakcji z pominięciem formy zbliżeniowej i skorzystanie z czytnika kart, w który wyposażony jest terminal.

eService dostosował swoje systemy płatnicze oraz aplikacje terminalowe i eCommerce do wymagań nakładanych przez PSD2. Nie wymaga to podejmowania żadnych działań ze strony akceptanta.

Okaziciel karty/posiadacz rachunku powinien uzyskać wszystkie niezbędne informacje w banku, który wydał kartę/prowadzi jego konto.