Internetowe płatności lepiej chronione

Pod koniec lutego Europejski Urząd Nadzoru Bankowego przedstawił projekt regulacyjnych standardów technicznych (RTS) dla drugiej dyrektywy o usługach płatniczych PSD2. Wprowadza ona między innymi wymóg silnego uwierzytelnienia klienta podczas autoryzacji transakcji. W ostatecznej wersji jednak ta reguła ma być stosowana elastycznie.

- Zapisy projektu RTS z punktu widzenia UKNF należy ocenić pozytywnie. Dla nadzoru ważny jest aspekt bezpieczeństwa, który został zaadresowany w opublikowanym dokumencie, niemniej jednak należy zauważyć, że projekt RTS uwzględnia również potrzebę rozwoju innowacji. UKNF od samego początku brał udział w opracowywaniu projektu RTS i zwracał szczególną uwagę na obszary istotne dla polskiego sektora płatniczego - ocenia Urząd Komisji Nadzoru Finansowego.

Zwraca uwagę, że projekt RTS wprowadza wymóg stosowania silnego uwierzytelnienia klienta podczas autoryzacji transakcji jako generalną zasadę, ale określone zostały również wyłączenia w tym zakresie, np. oparte na ocenie ryzyka transakcji i referencyjnej stopie fraudów dla danej usługi płatniczej. Polski nadzór już wcześniej wprowadził zalecenia, które idą w tym kierunku.

Zgodnie z wydaną przez KNF Rekomendacją dotyczącą bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo - kredytowe polskie banki powinny posiadać wdrożony mechanizm silnego uwierzytelnienia klienta. - Należy jednak zwrócić uwagę, że projekt RTS wprowadza wymóg dynamicznego łączenia kodu autoryzacyjnego z kwotą i odbiorcą transakcji, co może implikować potrzebę zastosowania w niektórych bankach dodatkowych narzędzi - tłumaczy UKNF.

Co sądzą sami operatorzy płatności? Przedstawiciele PSP, właściciela systemu płatności BLIK zapewniają, że gdyby europejskie wytyczne weszły w takiej wersji, w jakiej zostały opublikowane, już dziś sposób autoryzacji jest z nimi w pełni zgodny.

 - Transakcje BLIK nieprzerwanie spełniają wymogi RTS-ów, także tych z najnowszego projektu EBA. Co więcej banki, w oparciu o swoje aplikacje będą mogły swobodnie wyłączać tzw. silną autoryzację (aby zainicjować płatność konieczna jest identyfikacja klienta za pomocą co najmniej 2 niezależnych metod uwierzytelnienia - np. jednocześnie za pomocą kodu i PIN-u -red.), którą oferuje BLIK w ramach nowoczesnych usług płatniczych typu one click. - tłumaczy Dariusz Mazurkiewicz, wiceprezes Polskiego Standardu Płatności, operatora systemu BLIK.

Ostateczną wersję wytycznych pozytywnie oceniła też międzynarodowa organizacja płatnicza Visa, która jeszcze jesienią ostrzegała, że propozycje, które wówczas brano pod uwagę prowadziłyby do wyeliminowania szybkich płatności za zakupy w handlu internetowym. Pierwotnie dokument miał zostać opublikowany w styczniu, ale kontrowersje i krytyczne uwagi spowodowały, że publikacja dokumentu przesunęła się o kilka tygodni.

Ostatecznie reguły są bardziej elastyczne i zdaniem organizacji Visa taka ich wersja pozwoli na utrzymanie wzrostowego trendu w europejskim handlu elektronicznym.

- Dzięki nowym technologiom możliwe jest dziś podejmowanie elastycznych, wspomaganych inteligentnymi systemami antyfraudowymi decyzji dotyczących ryzyka nadużyć. W dalszym ciągu będziemy współpracować z właściwymi władzami w procesie tworzenia bezpiecznych i innowacyjnych rozwiązań płatniczych zaspokajających potrzeby konsumentów i detalistów - tłumaczy organizacja Visa.

Jednym z głównych założeń dyrektywy PSD2 było pobudzenie konkurencyjności na rynku usług płatniczych poprzez umożliwienie podmiotom trzecim dostępu do rachunków bankowych. Zgodnie z projektem RTS każdy dostawca usług płatniczych prowadzący rachunki płatnicze w trybie online będzie zobowiązany zbudować przynajmniej jeden interfejs komunikacji (tzw. API), który zapewni podmiotom trzecim możliwość pozyskiwania informacji o rachunku klienta lub zainicjowania transakcji płatniczej.

Jednak ostatecznie nie dopuszcza się bardzo kontrowersyjnej metody. W raporcie końcowym zawierającym projekt RTS wskazano stanowisko EBA uzgodnione z Komisją Europejską w sprawie "screen scrapingu", które mówi, że praktyka polegająca na dostępie podmiotu trzeciego do rachunku płatniczego klienta bez wiedzy banku nie będzie dozwolona. Screen scraping to podawanie danych do logowania do banku innej instytucji (podając je na jej stronie internetowej). Przeciwnikiem stosowania "screen scrapingu" była Komisja Nadzoru Finansowego i zakazała stosowania tej metody w bankach.

Rozmowa Interii: Adrian Witkowski, ekspert z firmy PayU, lidera rynku płatności internetowych.

Jak PayU ocenia opublikowane niedawno techniczne wytyczne RTS do dyrektywy europejskiej PSD2?

- Kluczowe znaczenie w tekście RTSów ma kwestia silnego uwierzytelnienia. Europejski Urząd Nadzoru Bankowego wciąż wyraźnie podkreśla, że w świecie PSD2 silne uwierzytelnienie ma być regułą, a wyjątki od silnego uwierzytelniana mają być intepretowane wąsko. Ku naszemu zadowoleniu jednak, wyjątek od silnego uwierzytelnienia, przewidziany dla tzw. transakcji nisko kwotowych, został zwiększony z 10 do 30 Euro.

- Dodatkowo, w odpowiedzi na liczne głosy płynące z rynku, wprowadzono możliwość stosowania analizy opartej o ocenę ryzyka transakcji i dopiero w wyniku tej analizy wywołanie silnego uwierzytelnienia, bądź nie - w praktyce będzie się to najczęściej sprowadzało do wysłania klientom jednorazowego kodu SMS. Dostawcy usług płatniczych nie będą jednak mieli pełnej swobody w zakresie stosowania własnej analizy ryzyka. RTS premiują te podmioty, które skutecznie zapobiegają fraudom (transakcjom oszukańczym). EBA wprowadza nowe pojęcie "Referencyjnego wskaźnika fraudów" - im niższy będzie ten współczynnik (RTS  wprowadzają 3 stopnie), tym większą swobodę będzie miał dostawca. Bez silnego uwierzytelnienia będzie można zainicjować transakcje o łącznej maksymalnej wartości 500 Euro.

Czy z punktu widzenia PayU trzeba będzie zmieniać proces autoryzacji transakcji, czy nie będzie rewolucji?

- Nie wiem czy rewolucja to nie za duże słowo. Na pewno chcąc oferować klientom płatności w modelu one-click dostawcy będą musieli zapewnić właściwy poziom bezpieczeństwa, zatem wygoda dla klienta będzie uzależniona od tego, jak dobrze wybrana instytucja radzi sobie z potencjalnymi nadużyciami (jaki jest jej "Referencyjny wskaźnik fraudów"). Pamiętajmy jednak, że wciąż będziemy mogli tworzyć listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnienie będzie wymagane jednorazowo, podczas inicjowania takiej operacji.

Co oceniacie pozytywnie, a co negatywnie w RTS-ach?

- Po wstępnej analizie dokumentu pozytywnie oceniamy zmiany w zakresie wyjątku dla transakcji nisko kwotowych oraz wprowadzenie możliwości analizy ryzyka, bo to oznacza, że w przypadku transakcji o wartości powyżej 30 Euro to instytucja płatnicza będzie samodzielnie oceniała ryzyko transakcji i definiowała parametry wskazujące na wysokie ryzyko, a więc wymagające ew. dodatkowej autoryzacji. Na plus zaliczamy również wyłączenie z obowiązku silnego uwierzytelnienia opłat w automatach obsługujących płatności za usługi transportowe i parkingowe. Na minus w tej chwili oceniamy postanowienie mówiące o tym, że analiza ryzyka dotyczy tylko przelewów i kart - widzimy przecież duży rozwój innowacyjnych mobilnych rozwiązań płatniczych, szkoda zatem by w ich przypadku nie można było korzystać z rozwiązań zaproponowanych dla "tradycyjnych" kanałów płatności.

Monika Krześniak-Sajewicz