Spolka nalezaca do EVO Payments International

Skrót najważniejszych informacji i wskazówek dotyczących SCA

 

Co to jest SCA?

 
 

SCA — Strong Customer Athentification (ang.) - Silne Uwierzytelnianie Klienta, to nowy europejski wymóg regulacyjny mający na celu zwiększenie bezpieczeństwa płatności elektronicznych poprzez wprowadzenie nowych zasad ich autoryzacji — uwierzytelnienia. SCA wymaga w tym celu użycia, co najmniej dwóch spośród trzech następujących grup elementów, które zna, posiada, lub charakteryzuje prawowitego posiadacza karty:

1. Czegoś, co ZNA - (PIN lub Hasło, lub hasło jednorazowe wysłane np. na telefon klienta).

2. Coś, co POSIADA - (karta, token – inny nośnik karty: telefon, zegarek).

3. Coś, co JEST cechą charakterystyczną - (Biometria, odcisk palca, rozpoznawanie twarzy, skan siatkówki oka).

 
 

Skąd wzięło się SCA i jaki ma wpływ na usługi płatnicze?

 
 

W ubiegłym roku UE przyjęła dyrektywę w sprawie usług płatniczych nr 2 (PSD2), ale nie wszystkie jej elementy weszły w życie w tym samym czasie. Jedno z najistotniejszych postanowień PSD2 dotyczy wprowadzenia tzw. silnego uwierzytelniania klientów (Strong Customer Authentication - SCA), dotyczącego przede wszystkim transakcji handlu elektronicznego. Zgodnie z dyrektywą, SCA obowiązuje od 14 września 2019 roku.

SCA wymaga od całej branży płatniczej zmian i spełnienia dodatkowych wymogów w zakresie uwierzytelniania zabezpieczeń transakcji kartami płatniczymi. Wiąże się to z koniecznością modyfikacji systemów informatycznych, której muszą dokonać wszyscy uczestnicy łańcucha płatności – banki, organizacje płatnicze, agenci rozliczeniowi, a także klienci dysponujący własnymi systemami kasowymi, zintegrowanymi z infrastrukturą płatniczą (najczęściej duże sklepy sieciowe).

 
 

Jakiego rodzaju transakcji dotyczy SCA?

 
 

Mechanizmy SCA mają zastosowanie głównie do transakcji kartowych na terminalach oraz płatności internetowych (eCommerce, mCommerce) realizowanych za pomocą kart płatniczych.

 
 

Czy wszyscy klienci (okaziciele kart) będą objęci dodatkową, silną weryfikacją?

 
 

SCA dotyczy wszystkich klientów, posiadających karty płatnicze wydane na rynku europejskim i ma zastosowanie wyłącznie do transakcji w Europejskim Obszarze Gospodarczym (EOG), gdy zarówno bank płatnika, jak i odbiorcy znajdują się w UE. Oznacza to, że transakcje realizowane przez klientów spoza UE, płacących kartami wydanymi przez banki spoza UE nie będą podlegały obowiązkowemu SCA. Jest to tzw. transakcja "one leg out".

 
 

Co muszę zrobić, aby przygotować się do wdrożenia zasad SCA?

 
 

eService dostosowuje swoje systemy płatnicze oraz aplikacje terminalowe i eCommerce do wymagań nakładanych przez PSD2. Nie wymaga to podejmowania żadnych działań ze strony akceptanta.

 
 

Jak w praktyce będzie objawiało się działanie mechanizmów SCA?

 
 

Klient płacący kartą przy terminalu lub w internecie może zostać poproszony np.: o podanie dodatkowego hasła zabezpieczającego, lub kodu potwierdzenia przesłanego SMS-em, lub kodu PIN, lub odpowiedź na pytanie, na które tylko okaziciel będzie znał odpowiedź lub użycie odcisku palca na swoim telefonie.

 
 

Co zrobić w przypadku odrzucenia transakcji zbliżeniowej klienta, mimo podania kodu PIN?

 
 

Ze względu na szeroki zakres zmian wprowadzonych w systemach wszystkich podmiotów odpowiedzialnych za procesowanie transakcji bezgotówkowych, w początkowym okresie funkcjonowania SCA mogą zdarzyć się przypadki odrzucenia niektórych transakcji, mimo ich prawidłowego wykonania. W takim przypadku zalecane jest powtórzenie transakcji z pominięciem formy zbliżeniowej i skorzystanie z czytnika kart, w który wyposażony jest terminal.

 
 

Czy wszystkie transakcje podlegają SCA?

 
 

Przewidziano kilka wyjątków niepodlegających zasadom SCA. Dotyczą one:

1. Transakcji o obniżonym ryzyku — możliwe tylko dla banków lub agentów rozliczeniowych (np. eService), którzy notują bardzo niski procent transakcji oszukańczych. Dla transakcji poniżej 100 EUR jest to 0,13%.

2. Transakcji poniżej 30 EUR, które są określane jako "Low Value" (niska wartość). Są one wykluczone z SCA do chwili, kiedy łączna kwota transakcji następujących po sobie od ostatniej weryfikacji zgodnie z SCA, przekroczy 100 EUR lub kartą wykonano 5 następujących po sobie transakcji niskiej wartości – bez użycia PIN.

3. Transakcji rekurencyjnych, czyli powtarzających się – cyklicznych transakcji eCommerce. Jeżeli kwota się nie ulega zmianie, to każda kolejna transakcja (wykonana po drugiej transakcji), nie będzie podlegała weryfikacji SCA. Jeżeli kwota transakcji zostanie zmieniona, to do autoryzacji transakcji konieczne będzie zastosowanie zasad silnego uwierzytelnienia.

4. Transakcje MOTO (mail order / telephone order) - nie podlegają wymogom SCA, ponieważ nie są traktowane jako transakcje online.

5. Transakcje międzynarodowe realizowane przez posiadaczy karty wydanej poza UE.

 
 

Czy Akceptant może zrezygnować z SCA, tak aby transakcje dokonywane w jego sklepie przebiegały jak do tej pory?

 
 

Nie. Nie ma możliwości indywidualnej rezygnacji z silnego uwierzytelniania. Są to obligatoryjne normy obowiązujące wszystkich uczestników rynku płatności na terenie UE. W przypadku niespełnienia wymogów określonych przez PSD2, bank wystawca karty ma prawo odrzucić transakcje niezgodne z SCA.

 
 

Czy takie same wymagania dotyczą płatności klientów robiących zakupy przez internet?

 
 

SCA obejmuje także transakcje kartowe realizowane podczas zakupów w internecie. W tym przypadku do autoryzacji transakcji niezbędne jest użycie rozwiązań 3D – Secure (3DS).

 
 

Co to jest EMV 3-D Secure 2 (3DS2) ?

 
 

To narzędzie uwierzytelniające lub protokół wprowadzony przez EMVCo i największe organizacje płatnicze, aby pomóc konsumentom w  wygodnym i bezpiecznym uwierzytelnianiu tożsamości przy transakcjach kartami, które nie są fizycznie obecne w czytniku terminala (do transakcji podaje się jedynie dane karty). 3DS2 to najnowsza wersja protokołu uwierzytelniania, która zapewnia ulepszenia uwzględniające wymogi regulacyjne związane z SCA. Dzięki 3DS2 akceptanci będą mogli umieścić dodatkową warstwę zabezpieczeń w swoich procesach transakcyjnych, co pomoże im spełnić nowe przepisy dotyczące uwierzytelniania SCA i skuteczniej zwalczać próby oszustw płatniczych.

 
 

Gdzie okaziciele kart płatniczych i właściciele kont bankowych mogą uzyskać informację o dodatkowych zabezpieczeniach?

 
 

Okaziciel karty/posiadacz rachunku powinien uzyskać wszystkie niezbędne informacje w banku, który wydał kartę/prowadzi jego konto.