Пояснения к Директиве о платежных услугах 2 (PSD2) и SCA [Обновление 2021]

[Carding Forum]

PSD2 - это директива Европейского Союза, направленная на регулирование индустрии онлайн-платежей в ЕС и ЕЭЗ.

В этой статье вы найдете

• Что такое PSD2?
• В чем разница между PSD1 и PSD2?
• Почему PSD2 важен?
• Что такое нормативно-технические стандарты (RTS) PSD2?
• PSD2 и очистка экрана
• Соответствие PSD2
• Дата внедрения PSD2
• Правила PSD2 в Великобритании
• GDPR и PSD2 - вызовы впереди
• Что такое SCA?
• Освобождения от SCA
• Открытый банкинг и PSD2
• В чем разница между Open Banking и PSD2?
• Что значит доплата?
• Каковы новые правила доплаты в PSD2?
• Платежи B2C по PSD2
• Платежи B2B по PSD2
• Чем может помочь Emerchantpay?

Поскольку мир провел большую часть 2020 года дома, быстрая реакция предприятий способствовала тому, что новые и существующие клиенты получат `` полезный или сломанный '' опыт в отношении бесконтактных и альтернативных способов оплаты, популярность которых резко возросла во время пандемии. Трудно представить, что всего три года назад все платежи управлялись или обрабатывались через банк, а обработка некоторых переводов занимала несколько дней.
Поскольку PSD2 был запущен в 2018 году, целью было создание более прозрачной экосистемы онлайн-платежей для потребителей в ЕС с некоторыми изменениями, включая затраты, защиту от дополнительных сборов и снижение риска мошенничества. Возможно, наиболее значительным спросом клиентов, который PSD2 ответил изменением доступа третьих сторон к банковским API, стали персонализированные и беспрепятственные платежи в реальном времени.
Здесь мы собрали все, что вам нужно знать о PSD2 и новых законах, направленных на повышение безопасности в Интернете и регулирование сервисов онлайн-платежей. Регламент Европейского союза (ЕС) также направлен на улучшение защиты потребителей, создание более безопасной платежной среды и снижение стоимости платежных услуг. В результате PSD2 затрагивает поставщиков платежных услуг (PSP), банки и строительные общества, платежные учреждения и учреждения электронных денег, а также их клиентов B2B.

Что такое PSD2?​

PSD2 - это директива ЕС, направленная на регулирование индустрии онлайн-платежей в ЕС и Европейской экономической зоне (ЕЭЗ). Закон был принят в 2018 году, и его цель - создать более интегрированный и плавный платежный опыт во всех странах-членах ЕС.
PSD2 также представила строгую проверку подлинности клиентов (SCA) , набор мер для повышения безопасности платежей и снижения уровня мошенничества. Благодаря внедрению более строгих проверок личности PSD2 стал дополнительным шагом на пути к оплате. Однако у директивы есть несколько преимуществ, которые компании могут использовать с правильным поставщиком платежных услуг.

В чем разница между PSD1 и PSD2?​

Платежная экосистема развивалась экспоненциально в период с 2007 по 2018 год, когда были введены две директивы. Разница между PSD1 и PSD2 заключается в том, что последняя является обновленной версией, которая расширяет возможности своего предшественника. PSD2 распознает сторонних игроков, признает более широкий спектр платежных транзакций и устраняет некоторые недостатки PSD1 по мере развития технологии.
Первая Директива о платежных услугах была принята в 2007 году. Этот закон установил правовую основу для единого рынка платежей в ЕС, направленного на создание более простых, безопасных и инновационных трансграничных платежных услуг . Предложение было подписано в ноябре 2009 г. и вступило в силу в декабре 2009 г. Его основными функциями были:

• До PSD1 только банки могли предоставлять платежные услуги. PSD1 проложил путь финтех-компаниям для выхода на рынок платежей и проведения финансовых операций.
• Банки и другие PSP должны были быть прозрачными в отношении своих услуг и сборов, включая максимальное время выполнения платежей, сборы и обменные курсы.
• Это ускорило развитие Единой зоны платежей в евро (SEPA) для облегчения выполнения платежей.

Однако PSD1 имел определенные недостатки. Государства-члены ЕС применяли определенные правила по-разному, что приводило к регулятивному арбитражу и правовой неопределенности, что в некоторых случаях ослабляло защиту потребителей.
PSD2 обновил определения и включает транзакции с третьими странами, если одна сторона находится в ЕС. Это также называется «односторонней транзакцией».

Почему PSD2 важен?​

PSD2 - важный шаг на пути к единому цифровому рынку в ЕЭЗ, цель которого - сделать единый рынок ЕС пригодным для цифровой эпохи. Новые меры также гарантируют, что все PSP, действующие в ЕС, подлежат надзору и соблюдению соответствующих правил. Без правильного партнера по платежам, помогающего компаниям ориентироваться в PSD2, это будет иметь далеко идущие последствия для ряда сторон, включая банки, другие PSP, финтех-компании и клиентов.
Вкратце, вот изменения, внесенные PSD2:

• Двухфакторная надежная аутентификация клиентов (SCA) будет реализована для большинства онлайн-транзакций в ЕЭЗ.
• Розничные торговцы могут напрямую запрашивать у покупателей разрешение на использование информации об их банковском счете.
• PSD2 описывает два типа регулируемых сторонних поставщиков (TPP), которым будет предоставлен прямой доступ к учетным записям клиентов; Поставщики услуг инициирования платежей (PISP) и поставщики услуг информации об учетной записи (AISP).
• Больше никаких комиссий за транзакции по карте для транзакций B2C.
• Улучшения защиты потребителей при оплате.

Что такое нормативно-технические стандарты (RTS) PSD2?​

В ноябре 2017 года Комиссия ЕС выпустила Нормативно-технические стандарты (RTS) для PSD2. РТС напрямую влияет на поставщиков услуг связи, эмитентов и эквайеров карт во всех странах-членах ЕС. Однако некоторые государства-члены ЕС, включая Великобританию, ввели переходные меры для поэтапного внедрения правил в контексте карточных платежей для транзакций электронной коммерции.
Нормативно-технические стандарты - это стандарты технической реализации PSD2 и SCA, которые, как ожидается, вступят в силу 31 декабря 2020 года. Следующие RT определяют требования SCA, то есть аутентификации, которая:
а) Основано на использовании двух или более элементов, отнесенных к категории
i. Знания (то, что знает только пользователь),
ii. Одержимость (то, что есть только у пользователя),
iii. Присутствие (что-то, чем является пользователь), и
б) Обеспечивает независимость элементов друг от друга, поскольку нарушение одного из них не ставит под угрозу надежность других, и
в) Разработано таким образом, чтобы защитить конфиденциальность данные аутентификации.

PSD2 и очистка экрана​

Очистка экрана теперь запрещена PSD2, которая устанавливает правовую основу для Open Banking в Европе. Очистка экрана - это программное использование веб-сайта, которое имитирует веб-браузер для извлечения данных или выполнения действий, которые пользователи обычно выполняют на веб-сайте вручную.
Несмотря на то, что это широко распространенная практика, она уже стала предметом серьезных судебных разбирательств в Европе, поскольку процесс считался противоречащим общим положениям и условиям многих эмитентов. В соответствии с PSD2 банки должны будут предоставлять третьим сторонам доступ к данным клиентов, при условии явного согласия клиентов, через специальные специализированные API, но только в отношении конкретной услуги. Если вас интересует открытый банкинг, переходите к этой части.

Соответствие PSD2​

Чтобы соответствовать требованиям SCA и PSD2, лучший вариант для продавцов - внедрить 3DS2.
3DS 2 - это протокол аутентификации, соответствующий требованиям PSD2 и SCA. Он предлагает эмитентам в десять раз больше данных, чтобы они могли принять решение, основанное на оценке риска, отображать окно 3DS или нет, что уменьшит количество проблем и поможет снизить риск мошенничества.
Он также будет оптимизирован для мобильных устройств, чтобы улучшить взаимодействие с пользователем, и все это дополняет выгоду от ответственности за возврат платежа. 3DS 2 также помогает ответить на этот вопрос пользователям настольных компьютеров или старых смартфонов, у которых нет доступа к биометрическим функциям. Таким образом, хотя это и не серебряная пуля, 3DS 2 поможет операторам выполнить требования двухфакторной аутентификации, не добавляя еще одну интеграцию в их уже сложенную очередь разработки.

Дата внедрения PSD2​

Хотя PSD2 стал частью законодательства каждого государства-члена с 13 января 2018 года, до 14 сентября 2019 года был начальный переходный период, чтобы правила SCA вступили в силу. Он был продлен до 14 марта 2022 года. Как упоминалось в нашем руководстве SCA, продление было продлено, чтобы дать компаниям больше времени для завершения перехода перед лицом глобальной пандемии.

Правила PSD2 в Великобритании​

Новый закон был применен в Великобритании и других странах Европы 13 января 2018 года. Однако мы ожидаем, что будут применяться дополнительные правила, которые в настоящее время находятся в стадии разработки. Последнее обновление от FCA было 27 ноября 2020 года, и оно отражало, что даже в случае Brexit без сделки SCA все равно вступит в силу в указанные сроки. Также это отразило увеличение лимита бесконтактных карточных платежей до 45 фунтов стерлингов. Рекомендуется сохранить ссылку на FCA, касающуюся RTS для CA и общих и безопасных открытых стандартов связи, или прочитать информацию об обновлении услуг у вашего поставщика платежных услуг, если и когда требования изменятся.

GDPR и PSD2 - вызовы впереди​

PSD2, GDPR (Общий регламент по защите данных) ЕС были введены в 2018 году как отдельные законодательные акты, ориентированные на данные потребителей. GDPR направлен на защиту личных данных, чтобы потребителям было легче узнавать, когда их данные используются, и выдвигать возражения против их использования. PSD2 регулирует рынок платежей, но также создает доступ к личным данным, позволяя третьим сторонам выходить на рынок платежей и предоставлять новую информацию о счете и услуги по инициированию платежей. Любой доступ этих третьих лиц к личным данным должен соответствовать GDPR.
С 1 января 2021 года GDPR был разделен на два регламента EU GDPR и UK GDPR, чтобы отразить выход Великобритании из ЕС после Brexit.

Что такое SCA?​

SCA означает строгую аутентификацию клиентов, которая является неотъемлемой частью законодательства PSD2. Короче говоря, SCA потребует онлайн-платежей в ЕС между выпущенными в ЕС картами и поставщиком платежных услуг оператора, расположенным в ЕС, для обработки транзакций с использованием двух факторов идентификации. Они должны быть двумя из следующих факторов; что-то знает человек, что-то есть у человека или что-то он есть.

SCA вводит обязательную двухфакторную аутентификацию при онлайн-платежах. Процесс аутентификации требует от потребителя ответа на один из трех вопросов, которые классифицируются следующим образом:

• Фактор знания (что-то, что знает только пользователь, например, пароль или PIN-код)
• Фактор владения (то, что есть только у пользователя, например, карта или устройство для генерации кода аутентификации)
• Фактор принадлежности (то, что пользователь, например, использование отпечатка пальца или распознавания голоса

Эти факторы независимы; это означает, что нарушение одного элемента не ставит под угрозу надежность других. Внедрение SCA - это возможность для продавцов, поскольку она приносит пользу вашим клиентам от краж и защищает ваш бизнес от мошенников и потенциальных возвратных платежей.

Освобождения от SCA​

Все онлайн-платежи подлежат SCA. Однако законодатели установили определенные исключения, которые применимы. Мы составили объяснение основных исключений ниже и подробно рассказали в нашем руководстве по SCA здесь:

• Однако повторяющиеся транзакции (например, в форме членства, подписки и т. Д.):
  • Первая повторяющаяся транзакция должна быть аутентифицирована с помощью двухфакторной аутентификации или многофакторной аутентификации.
  • Сумма каждой последовательной повторяющейся транзакции должна быть одинаковой в каждый расчетный период, чтобы транзакция была освобождена от SCA.
• Бесконтактные электронные платежные операции в точках продаж, но:
  • Разовая транзакция не может превышать 50 евро.
  • Общая сумма транзакций не может превышать 150 евро или пять последовательных транзакций без аутентификации.
• Однако небольшие удаленные электронные платежные операции (т. Е. Платежные операции, инициированные через Интернет или через устройство, которое можно использовать для дистанционной связи):
  • Стоимость одной транзакции не может превышать 30 евро.
  • Общая сумма транзакций не может превышать 100 евро или пяти последовательных транзакций без аутентификации.
• Клиенты, получающие доступ в режиме онлайн к балансу своих платежных счетов, связанных с вашим интернет-магазином:
  • Когда ваши клиенты впервые получают доступ к балансу своих платежных счетов, необходимо применить двухфакторную аутентификацию.
  • Если с момента последнего доступа ваших клиентов к балансу своих счетов прошло 90 дней, двухфакторную аутентификацию придется применить снова.

Информирование клиентов о SCA​

Многие продавцы будут использовать 3DS 2.0 для удовлетворения требований SCA. Это практически не повлияет на пользовательский опыт их клиентов для тех, кто уже использует его. Тем, кто еще не внедрил 3DS 2, необходимо как можно скорее начать обучение своих клиентов, чтобы снизить риск отказа.
В этом направлении продавцы могут найти большие преимущества в транзакционных данных. Проанализируйте свою среднюю стоимость транзакции (ATV) для каждого платежного канала как можно более подробно, ATV ваших клиентов, их привычки расходования средств и ваши возможности маршрутизации транзакций.
Не все транзакции будут затронуты, но потребителям необходимо будет подтвердить себя в какой-то момент, либо после общих затрат в 100 евро, либо после пяти транзакций с момента их последней аутентификации. Способы оптимизации ваших платежей включают в себя описание того, как вы собираетесь направлять транзакции, на кого это повлияет, а на кого нет льгот.
Также полезно сообщить клиентам, что это общеевропейское требование и что не только ваш бизнес меняет их привычный опыт. Сообщение им о том, что все продавцы электронной коммерции должны соблюдать требования, и что вы сделаете все возможное, чтобы сделать их оформление заказа максимально плавным, отразит ваш упреждающий подход к безопасности платежей.
Это сообщение может также проинформировать их о том, что они не всегда будут получать окно 3DS 2.0, и обучить их тому, как внести ваш веб-сайт в белый список у эмитента карты. Потребители используют широкий спектр сайтов, и расходы будут варьироваться в зависимости от того, что они покупают; Следовательно, ваше сообщение необходимо тщательно рассмотреть и распространить в оптимальное время, характерное для вашего предложения.

На что следует обратить внимание, прежде чем общаться с вашими клиентами​

Ваш конкурс внедрил PSD2 с первого дня? Вы потеряете клиентов, если будете подчиняться им? Потеряете ли вы клиентов, если еще не обеспечиваете максимально безопасную оплату? Готовы ли эмитенты и PSP, или развертывание происходит спорадически? Это всего лишь несколько вопросов, которые необходимо рассмотреть, а также то, как отразятся на показателях приема в каждой стране.
Наш совет - встать на передовую, обучить ваших клиентов, убедиться, что ваши PSP готовы, и опробовать свои решения, чтобы проанализировать влияние. Это даст вам время настроить взаимодействие с пользователем и подготовить свой бизнес к потенциальным результатам изменений до 14 марта 2022 года. Реакция эмитентов не зависит от вас, но, по крайней мере, вы и ваши клиенты будете хорошо подготовлены. на все случаи жизни.

Открытый банкинг и PSD2​

PSD2 обеспечивает законодательную и нормативную основу для Open Banking. Девять крупнейших банков Великобритании внедряют Open Banking через Open Banking Implementation Entity (OBIE) в соответствии с поручением Управления по конкуренции и рынкам (CMA). В мандат также входило требование к девяти крупнейшим банкам разработать так называемый открытый API в Великобритании. Open Banking - это первая совместная реализация открытых API-интерфейсов в Европе.
Open Banking нацелен на то, чтобы позволить сторонним компаниям предоставлять более точные личные финансовые рекомендации, адаптированные к потребностям клиентов и предоставляемые безопасно и конфиденциально с использованием Open API.
Согласно PSD2, банки будут обязаны предоставлять сторонним поставщикам (TPP) доступ к платежным счетам клиентов, известный как XS2A (доступ к счету). Учреждения, желающие выступить в качестве поставщиков услуг по инициированию платежей (PISP) или поставщиков услуг по предоставлению информации об учетных записях (AISP), должны быть авторизованными поставщиками платежных услуг (PSP).
По сути, сторонние компании смогут использовать открытые банковские API-интерфейсы, только с явным указанием потребителей, для доступа к данным клиентов и либо предоставлять обзор платежных счетов клиента в разных банках, все в одном месте (например, мобильное приложение). или инициировать платежи непосредственно с платежных счетов клиентов (например, розничного продавца) - при условии, что на них есть согласие клиента.

Открытое банковское дело и PSD2?​

PSD2 обеспечивает законодательную и нормативную основу для Open Banking. Девять крупнейших банков Великобритании внедряют Open Banking через Open Banking Implementation Entity (OBIE) в соответствии с поручением Управления по конкуренции и рынкам (CMA). В мандат также входит требование к крупнейшим банкам о создании открытого API в Великобритании.
Open Banking - это первая совместная реализация открытых API-интерфейсов в Европе. Он направлен на то, чтобы позволить сторонним компаниям давать более точные личные финансовые рекомендации, адаптированные к потребностям клиентов и предоставляемые безопасно, конфиденциально с использованием открытых API.
Согласно PSD2, банки должны будут предоставить TPP доступ к платежным счетам клиентов, известный как XS2A (доступ к счету). Учреждения, желающие выступить в качестве поставщиков услуг по инициированию платежей (PISP) или поставщиков услуг по предоставлению информации об учетных записях (AISP), должны быть авторизованными поставщиками услуг PSP.
По сути, сторонние компании могут использовать API Open Banking только с явного согласия потребителей для доступа к данным клиентов для предоставления; обзор платежных счетов клиента в разных банках в одном месте (например, мобильное приложение) или инициирование платежей непосредственно с платежных счетов клиентов (например, розничного продавца) при наличии согласия клиента.

В чем разница между Open bankind и PSD2​

Есть два основных различия между Open Banking и PSD2.
Во-первых, PSD2 не определяет создание стандартов API. Другими словами, у каждого банка есть возможность сделать свои данные доступными с помощью различных технических стандартов, только чтобы добавить уровень сложности для открытого внедрения банковских услуг в европейских банках.
Более того, PSD2 открывает доступ к транзакционным данным клиентов только для определенных учреждений, которые также должны регулироваться PSP. CMA, с другой стороны, может предоставить доступ более широкому кругу сторонних компаний через свой процесс «белого списка». Например, CMA признал, что сайты сравнения цен (PCW) не подпадают под действие PSD2. Таким образом, будут созданы отдельные механизмы внесения в белый список, в соответствии с которыми PCW могут получить разрешение на доступ к данным клиентов.

Что значит доплата?​

Эквайеры платят комиссию банку-эмитенту держателя карты. Это называется комиссией за обмен. Комиссия за обмен иногда перекладывается на продавцов, которые впоследствии взимают ее с конечного покупателя или держателя карты. Этот процесс описывает доплату.

Каковы новые правила доплаты в PSD2?​

В целом, вторая Директива о платежных услугах направлена на регулирование платежной индустрии во всем ЕС. До недавнего времени большинство продавцов классифицировали надбавку как дополнительную плату за использование карты. PSD2 запрещает взимать комиссию со всех транзакций B2C и определенных транзакций B2B.

Платежи B2C по PSD2
Стремясь защитить потребителей в ЕС и ЕЭЗ, PSD2 запрещает продавцам взимать с потребителей дополнительную плату за осуществление платежей определенными способами оплаты. Например, торговцам, работающим в сфере путешествий, розничной торговли или гостиничного бизнеса, больше не разрешается взимать с потребителей дополнительную плату за оплату дебетовой или кредитной картой.
Эта мера применяется к транзакциям внутри государства-члена ЕС или ЕЭЗ или за его пределами в онлайн-магазинах или физических магазинах.
Запрет на доплату применяется, когда:

• Банк-эмитент держателя карты и PSP продавца находятся в ЕЭЗ.
• Потребитель производит платеж с помощью дебетовой или кредитной карты (Visa и Mastercard) или платеж в евро с использованием прямого дебетового или кредитного перевода (известный как платежи SEPA).

Платежи B2B по PSD2
Хотя PSD2 в основном влияет на дополнительные сборы B2C, некоторые платежи B2B также будут регулироваться. Запрет на надбавку применяется к платежам B2B в евро, осуществляемым коммерческими организациями с использованием прямого дебетового или кредитного перевода, если банк или эмитент карты бизнес-клиента и PSP продавца находятся в ЕЭЗ. Однако за платежи B2B, совершенные с использованием корпоративной кредитной или дебетовой карты, по-прежнему может взиматься дополнительная плата по закону.

Чем может помочь Emerchantpay?​

Работа с PSP, которая понимает и обслуживает новые стандарты PSD2 и SCA, является ключом к навигации по развивающимся мерам безопасности платежей. Emerchantpay предлагает торговцам полную поддержку для предоставления платежного решения, совместимого с PSD2, во всех секторах.