Jollier
Professional
- Messages
- 1,139
- Reaction score
- 1,188
- Points
- 113
Оглавление
Предпосылки к PSD2 и SCA
PSD2 является вторым Payments ЕС Директива Service.
Директива основывается на трех ключевых областях законодательства, впервые введенных в первоначальную Директиву 2007 года. Эти области включают расширение прав потребителей в платежах, создание равных условий игры за счет включения регулирования доступа третьих сторон к информации об учетной записи и повышения безопасности.
Повышенная безопасность относится, в частности, к набору требований, называемых строгой аутентификацией клиентов (SCA) . Эти требования имеют далеко идущие последствия для любого бизнеса, работающего в Интернете.
В этом руководстве рассматривается SCA, кто и на что влияет, и как компании могут подготовиться к вступлению требований в силу.
Что такое строгая проверка подлинности клиентов (SCA)?
Надежная проверка подлинности клиентов - это набор будущих нормативных требований, направленных на повышение безопасности онлайн-платежей и, как следствие, сокращение мошенничества при оплате.
SCA добавляет дополнительный уровень безопасности, когда конечные клиенты производят платежи онлайн. До сих пор покупатели могли просто ввести свои платежные реквизиты и завершить покупку (хотя некоторые предприятия добровольно запрашивают дополнительную аутентификацию).
Как работает SCA?
SCA - это форма двухфакторной аутентификации, предназначенная для доказательства того, что конечные клиенты являются тем, кем они себя называют, с определенными правилами относительно того, что представляет собой «аутентификация».
Для этого требуются две формы проверки из трех доступных категорий.
Что представляет собой метод аутентификации?
В рамках SCA доступны три допустимые категории аутентификации. Внутри каждой категории есть несколько потенциальных методов для соответствия этой категории.
Эти три категории:
Три типа аутентификации, разрешенные в SCA
21 июня 2019 года EBA опубликовало новое мнение о том, что может составлять соответствующий элемент в каждой из трех возможных категорий наследственности, владения и знания, а также дополнительных требований к динамическому связыванию и независимости элементов.
К каким транзакциям применяется SCA?
SCA внедряется, чтобы сделать работу с деньгами и сделать онлайн-платежи более безопасными и уменьшить мошенничество с платежами. На высоком уровне SCA потребуется, когда плательщик переводит средства или получает доступ к информации своего счета.
В частности, SCA будет применяться каждый раз, когда плательщик:
Применяется ли SCA к регулярным платежам?
Если платежи инициируются конечным потребителем, SCA будет применяться только к первому платежу в наборе повторяющихся платежей на ту же сумму. Однако, если сумма изменится, будет применяться SCA.
Если платежи инициируются продавцом, получающим средства, SCA обычно (хотя и не в случае стандартного прямого дебета) требуется для первого платежа в серии повторяющихся платежей. Пока последующие платежи инициируются продавцом, дальнейший SCA не потребуется, если взимаемые суммы находятся в пределах разумных ожиданий конечного потребителя.
Это означает, что подписчикам, SaaS и членским компаниям нужно будет подготовиться к SCA.
Однако есть несколько исключений из SCA , а также некоторые операции, не входящие в сферу охвата, которые принесут пользу предприятиям с регулярным доходом.
Почему вступает в силу SCA?
SCA является частью PSD2. Одна из целей PSD2 - обеспечить защиту потребителей.
С момента внедрения оригинальной PSD на рынке платежей произошли новые технологические достижения, в которых увеличилось количество сторонних поставщиков (TPP). Эти TPP предлагают новые и инновационные способы доступа к информации об учетных записях потребителей и инициирования платежей.
Однако открытие доступа к учетным записям клиентов таким образом создает повышенный риск безопасности, и компромисс заключается в строгом регулировании того, как TPP и поставщики платежных услуг получают доступ к этим учетным записям.
Вот где приходит SCA. Его цель - гарантировать, что конечный покупатель является законным владельцем банковского счета или другого платежного механизма (например, карты). Считается, что за счет двухфакторной аутентификации риск мошенничества снижается.
Короче говоря, SCA нацелена на повышение безопасности онлайн-транзакций плательщиков и сокращение мошенничества со стороны плательщиков.
Стоимость мошенничества с платежами
SCA призван уменьшить количество случаев мошенничества во время онлайн-транзакций, но какое влияние это окажет?
По оценкам Европола, в 2013 году на мошенничество без предъявления карт приходилось 66% мошеннических операций с картами из 1,44 млрд евро. К 2016 году Европейский центральный банк (ЕЦБ) подсчитал, что общая стоимость мошенничества с платежными картами - кардинга достигла 1,8 млрд евро. Великобритания, Франция и Дания пострадали от самого высокого уровня мошенничества с картами.
Только в Великобритании в 2017 году было украдено 2 миллиарда фунтов стерлингов с кредитных и дебетовых карт, при этом 28% людей стали жертвамимошенничества с онлайн-платежами.
Любое снижение уровня мошенничества может привести к значительной экономии по всей Европе.
К каким странам будет применяться SCA?
SCA (как часть PSD2) является общеевропейским требованием и будет требоваться для любой применимой транзакции, если и поставщик платежных услуг предприятия, и банк плательщика или провайдер карты расположены в Европейской экономической зоне (ЕЭЗ). Если один из них находится за пределами Европы, от поставщика платежных услуг в Европе требуется приложить «все усилия» для применения SCA.
Это означает, что даже если штаб-квартира компании находится за пределами ЕЭЗ, если они принимают онлайн-платежи от плательщиков из ЕЭЗ, эти транзакции могут по-прежнему подпадать под действие SCA.
Весьма вероятно, что SCA продолжит применять к Великобритании, независимо от результата или сроков Brexit ; FCA сделал свои планы ясно - она хочет SCA продолжать применять; другие европейские регулирующие органы не высказали никаких предположений об обратном.
Роль Европейского банковского управления в SCA
Европейское банковское управление (EBA) - это независимый орган ЕС, который работает над обеспечением эффективного и последовательного пруденциального регулирования и надзора в европейском банковском секторе. Его общие цели заключаются в поддержании финансовой стабильности в ЕС и обеспечении целостности, эффективности и упорядоченного функционирования банковского сектора.
EBA выпустило нормативно-технические стандарты (RTS), которые определяют полную сферу компетенции SCA для EEA.
Однако компетентные органы из отдельных стран ЕЭЗ, такие как FCA в Великобритании или BaFin в Германии, будут нести ответственность за соблюдение SCA, когда оно вступит в силу.
Когда SCA вступает в силу?
Крайний срок внедрения SCA для предприятий, работающих в Великобритании, продлен до 14 сентября 2021 года.
Первоначальный крайний срок реализации - 14 сентября 2019 года в ЕЭЗ. Однако в августе 2019 года Управление финансового надзора (FCA) подтвердило, что обеспечение соблюдения SCA в Великобритании должно включать поэтапное 18-месячное внедрение, начиная с 14 сентября 2019 года и заканчивая мартом 2021 года.
На 30 апреля 2020 года, дополнительные 6 месяцев были предоставлены в ответ на исключительную COVID-19 обстоятельств, в результате чего в текущем сентябре 2021 года срока.
Это означает, что принудительные меры не будут приниматься в отношении предприятий до истечения продленного срока, «когда есть доказательства того, что они предприняли необходимые шаги для соблюдения плана [по согласованию с эмитентами карт, платежной фирмой и интернет-магазинами]».
Кроме того, 16 октября 2019 года Европейское банковское управление (EBA) вынесло заключение о переносе крайнего срока SCA до 31 декабря 2020 года, фактически установив общеевропейский крайний срок. EBA еще не изменил этот крайний срок в ответ на COVID-19.
Подготовка и внедрение SCA
Все, что вам нужно знать о подготовке к SCA и защите ваших важнейших показателей конверсии.
Насколько готовы к использованию SCA онлайн-компании?
В 2018 году Mastercard опросила более 300 онлайн-магазинов и обнаружила, что 86% из них еще не соответствовали требованиям SCA, а 75% даже не знали о предстоящем законодательстве.
Исследование 451 Research, проведенное в мае 2019 года, показало, что только 15% предприятий чувствуют себя "чрезвычайно подготовленными''. Хотя многие из тех, кто признается в своей неподготовленности, являются представителями малого бизнеса, проблема готовности является более распространенной. Согласно исследованию, только 19% предприятий с более чем 5000 сотрудников чувствуют себя чрезвычайно подготовленными, и только два из пяти предприятий ожидают, что они будут соответствовать требованиям SCA до сентября 2019 года.
По крайней мере, есть признаки того, что онлайн-компании начинают обращать на это внимание - SCA была главной темой обсуждения на таких мероприятиях, как финансовые технологии и платежи, таких как Merchant Risk Council London 2019 и Money 20/20.
Потенциальное влияние SCA на бизнес
Хотя все больше предприятий начинают осознавать последствия законодательства SCA, многие все еще принимают меры.
Вот четыре потенциальных долгосрочных воздействия SCA:
1. Снижение коэффициента конверсии.
Для транзакций, требующих аутентификации, новое законодательство предусматривает дополнительные шаги в процессе оформления заказа. Трения во время оформления заказа могут значительно увеличить вероятность того, что потенциальный конечный покупатель не совершит покупку. 69% покупок были отменены в 2019 году, а 27% покупателей отказались от покупки, потому что процесс был «слишком долгим или сложным».
Несмотря на то, что существуют исключения для определенных типов транзакций и других общих тактик, которые компании могут использовать для уменьшения трения при оформлении заказа, SCA, вероятно, приведет к снижению коэффициента конверсии для предприятий, неспособных сбалансировать новые меры безопасности с удобством оформления заказа для конечных клиентов.
В Индии аналогичный закон привел к падению коэффициента конверсии «за ночь» на 25% для всех затронутых компаний.
2. Экономическое влияние SCA
Ожидается, что сокращение количества совершающих покупки конечных клиентов из-за нового процесса аутентификации окажет влияние на европейскую экономику. Европейский бизнес потеряет около 57 миллиардов евро в первый год после внедрения SCA.
3. Возмещение расходов конечным потребителям
Согласно Европейскому платежному совету: «PSD2 предполагает, что плательщик может потребовать полное возмещение от своего PSP в случае несанкционированного платежа, если не было мер SCA и если плательщик не действовал обманным путем».
На практике это означает, что если PSP продавца (например, эквайер карты) решит либо полагаться на исключение (не применять SCA), либо вообще не внедряет SCA, они будут нести ответственность за любое последующее мошенничество. Если применяется SCA, эта ответственность может быть переложена на сторону, применяющую SCA, то есть PSP плательщика (например, эмитента карты). Если продавец вынуждает свой PSP (например, эквайер карты) применять конкретное исключение, ничто не мешает PSP и продавцу согласовать, где в конечном итоге лежит ответственность, и мы ожидаем, что эта ответственность будет передана самому продавцу.
Карточные сети, такие как Visa, усиленно работают над обновлением своих правил, чтобы отразить эти положения об ответственности.
4. Спрос на ресурсы
В краткосрочной перспективе для обеспечения соответствия требованиям SCA потребуются специалисты по продуктам, юридическим, операционным и финансовым вопросам в затронутых предприятиях, которые помогли бы внедрить изменения. Если продавцы решат сообщить об изменениях конечным покупателям, также потребуются маркетинговые усилия, чтобы обмен сообщениями нашел наилучший отклик.
71% предприятий считают, что нагрузка на ресурсы для внедрения SCA «значительна».
Как внедрить SCA
Кто отвечает за внедрение SCA?
Компании, принимающие онлайн-платежи, не несут прямой ответственности за соблюдение требований SCA. Эта ответственность возлагается на поставщиков платежных услуг-посредников (при условии, что соответствующие онлайн-транзакции подпадают под его компетенцию) и банки.
Чтобы быть более точным, банк плательщика несет ответственность за обеспечение соответствия транзакций SCA (и отклонение транзакций, которые не соответствуют требованиям). Для этого он должен собрать информацию аутентификации, как предписано в структуре SCA.
Тем не менее, банку необходимо где-то собирать эту информацию, откуда и поступают PSP. Они должны надежно фиксировать информацию как часть платежного потока, а затем безопасно передавать эту информацию в банки, используя безопасные механизмы для этого. После этого банки принимают окончательное решение о том, соответствует ли данная транзакция требованиям.
Хотя применение SCA является обязанностью PSP, могут возникнуть практические трудности, учитывая степень контроля одной PSP над деятельностью или соблюдением требований другой PSP. В конечном итоге каждая PSP должна обеспечивать свое собственное соответствие, что в некоторых случаях могло бы привести к более жесткому подходу к SCA со стороны PSP плательщика, чем это обязательно происходило в прошлом.
Однако влияние SCA, которое мы уже описали, включая возможное снижение конверсии, в первую очередь ложится на плечи продавцов.
Решающее значение будет иметь работа с PSP, которая либо подготовлена, либо проактивна в отношении SCA.
Если вы хотите подробнее поговорить о SCA и последствиях для ваших платежей, мы будем рады поболтать.
Обновление процесса оформления заказа
Процесс соблюдения SCA означает дополнительный шаг во время оформления заказа. Это будет наиболее очевидное изменение, которое увидят ваши конечные покупатели. В зависимости от способа оплаты этот дополнительный шаг может быть очень очевидным или почти незаметным. Например, в мобильных платежах уже используется сканирование отпечатков пальцев или распознавание лиц для подтверждения покупок, и это приемлемые меры аутентификации на основе присмотра.
Как мы уже упоминали, SCA в первую очередь повлияет на транзакции по кредитным и дебетовым картам. Чтобы обновить потоки расчетов для транзакций по картам, уже выпущен 3D Secure 2 (3DS2) - широко поддерживаемый метод совместимой аутентификации.
В недавней статье для Forbes Джордан Макки, директор по исследованиям 451 Research, отметил, что «продавцы, которые лучше всего могут интегрировать SCA в свой процесс оформления заказа и эффективно применять исключения, будут отделены от пакета, минимизируя влияние на клиентов».
3D Secure 2
3D Secure (3DS) - это метод аутентификации, впервые примененный Visa для покупок по кредитным и дебетовым картам, совершенных в Интернете. Конечные клиенты должны предоставить пароль для завершения платежной транзакции. Интернет-компании обычно получают доступ к 3D Secure через соответствующую PSP.
3D Secure 2 (3DS2) - это новая версия, которая будет соответствовать требованиям SCA за счет введения требований аутентификации, например, требующих от конечных клиентов ввода одноразового пароля / кода доступа или обеспечения биометрической авторизации.
Ключевой целью 3DS2 является создание «беспрепятственной авторизации» даже перед лицом дополнительных проверок безопасности, требуемых SCA. Если транзакция считается освобожденной, 3D Secure 2 должен обойти эти проверки. Одним из ключевых улучшений по сравнению с исходным протоколом 3D Secure (3DS) является возможность выполнять необходимые проверки без перенаправления со страницы оформления заказа.
Возможные проблемы 3D Secure 2
Первоначальная версия 3D Secure (3DS) была чревата проблемами для продавцов, включая ужасное падение конверсии из-за вышеупомянутых перенаправлений и плохого взаимодействия с пользователем. Исследование Ravelin показало, что 22% всех транзакций, аутентифицированных с помощью 3D Secure, теряются.
Хотя новая версия была разработана, чтобы минимизировать недостатки оригинала, включая лучший пользовательский интерфейс, разработанный для пользователей смартфонов, потребуется более широкое развертывание, чтобы оценить, была ли она успешной.
Поддержка 3DS2 и признание потребителей
Успех 3D secure 2 в решении проблем преобразования SCA будет зависеть от его принятия как банками, так и конечными клиентами. Несмотря на предстоящее внедрение SCA, ряд банков еще не начали поддерживать протокол 3DS2.
Что касается конечных клиентов, использование оригинального протокола 3DS в Европе ограничено. По данным PYMNTS, к концу 2017 года только 50% конечных клиентов зарегистрированы и только 25% транзакций подтверждены.
Нормативно-технические стандарты SCA (RTS)
Нормативно-технические стандарты (RTS) SCA устанавливают полные спецификации того, что именно охватывает SCA и что ожидается от всех заинтересованных сторон. Окончательная версия была завершена и распространена Комиссией ЕС в ноябре 2018 года.
Ваши клиенты и SCA
Хотя SCA, несомненно, повлияет на ваш бизнес, это также будет заметным изменением для конечных клиентов, пытающихся совершать покупки в Интернете. Как они к этому относятся? Они вообще заботятся о дополнительной безопасности? Знают ли они, что грядут изменения?
Осведомленность потребителей о SCA
Банки начали сообщать SCA предприятиям (пример 1, пример 2), но еще не сообщили об изменениях конечному потребителю.
Баланс безопасности и удобства
Независимо от осведомленности, захотят ли конечные клиенты потерять часть удобства покупок в Интернете, чтобы приспособиться к более тщательным проверкам безопасности SCA? В конце концов, система заказов Amazon в один клик была удобным процессом, с которым сравнивают все остальные кассы.
В исследовании 4000 клиентов из Великобритании, Франции, Германии и Испании спросили об их отношении к безопасности и удобству при совершении покупок в Интернете.
В ходе опроса им также задавались вопросы об отношении к определенным элементам новых требований SCA и о том, как повышение безопасности при оформлении заказа повлияет на их покупательское поведение.
Результаты выявили небольшое предпочтение безопасности перед конверсией: 58% покупателей отдают предпочтение безопасности.
Однако на вопрос, как бы они себя чувствовали, столкнувшись со сложными процедурами безопасности только при совершении покупок, большинство (54%) ответили, что они либо почувствуют подозрения, либо расстроятся. Только 39% сказали, что будут чувствовать себя в большей безопасности.
Опрос также показал, что отношение к безопасности и фактическое покупательское поведение могут сильно отличаться. 41% опрошенных ранее отказывались от слишком сложных онлайн-покупок, и почти четверть (24%) зашли бы так далеко, что стали бы меньше покупать у своего любимого бренда, если бы покупка была связана с дополнительными мерами безопасности.
Этот диссонанс в отношениях предполагает, что конечные потребители думают и действуют по-разному. Они могут положительно отреагировать на идею дополнительной безопасности, но их фактическое поведение при столкновении с SCA может сильно отличаться.
Передача SCA вашим конечным клиентам
После принятия в 2018 году закона о GDPR многие конечные клиенты увидели поток электронных писем от компаний, информирующих их об изменениях в политике конфиденциальности. Совокупный эффект был плохо воспринят конечными клиентами, и многие электронные письма были даже незаконными в соответствии с GDPR .
Дело в том, что информирование ваших конечных клиентов о любых серьезных изменениях чревато собственными проблемами. Если вы не сообщите об этих изменениях, они будут сбиты с толку, когда изменения действительно вступят в силу? Если вы все-таки сообщите SCA, создаст ли это ненужное беспокойство? Также очень сложно сообщить точный характер каких-либо изменений, когда вы все еще находитесь в процессе внедрения новых потоков оформления заказа и процессов авторизации.
Исключения из SCA
Узнайте, какие платежи не подпадают под действие SCA, а какие потребуют освобождения.
Освобождаются ли транзакции, инициированные продавцом, от SCA?
Транзакции, инициированные продавцом, классифицируются как выходящие за рамки требований SCA, поэтому их не нужно «освобождать» . Транзакция, инициированная продавцом, - это платеж, который принимается в согласованную дату с согласия плательщика и, как следует из названия, инициируется продавцом, собирающим платеж.
Если транзакция инициируется продавцом, как фиксированные, так и переменные платежи будут освобождены от SCA.
В отличие от большинства транзакций, инициированных конечными потребителями, потоки платежей по транзакциям, инициированным продавцом, часто не являются мгновенными. Детали конечного клиента собираются в один момент времени и отправляются в банк конечного клиента в другой момент времени. Таким образом, связь между конечным клиентом, банком и поставщиком платежных услуг не происходит в режиме реального времени. На языке SCA это называется асинхронной транзакцией. Было бы непрактично, а в некоторых случаях невозможно применить SCA к этим транзакциям.
Однако обратите внимание, что для большинства транзакций, инициированных продавцом, таких как повторяющиеся транзакции по карте, SCA все равно необходимо будет применять к первому платежу, если это делается с участием PSP плательщика (эмитента карты ega).
Включает ли это мандат электронного «безбумажного» прямого дебета?
Одним из видов транзакций, инициируемых продавцом, является электронный «безбумажный» прямой дебет. Для сбора прямого дебетования конечный покупатель, от которого будут собирать платежи, должен предоставить «мандат» продавцу / поставщику услуг связи, собирающему эти платежи.
Существовала большая путаница в отношении того, требуется ли SCA в момент установления мандата плательщиком, в частности, является ли действие по созданию мандата "действием через удаленный канал, которое может подразумевать риск платежное мошенничество или другие злоупотребления ».
7 июня 2019 года EBA подтвердило через свой инструмент вопросов и ответов, что строгая проверка подлинности клиентов (SCA) не требуется для создания электронных безбумажных мандатов прямого дебета, предоставляемых в пользу получателей платежей, при условии, что PSP конечного клиента (например, их банк) не принимает непосредственного участия в этой настройке.
В частности, EBA подтвердило:
«Мандаты, данные плательщиком получателю платежа, созданные без прямого участия PSP плательщика, не подлежат SCA».
Исключения SCA
Хотя транзакции, инициированные продавцом, считаются выходящими за рамки SCA, существует ряд других исключений, которые могут иметь отношение к вашему бизнесу.
Освобождение от SCA распространяется только на поставщиков платежных услуг. Они касаются суммы платежной транзакции, риска платежа, повторения платежной транзакции и канала платежа, используемого для выполнения платежа. Они включают:
Фиксированные повторяющиеся транзакции и подписки
При использовании метода оплаты, инициированного плательщиком, такого как постоянные поручения, SCA потребуется только для первого платежа фиксированной подписки. Пока выплаченная сумма остается неизменной, для дальнейших транзакций не потребуется SCA.
Однако, если сумма изменится, что происходит во многих подписках на основе использования, SCA будет требоваться снова для каждого изменения.
Бесконтактные платежи
Бесконтактные платежи, отвечающие любому из следующих условий, не подлежат применению SCA:
Исключение относится к каждой используемой карте, поэтому для совместных счетов освобождение применяется для каждой карты, связанной с учетной записью.
Транзакции до 30 евро
Подобно бесконтактным платежам (но с меньшим значением), платежи ниже 30 евро также не будут проходить строгую аутентификацию клиента.
Однако SCA потребуется, если конечный заказчик производит:
Надежные бенефициары (белый список)
У клиентов будет возможность включить известные компании в список «Доверенных бенефициаров».
Этот список будет обновляться и поддерживаться ASPSP (Поставщик платежных услуг для обслуживания счетов), который также имеет право удалять доверенных получателей. PSP продавца может создавать механизмы, чтобы «предлагать» доверенных бенефициаров ASPSP от имени конечного потребителя.
Например, Mastercard намекает, что по мере того, как покупатель проходит процесс онлайн-оформления заказа, в точке настройки платежа может быть флажок, который запрашивает, чтобы конечный покупатель добавил продавца в список доверенных получателей ASPSP. Этот запрос будет передан в ASPSP, который затем потребует от конечного потребителя пройти через SCA, чтобы утвердить список доверенных бенефициаров. Конечный клиент также сможет управлять своим списком доверенных бенефициаров напрямую с помощью ASPSP.
Обратите внимание, что ASPSP не обязательно должны сами предоставлять список доверенных бенефициаров - они могут передать это на аутсорсинг, и в результате такие компании, как Visa, разрабатывают продукты.
Если компания находится в «белом списке» конечного потребителя, то SCA не потребуется, независимо от суммы, частоты или вариации любых покупок.
Несмотря на то, что это привлекательный способ потенциальной навигации по SCA, использование этого процесса банками до сих пор было нерегулярным, и остается много вопросов относительно того, как именно он будет работать на практике. Есть подозрения, что добавление в белый список не станет жизнеспособной тактикой до тех пор, пока SCA не вступит в силу.
Важно отметить, что помимо того, что доверенный бенефициар добавляется в список исключений, SCA должен применяться, если есть изменения, внесенные в доверенного бенефициара или если удаление листинга запрашивается PSP продавца.
3D Secure 2 (версия 2.2) предоставит продавцам возможность занесения в белый список.
Корпоративные платежи
Платежи, осуществляемые напрямую между двумя корпоративными компаниями, будут освобождены от SCA, но только в том случае, если используемый способ оплаты - это специальный метод B2B, например корпоративное управление командировками с контролем доступа или корпоративная система закупок.
Согласно UK Finance: SCA не требуется для платежей, инициированных в отношении юридических лиц, использующих специальные платежные процессы или протоколы, которые ограничены конечными клиентами, которые не являются потребителями (например, хост-хост, некоторые услуги SWIFT и некоторые корпоративные карточные продукты).
В РТС также подробно говорится о том, что подпадает под это исключение, а что - нет:
Освобождение от операций с низким уровнем риска
Если предположить, что SCA обычно применяется к транзакции, провайдеры платежей будут иметь право оценивать транзакции и не применять протоколы SCA к тем, которые считаются «низкорисковыми» мошенничества.
Поставщики платежных услуг будут подчиняться строгим ограничениям, чтобы им была предоставлена возможность оценивать степень риска транзакций в режиме реального времени. Показатели мошенничества платежного провайдера (в целом, а не только для конкретного продавца) должны быть ниже следующих пороговых значений для конкретного используемого типа платежа и стоимости обрабатываемой транзакции:
* Уровень мошенничества не должен быть больше этих сумм, чтобы было применено исключение.
Как PSP получателя, так и PSP конечного клиента (например, эмитент карты) могут применять это исключение (исходя из их собственных общих показателей мошенничества для этого типа платежа). Тем не менее, ASPSP может решить, принимать ли заявление о таком освобождении. Так, например, эквайер карты (PSP продавца) может применить освобождение, но эмитент карты может отменить это освобождение.
На практике мы ожидаем, что запрос продавца PSP останется в силе, поскольку ответственность за любой полученный в результате мошеннический платеж будет лежать на PSP, применившем исключение.
Необслуживаемые транспортно-парковочные терминалы
Оплата проезда или парковки на необслуживаемом терминале не требует SCA.
Информация о платежном счете
Если конечный клиент использует TPP, предоставляющий услуги по предоставлению информации об учетной записи для доступа к данным своего платежного счета, SCA должен применяться, если этот клиент одновременно:
Однако в этом случае применение SCA не требуется:
Кредитные переводы
Для переводов между (например) текущим счетом на сберегательный счет, где оба счета открыты в одном банке одним и тем же лицом, SCA не требуется.
Внедрение исключений SCA
Эти исключения SCA будут важны для минимизации (или даже устранения) трений, вызванных процессом дополнительной авторизации. Но как сделать так, чтобы эти исключения действительно срабатывали, когда покупатель совершает покупку?
Для начала потребуется, чтобы PSP и ASPSP работали вместе и старались использовать общие стандарты, например .
Что делать, если освобождение не работает?
Хотя список освобождений теперь достаточно ясен, банк конечного клиента в конечном итоге решит, действительно ли освобождение. Если освобождение не предоставляется, платеж активирует код отклонения. Платеж необходимо будет повторно отправить и авторизовать с использованием протоколов надежной аутентификации клиентов.
- Полное руководство по надежной аутентификации клиентов (SCA)
- Подготовка и внедрение SCA
- Исключения из SCA
Предпосылки к PSD2 и SCA
PSD2 является вторым Payments ЕС Директива Service.
Директива основывается на трех ключевых областях законодательства, впервые введенных в первоначальную Директиву 2007 года. Эти области включают расширение прав потребителей в платежах, создание равных условий игры за счет включения регулирования доступа третьих сторон к информации об учетной записи и повышения безопасности.
Повышенная безопасность относится, в частности, к набору требований, называемых строгой аутентификацией клиентов (SCA) . Эти требования имеют далеко идущие последствия для любого бизнеса, работающего в Интернете.
В этом руководстве рассматривается SCA, кто и на что влияет, и как компании могут подготовиться к вступлению требований в силу.
Что такое строгая проверка подлинности клиентов (SCA)?
Надежная проверка подлинности клиентов - это набор будущих нормативных требований, направленных на повышение безопасности онлайн-платежей и, как следствие, сокращение мошенничества при оплате.
SCA добавляет дополнительный уровень безопасности, когда конечные клиенты производят платежи онлайн. До сих пор покупатели могли просто ввести свои платежные реквизиты и завершить покупку (хотя некоторые предприятия добровольно запрашивают дополнительную аутентификацию).
Как работает SCA?
SCA - это форма двухфакторной аутентификации, предназначенная для доказательства того, что конечные клиенты являются тем, кем они себя называют, с определенными правилами относительно того, что представляет собой «аутентификация».
Для этого требуются две формы проверки из трех доступных категорий.
Что представляет собой метод аутентификации?
В рамках SCA доступны три допустимые категории аутентификации. Внутри каждой категории есть несколько потенциальных методов для соответствия этой категории.
Эти три категории:
- Знание (то, что знает только плательщик) - примеры включают пароль, PIN-код, кодовую фразу или секретный факт / ответ
- Владение (то, что есть только у плательщика) - примеры включают их мобильный телефон, смарт-часы, смарт-карту или жетон.
- Наследование (то, что плательщик) - примеры включают отпечаток пальца, распознавание лица, образцы голоса, подпись ДНК и формат радужной оболочки глаза.
Три типа аутентификации, разрешенные в SCA
21 июня 2019 года EBA опубликовало новое мнение о том, что может составлять соответствующий элемент в каждой из трех возможных категорий наследственности, владения и знания, а также дополнительных требований к динамическому связыванию и независимости элементов.
К каким транзакциям применяется SCA?
SCA внедряется, чтобы сделать работу с деньгами и сделать онлайн-платежи более безопасными и уменьшить мошенничество с платежами. На высоком уровне SCA потребуется, когда плательщик переводит средства или получает доступ к информации своего счета.
В частности, SCA будет применяться каждый раз, когда плательщик:
- получает доступ к своему платежному счету онлайн
- инициирует транзакцию электронного платежа
- выполняет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений
Применяется ли SCA к регулярным платежам?
Если платежи инициируются конечным потребителем, SCA будет применяться только к первому платежу в наборе повторяющихся платежей на ту же сумму. Однако, если сумма изменится, будет применяться SCA.
Если платежи инициируются продавцом, получающим средства, SCA обычно (хотя и не в случае стандартного прямого дебета) требуется для первого платежа в серии повторяющихся платежей. Пока последующие платежи инициируются продавцом, дальнейший SCA не потребуется, если взимаемые суммы находятся в пределах разумных ожиданий конечного потребителя.
Это означает, что подписчикам, SaaS и членским компаниям нужно будет подготовиться к SCA.
Однако есть несколько исключений из SCA , а также некоторые операции, не входящие в сферу охвата, которые принесут пользу предприятиям с регулярным доходом.
Почему вступает в силу SCA?
SCA является частью PSD2. Одна из целей PSD2 - обеспечить защиту потребителей.
С момента внедрения оригинальной PSD на рынке платежей произошли новые технологические достижения, в которых увеличилось количество сторонних поставщиков (TPP). Эти TPP предлагают новые и инновационные способы доступа к информации об учетных записях потребителей и инициирования платежей.
Однако открытие доступа к учетным записям клиентов таким образом создает повышенный риск безопасности, и компромисс заключается в строгом регулировании того, как TPP и поставщики платежных услуг получают доступ к этим учетным записям.
Вот где приходит SCA. Его цель - гарантировать, что конечный покупатель является законным владельцем банковского счета или другого платежного механизма (например, карты). Считается, что за счет двухфакторной аутентификации риск мошенничества снижается.
Короче говоря, SCA нацелена на повышение безопасности онлайн-транзакций плательщиков и сокращение мошенничества со стороны плательщиков.
Стоимость мошенничества с платежами
SCA призван уменьшить количество случаев мошенничества во время онлайн-транзакций, но какое влияние это окажет?
По оценкам Европола, в 2013 году на мошенничество без предъявления карт приходилось 66% мошеннических операций с картами из 1,44 млрд евро. К 2016 году Европейский центральный банк (ЕЦБ) подсчитал, что общая стоимость мошенничества с платежными картами - кардинга достигла 1,8 млрд евро. Великобритания, Франция и Дания пострадали от самого высокого уровня мошенничества с картами.
Только в Великобритании в 2017 году было украдено 2 миллиарда фунтов стерлингов с кредитных и дебетовых карт, при этом 28% людей стали жертвамимошенничества с онлайн-платежами.
Любое снижение уровня мошенничества может привести к значительной экономии по всей Европе.
К каким странам будет применяться SCA?
SCA (как часть PSD2) является общеевропейским требованием и будет требоваться для любой применимой транзакции, если и поставщик платежных услуг предприятия, и банк плательщика или провайдер карты расположены в Европейской экономической зоне (ЕЭЗ). Если один из них находится за пределами Европы, от поставщика платежных услуг в Европе требуется приложить «все усилия» для применения SCA.
Это означает, что даже если штаб-квартира компании находится за пределами ЕЭЗ, если они принимают онлайн-платежи от плательщиков из ЕЭЗ, эти транзакции могут по-прежнему подпадать под действие SCA.
Весьма вероятно, что SCA продолжит применять к Великобритании, независимо от результата или сроков Brexit ; FCA сделал свои планы ясно - она хочет SCA продолжать применять; другие европейские регулирующие органы не высказали никаких предположений об обратном.
Роль Европейского банковского управления в SCA
Европейское банковское управление (EBA) - это независимый орган ЕС, который работает над обеспечением эффективного и последовательного пруденциального регулирования и надзора в европейском банковском секторе. Его общие цели заключаются в поддержании финансовой стабильности в ЕС и обеспечении целостности, эффективности и упорядоченного функционирования банковского сектора.
EBA выпустило нормативно-технические стандарты (RTS), которые определяют полную сферу компетенции SCA для EEA.
Однако компетентные органы из отдельных стран ЕЭЗ, такие как FCA в Великобритании или BaFin в Германии, будут нести ответственность за соблюдение SCA, когда оно вступит в силу.
Когда SCA вступает в силу?
Крайний срок внедрения SCA для предприятий, работающих в Великобритании, продлен до 14 сентября 2021 года.
Первоначальный крайний срок реализации - 14 сентября 2019 года в ЕЭЗ. Однако в августе 2019 года Управление финансового надзора (FCA) подтвердило, что обеспечение соблюдения SCA в Великобритании должно включать поэтапное 18-месячное внедрение, начиная с 14 сентября 2019 года и заканчивая мартом 2021 года.
На 30 апреля 2020 года, дополнительные 6 месяцев были предоставлены в ответ на исключительную COVID-19 обстоятельств, в результате чего в текущем сентябре 2021 года срока.
Это означает, что принудительные меры не будут приниматься в отношении предприятий до истечения продленного срока, «когда есть доказательства того, что они предприняли необходимые шаги для соблюдения плана [по согласованию с эмитентами карт, платежной фирмой и интернет-магазинами]».
Кроме того, 16 октября 2019 года Европейское банковское управление (EBA) вынесло заключение о переносе крайнего срока SCA до 31 декабря 2020 года, фактически установив общеевропейский крайний срок. EBA еще не изменил этот крайний срок в ответ на COVID-19.
Подготовка и внедрение SCA
Все, что вам нужно знать о подготовке к SCA и защите ваших важнейших показателей конверсии.
Насколько готовы к использованию SCA онлайн-компании?
В 2018 году Mastercard опросила более 300 онлайн-магазинов и обнаружила, что 86% из них еще не соответствовали требованиям SCA, а 75% даже не знали о предстоящем законодательстве.
Исследование 451 Research, проведенное в мае 2019 года, показало, что только 15% предприятий чувствуют себя "чрезвычайно подготовленными''. Хотя многие из тех, кто признается в своей неподготовленности, являются представителями малого бизнеса, проблема готовности является более распространенной. Согласно исследованию, только 19% предприятий с более чем 5000 сотрудников чувствуют себя чрезвычайно подготовленными, и только два из пяти предприятий ожидают, что они будут соответствовать требованиям SCA до сентября 2019 года.
По крайней мере, есть признаки того, что онлайн-компании начинают обращать на это внимание - SCA была главной темой обсуждения на таких мероприятиях, как финансовые технологии и платежи, таких как Merchant Risk Council London 2019 и Money 20/20.
Потенциальное влияние SCA на бизнес
Хотя все больше предприятий начинают осознавать последствия законодательства SCA, многие все еще принимают меры.
Вот четыре потенциальных долгосрочных воздействия SCA:
1. Снижение коэффициента конверсии.
Для транзакций, требующих аутентификации, новое законодательство предусматривает дополнительные шаги в процессе оформления заказа. Трения во время оформления заказа могут значительно увеличить вероятность того, что потенциальный конечный покупатель не совершит покупку. 69% покупок были отменены в 2019 году, а 27% покупателей отказались от покупки, потому что процесс был «слишком долгим или сложным».
Несмотря на то, что существуют исключения для определенных типов транзакций и других общих тактик, которые компании могут использовать для уменьшения трения при оформлении заказа, SCA, вероятно, приведет к снижению коэффициента конверсии для предприятий, неспособных сбалансировать новые меры безопасности с удобством оформления заказа для конечных клиентов.
В Индии аналогичный закон привел к падению коэффициента конверсии «за ночь» на 25% для всех затронутых компаний.
2. Экономическое влияние SCA
Ожидается, что сокращение количества совершающих покупки конечных клиентов из-за нового процесса аутентификации окажет влияние на европейскую экономику. Европейский бизнес потеряет около 57 миллиардов евро в первый год после внедрения SCA.
3. Возмещение расходов конечным потребителям
Согласно Европейскому платежному совету: «PSD2 предполагает, что плательщик может потребовать полное возмещение от своего PSP в случае несанкционированного платежа, если не было мер SCA и если плательщик не действовал обманным путем».
На практике это означает, что если PSP продавца (например, эквайер карты) решит либо полагаться на исключение (не применять SCA), либо вообще не внедряет SCA, они будут нести ответственность за любое последующее мошенничество. Если применяется SCA, эта ответственность может быть переложена на сторону, применяющую SCA, то есть PSP плательщика (например, эмитента карты). Если продавец вынуждает свой PSP (например, эквайер карты) применять конкретное исключение, ничто не мешает PSP и продавцу согласовать, где в конечном итоге лежит ответственность, и мы ожидаем, что эта ответственность будет передана самому продавцу.
Карточные сети, такие как Visa, усиленно работают над обновлением своих правил, чтобы отразить эти положения об ответственности.
4. Спрос на ресурсы
В краткосрочной перспективе для обеспечения соответствия требованиям SCA потребуются специалисты по продуктам, юридическим, операционным и финансовым вопросам в затронутых предприятиях, которые помогли бы внедрить изменения. Если продавцы решат сообщить об изменениях конечным покупателям, также потребуются маркетинговые усилия, чтобы обмен сообщениями нашел наилучший отклик.
71% предприятий считают, что нагрузка на ресурсы для внедрения SCA «значительна».
Как внедрить SCA
Кто отвечает за внедрение SCA?
Компании, принимающие онлайн-платежи, не несут прямой ответственности за соблюдение требований SCA. Эта ответственность возлагается на поставщиков платежных услуг-посредников (при условии, что соответствующие онлайн-транзакции подпадают под его компетенцию) и банки.
Чтобы быть более точным, банк плательщика несет ответственность за обеспечение соответствия транзакций SCA (и отклонение транзакций, которые не соответствуют требованиям). Для этого он должен собрать информацию аутентификации, как предписано в структуре SCA.
Тем не менее, банку необходимо где-то собирать эту информацию, откуда и поступают PSP. Они должны надежно фиксировать информацию как часть платежного потока, а затем безопасно передавать эту информацию в банки, используя безопасные механизмы для этого. После этого банки принимают окончательное решение о том, соответствует ли данная транзакция требованиям.
Хотя применение SCA является обязанностью PSP, могут возникнуть практические трудности, учитывая степень контроля одной PSP над деятельностью или соблюдением требований другой PSP. В конечном итоге каждая PSP должна обеспечивать свое собственное соответствие, что в некоторых случаях могло бы привести к более жесткому подходу к SCA со стороны PSP плательщика, чем это обязательно происходило в прошлом.
Однако влияние SCA, которое мы уже описали, включая возможное снижение конверсии, в первую очередь ложится на плечи продавцов.
Решающее значение будет иметь работа с PSP, которая либо подготовлена, либо проактивна в отношении SCA.
Если вы хотите подробнее поговорить о SCA и последствиях для ваших платежей, мы будем рады поболтать.
Обновление процесса оформления заказа
Процесс соблюдения SCA означает дополнительный шаг во время оформления заказа. Это будет наиболее очевидное изменение, которое увидят ваши конечные покупатели. В зависимости от способа оплаты этот дополнительный шаг может быть очень очевидным или почти незаметным. Например, в мобильных платежах уже используется сканирование отпечатков пальцев или распознавание лиц для подтверждения покупок, и это приемлемые меры аутентификации на основе присмотра.
Как мы уже упоминали, SCA в первую очередь повлияет на транзакции по кредитным и дебетовым картам. Чтобы обновить потоки расчетов для транзакций по картам, уже выпущен 3D Secure 2 (3DS2) - широко поддерживаемый метод совместимой аутентификации.
В недавней статье для Forbes Джордан Макки, директор по исследованиям 451 Research, отметил, что «продавцы, которые лучше всего могут интегрировать SCA в свой процесс оформления заказа и эффективно применять исключения, будут отделены от пакета, минимизируя влияние на клиентов».
3D Secure 2
3D Secure (3DS) - это метод аутентификации, впервые примененный Visa для покупок по кредитным и дебетовым картам, совершенных в Интернете. Конечные клиенты должны предоставить пароль для завершения платежной транзакции. Интернет-компании обычно получают доступ к 3D Secure через соответствующую PSP.
3D Secure 2 (3DS2) - это новая версия, которая будет соответствовать требованиям SCA за счет введения требований аутентификации, например, требующих от конечных клиентов ввода одноразового пароля / кода доступа или обеспечения биометрической авторизации.
Ключевой целью 3DS2 является создание «беспрепятственной авторизации» даже перед лицом дополнительных проверок безопасности, требуемых SCA. Если транзакция считается освобожденной, 3D Secure 2 должен обойти эти проверки. Одним из ключевых улучшений по сравнению с исходным протоколом 3D Secure (3DS) является возможность выполнять необходимые проверки без перенаправления со страницы оформления заказа.
Возможные проблемы 3D Secure 2
Первоначальная версия 3D Secure (3DS) была чревата проблемами для продавцов, включая ужасное падение конверсии из-за вышеупомянутых перенаправлений и плохого взаимодействия с пользователем. Исследование Ravelin показало, что 22% всех транзакций, аутентифицированных с помощью 3D Secure, теряются.
Хотя новая версия была разработана, чтобы минимизировать недостатки оригинала, включая лучший пользовательский интерфейс, разработанный для пользователей смартфонов, потребуется более широкое развертывание, чтобы оценить, была ли она успешной.
Поддержка 3DS2 и признание потребителей
Успех 3D secure 2 в решении проблем преобразования SCA будет зависеть от его принятия как банками, так и конечными клиентами. Несмотря на предстоящее внедрение SCA, ряд банков еще не начали поддерживать протокол 3DS2.
Что касается конечных клиентов, использование оригинального протокола 3DS в Европе ограничено. По данным PYMNTS, к концу 2017 года только 50% конечных клиентов зарегистрированы и только 25% транзакций подтверждены.
Нормативно-технические стандарты SCA (RTS)
Нормативно-технические стандарты (RTS) SCA устанавливают полные спецификации того, что именно охватывает SCA и что ожидается от всех заинтересованных сторон. Окончательная версия была завершена и распространена Комиссией ЕС в ноябре 2018 года.
Ваши клиенты и SCA
Хотя SCA, несомненно, повлияет на ваш бизнес, это также будет заметным изменением для конечных клиентов, пытающихся совершать покупки в Интернете. Как они к этому относятся? Они вообще заботятся о дополнительной безопасности? Знают ли они, что грядут изменения?
Осведомленность потребителей о SCA
Банки начали сообщать SCA предприятиям (пример 1, пример 2), но еще не сообщили об изменениях конечному потребителю.
Баланс безопасности и удобства
Независимо от осведомленности, захотят ли конечные клиенты потерять часть удобства покупок в Интернете, чтобы приспособиться к более тщательным проверкам безопасности SCA? В конце концов, система заказов Amazon в один клик была удобным процессом, с которым сравнивают все остальные кассы.
В исследовании 4000 клиентов из Великобритании, Франции, Германии и Испании спросили об их отношении к безопасности и удобству при совершении покупок в Интернете.
В ходе опроса им также задавались вопросы об отношении к определенным элементам новых требований SCA и о том, как повышение безопасности при оформлении заказа повлияет на их покупательское поведение.
Результаты выявили небольшое предпочтение безопасности перед конверсией: 58% покупателей отдают предпочтение безопасности.
Однако на вопрос, как бы они себя чувствовали, столкнувшись со сложными процедурами безопасности только при совершении покупок, большинство (54%) ответили, что они либо почувствуют подозрения, либо расстроятся. Только 39% сказали, что будут чувствовать себя в большей безопасности.
Опрос также показал, что отношение к безопасности и фактическое покупательское поведение могут сильно отличаться. 41% опрошенных ранее отказывались от слишком сложных онлайн-покупок, и почти четверть (24%) зашли бы так далеко, что стали бы меньше покупать у своего любимого бренда, если бы покупка была связана с дополнительными мерами безопасности.
Этот диссонанс в отношениях предполагает, что конечные потребители думают и действуют по-разному. Они могут положительно отреагировать на идею дополнительной безопасности, но их фактическое поведение при столкновении с SCA может сильно отличаться.
Передача SCA вашим конечным клиентам
После принятия в 2018 году закона о GDPR многие конечные клиенты увидели поток электронных писем от компаний, информирующих их об изменениях в политике конфиденциальности. Совокупный эффект был плохо воспринят конечными клиентами, и многие электронные письма были даже незаконными в соответствии с GDPR .
Дело в том, что информирование ваших конечных клиентов о любых серьезных изменениях чревато собственными проблемами. Если вы не сообщите об этих изменениях, они будут сбиты с толку, когда изменения действительно вступят в силу? Если вы все-таки сообщите SCA, создаст ли это ненужное беспокойство? Также очень сложно сообщить точный характер каких-либо изменений, когда вы все еще находитесь в процессе внедрения новых потоков оформления заказа и процессов авторизации.
Исключения из SCA
Узнайте, какие платежи не подпадают под действие SCA, а какие потребуют освобождения.
Освобождаются ли транзакции, инициированные продавцом, от SCA?
Транзакции, инициированные продавцом, классифицируются как выходящие за рамки требований SCA, поэтому их не нужно «освобождать» . Транзакция, инициированная продавцом, - это платеж, который принимается в согласованную дату с согласия плательщика и, как следует из названия, инициируется продавцом, собирающим платеж.
Если транзакция инициируется продавцом, как фиксированные, так и переменные платежи будут освобождены от SCA.
В отличие от большинства транзакций, инициированных конечными потребителями, потоки платежей по транзакциям, инициированным продавцом, часто не являются мгновенными. Детали конечного клиента собираются в один момент времени и отправляются в банк конечного клиента в другой момент времени. Таким образом, связь между конечным клиентом, банком и поставщиком платежных услуг не происходит в режиме реального времени. На языке SCA это называется асинхронной транзакцией. Было бы непрактично, а в некоторых случаях невозможно применить SCA к этим транзакциям.
Однако обратите внимание, что для большинства транзакций, инициированных продавцом, таких как повторяющиеся транзакции по карте, SCA все равно необходимо будет применять к первому платежу, если это делается с участием PSP плательщика (эмитента карты ega).
Включает ли это мандат электронного «безбумажного» прямого дебета?
Одним из видов транзакций, инициируемых продавцом, является электронный «безбумажный» прямой дебет. Для сбора прямого дебетования конечный покупатель, от которого будут собирать платежи, должен предоставить «мандат» продавцу / поставщику услуг связи, собирающему эти платежи.
Существовала большая путаница в отношении того, требуется ли SCA в момент установления мандата плательщиком, в частности, является ли действие по созданию мандата "действием через удаленный канал, которое может подразумевать риск платежное мошенничество или другие злоупотребления ».
7 июня 2019 года EBA подтвердило через свой инструмент вопросов и ответов, что строгая проверка подлинности клиентов (SCA) не требуется для создания электронных безбумажных мандатов прямого дебета, предоставляемых в пользу получателей платежей, при условии, что PSP конечного клиента (например, их банк) не принимает непосредственного участия в этой настройке.
В частности, EBA подтвердило:
«Мандаты, данные плательщиком получателю платежа, созданные без прямого участия PSP плательщика, не подлежат SCA».
Исключения SCA
Хотя транзакции, инициированные продавцом, считаются выходящими за рамки SCA, существует ряд других исключений, которые могут иметь отношение к вашему бизнесу.
Освобождение от SCA распространяется только на поставщиков платежных услуг. Они касаются суммы платежной транзакции, риска платежа, повторения платежной транзакции и канала платежа, используемого для выполнения платежа. Они включают:
Фиксированные повторяющиеся транзакции и подписки
При использовании метода оплаты, инициированного плательщиком, такого как постоянные поручения, SCA потребуется только для первого платежа фиксированной подписки. Пока выплаченная сумма остается неизменной, для дальнейших транзакций не потребуется SCA.
Однако, если сумма изменится, что происходит во многих подписках на основе использования, SCA будет требоваться снова для каждого изменения.
Бесконтактные платежи
Бесконтактные платежи, отвечающие любому из следующих условий, не подлежат применению SCA:
- Индивидуальные бесконтактные платежи до 50 евро; или же
- Пять или более платежей на сумму менее 50 евро
Исключение относится к каждой используемой карте, поэтому для совместных счетов освобождение применяется для каждой карты, связанной с учетной записью.
Транзакции до 30 евро
Подобно бесконтактным платежам (но с меньшим значением), платежи ниже 30 евро также не будут проходить строгую аутентификацию клиента.
Однако SCA потребуется, если конечный заказчик производит:
- Пять или более платежей на сумму менее 30 евро; или же
- Если сумма нескольких платежей на небольшую сумму превышает 100 евро
Надежные бенефициары (белый список)
У клиентов будет возможность включить известные компании в список «Доверенных бенефициаров».
Этот список будет обновляться и поддерживаться ASPSP (Поставщик платежных услуг для обслуживания счетов), который также имеет право удалять доверенных получателей. PSP продавца может создавать механизмы, чтобы «предлагать» доверенных бенефициаров ASPSP от имени конечного потребителя.
Например, Mastercard намекает, что по мере того, как покупатель проходит процесс онлайн-оформления заказа, в точке настройки платежа может быть флажок, который запрашивает, чтобы конечный покупатель добавил продавца в список доверенных получателей ASPSP. Этот запрос будет передан в ASPSP, который затем потребует от конечного потребителя пройти через SCA, чтобы утвердить список доверенных бенефициаров. Конечный клиент также сможет управлять своим списком доверенных бенефициаров напрямую с помощью ASPSP.
Обратите внимание, что ASPSP не обязательно должны сами предоставлять список доверенных бенефициаров - они могут передать это на аутсорсинг, и в результате такие компании, как Visa, разрабатывают продукты.
Если компания находится в «белом списке» конечного потребителя, то SCA не потребуется, независимо от суммы, частоты или вариации любых покупок.
Несмотря на то, что это привлекательный способ потенциальной навигации по SCA, использование этого процесса банками до сих пор было нерегулярным, и остается много вопросов относительно того, как именно он будет работать на практике. Есть подозрения, что добавление в белый список не станет жизнеспособной тактикой до тех пор, пока SCA не вступит в силу.
Важно отметить, что помимо того, что доверенный бенефициар добавляется в список исключений, SCA должен применяться, если есть изменения, внесенные в доверенного бенефициара или если удаление листинга запрашивается PSP продавца.
3D Secure 2 (версия 2.2) предоставит продавцам возможность занесения в белый список.
Корпоративные платежи
Платежи, осуществляемые напрямую между двумя корпоративными компаниями, будут освобождены от SCA, но только в том случае, если используемый способ оплаты - это специальный метод B2B, например корпоративное управление командировками с контролем доступа или корпоративная система закупок.
Согласно UK Finance: SCA не требуется для платежей, инициированных в отношении юридических лиц, использующих специальные платежные процессы или протоколы, которые ограничены конечными клиентами, которые не являются потребителями (например, хост-хост, некоторые услуги SWIFT и некоторые корпоративные карточные продукты).
В РТС также подробно говорится о том, что подпадает под это исключение, а что - нет:
- Ожидается, что «использование проприетарных автоматизированных сетей с ограниченным доступом между хостами (машины и машины), доменных или виртуальных корпоративных карт, таких как те, которые используются в корпоративной системе управления командировками с контролируемым доступом или корпоративной системе закупок, потенциально может быть в пределах объем этого исключения ».
- Использование физических корпоративных карт, выданных сотрудникам для коммерческих расходов, в обстоятельствах, когда не используются безопасный специальный процесс оплаты и протокол (например, когда онлайн-покупки совершаются через общедоступный веб-сайт), не подпадет под действие этого исключения.
Освобождение от операций с низким уровнем риска
Если предположить, что SCA обычно применяется к транзакции, провайдеры платежей будут иметь право оценивать транзакции и не применять протоколы SCA к тем, которые считаются «низкорисковыми» мошенничества.
Поставщики платежных услуг будут подчиняться строгим ограничениям, чтобы им была предоставлена возможность оценивать степень риска транзакций в режиме реального времени. Показатели мошенничества платежного провайдера (в целом, а не только для конкретного продавца) должны быть ниже следующих пороговых значений для конкретного используемого типа платежа и стоимости обрабатываемой транзакции:
| Пороговое значение освобождения (т.е. сумма обрабатываемого платежа) | Карточные платежи * | Кредитные переводы * |
|---|---|---|
| € 500 | 0,01% | 0,005% |
| € 250 | 0,06% | 0,01% |
| 100 евро | 0,13% | 0,015% |
Как PSP получателя, так и PSP конечного клиента (например, эмитент карты) могут применять это исключение (исходя из их собственных общих показателей мошенничества для этого типа платежа). Тем не менее, ASPSP может решить, принимать ли заявление о таком освобождении. Так, например, эквайер карты (PSP продавца) может применить освобождение, но эмитент карты может отменить это освобождение.
На практике мы ожидаем, что запрос продавца PSP останется в силе, поскольку ответственность за любой полученный в результате мошеннический платеж будет лежать на PSP, применившем исключение.
Необслуживаемые транспортно-парковочные терминалы
Оплата проезда или парковки на необслуживаемом терминале не требует SCA.
Информация о платежном счете
Если конечный клиент использует TPP, предоставляющий услуги по предоставлению информации об учетной записи для доступа к данным своего платежного счета, SCA должен применяться, если этот клиент одновременно:
- Первый доступ к балансу платежного счета
- Доступ к более конфиденциальной информации, такой как сведения обо всех транзакциях, обрабатываемых в учетной записи в первый раз.
Однако в этом случае применение SCA не требуется:
- При повторном доступе к остатку на счете; или же
- Если доступ к историческим данным транзакций осуществляется в течение 90 дней с момента последнего применения SCA.
Кредитные переводы
Для переводов между (например) текущим счетом на сберегательный счет, где оба счета открыты в одном банке одним и тем же лицом, SCA не требуется.
Внедрение исключений SCA
Эти исключения SCA будут важны для минимизации (или даже устранения) трений, вызванных процессом дополнительной авторизации. Но как сделать так, чтобы эти исключения действительно срабатывали, когда покупатель совершает покупку?
Для начала потребуется, чтобы PSP и ASPSP работали вместе и старались использовать общие стандарты, например .
Что делать, если освобождение не работает?
Хотя список освобождений теперь достаточно ясен, банк конечного клиента в конечном итоге решит, действительно ли освобождение. Если освобождение не предоставляется, платеж активирует код отклонения. Платеж необходимо будет повторно отправить и авторизовать с использованием протоколов надежной аутентификации клиентов.
