14 сентября 2019 года в Европе вступило в силу очередное требование новой платежной директивы PSD2 — SCA.
Норматив Strong Customer Authentication (SCA) предполагает новые правила аутентификации пользователей, желающих совершить онлайн платеж. Согласно им, онлайн-торговцы должны добавить в процесс оплаты (чекаут) дополнительную проверку клиента. Другими словами, если ранее было достаточно карточных данных и одноразового пароля, теперь нужно использовать как минимум два элемента защиты, которые подтверждают, что по ту сторону монитора находится честный покупатель, а не мошенник. Для аутентификации можно комбинировать такие параметры: PIN-коды или пароли, идентификатор устройства, с которого совершается платеж, биометрические данные покупателя. Достаточно использовать два показателя из этих групп.
В рамках нового законодательства банки должны будут отклонять транзакции, которые не соответствуют требованиям SCA. Это коснется всех расчетов картой в интернет-магазинах ЕС, которые происходят по инициативе покупателя-европейца. При этом повторяющиеся платежи в формате direct debit и расчеты в традиционных магазинах не подпадают под новые требования.
Как соответствовать требованиям SCA: новый стандарт 3D Secure 2.0
В рамках SCA нужно использовать новый протокол проверки транзакций — 3D Secure 2.0.
Изначально он разрабатывался, чтобы упростить идентификацию. В процессе верификации транзакции должны были использоваться разные параметры устройства, с которого совершается платеж: настройки браузера, IP-адрес, e-mail и прочее. Идея состояла в том, чтобы покупатель даже не заметил, что его идентифицировали. Однако с вступлением в силу SCA, этих данных будет недостаточно. У клиента дополнительно будет запрошен пароль или биометрический маркер. А упрощенный вариант идентификации будет использоваться для исключений, о которых пойдет речь далее.
Как оптимизировать проверки: исключения из правил
Определенные виды платежей с низким уровнем риска могут быть освобождены от строгой аутентификации клиентов (SCA). Платежные системы, которые обслуживают интернет-магазины, должны запросить эти льготы при обработке платежа. А банк владельца карты — оценить уровень риска транзакции и решить, нужно ли применять дополнительный параметр проверки платежа.
К таким платежам относятся:
- Платежи с низким риском. Платежный провайдер, который обслуживает интернет-магазин, может признать платеж безопасным, полагаясь на свою систему мониторинга рисков. Банк подтвердит или опровергнет его предположение.
- Покупки до 30 евро. Банки могут не требовать дополнительную идентификацию таких транзакций, за исключением случаев, когда с карты совершается сразу серия таких покупок.
- Платежи по подписке. Если покупатель ежемесячно перечисляет продавцу фиксированную сумму за определенный сервис, процедуру идентификации нужно будет пройти только в первый раз.
- Платежи, которые инициируют продавцы. Если покупатель сохранил свою карту в сервисе типа Uber, ему не придется подтверждать каждую транзакцию.
- Платежи в пользу бизнеса, которому доверяют. Покупатель может выбрать магазины, которым он доверяет, и совершать там платежи без подтверждения. Однако эту опцию пока поддерживают не все банки.
- Продажи по телефону, почте и оплата с помощью корпоративных карт также могут стать причиной упрощенной проверки платежа.
Но нужно помнить, что конечное решение об упрощенной проверке принимает банк, который выпустил карту покупателя.
Негативные отзывы участников рынка
С одной стороны, новые требования сделают платежи более защищенными. А с другой — добавят хлопот участникам рынка, которые уже неоднократно просили отсрочить дату вступления в силу нового законодательства. Например, Европейская торговая ассоциация предлагала перенести дедлайн на 18 месяцев для стандартных программ, а для более сложных случаев — на 36 месяцев, связывая это с тем, что онлайн-бизнес может понести значительные потери из-за SCA. Ведь дополнительный уровень проверки — это лишний шаг в процессе чекаута, который может снизить конверсию. Кроме того, многие финансовые учреждения просто не готовы к стандарту технически.