Autor Crina Nicolae (Tribe Lead Cards)
Din 1 ianuarie 2021, toate tranzacțiile online cu cardul, realizate pe site-uri sau în aplicații din spațiul economic european, vor trebui confirmate prin autentificarea strictă a clienților. Această schimbare face parte din Directiva Revizuită a UE privind serviciile de plată (PSD2), care implementează Strong Customer Authentication (SCA – Autentificarea Strictă a Clienților).
Ce înseamnă SCA?
Strong Customer Authentication (SCA) este definit drept o autentificare bazată pe utilizarea a cel puțin doi factori de autentificare din următoarele categorii:
- ceva ce clientul știe (de exemplu, parolă, PIN etc.)
- ceva ce clientul deține (de exemplu card, token, dispozitiv mobil)
- ceva ce clientul este (de exemplu, autentificarea biometrică cu amprenta).
Aceștia trebuie să fie independenți unul de celălalt, astfel încât compromiterea unui factor de autentificare să nu afecteze fiabilitatea celorlalți. SCA este concepută astfel încât să protejeze confidențialitatea datelor de autentificare.
Toți participanții la sistemul de plăți din spațiul economic european (bănci, comercianți etc.) sunt obligați să implementeze cerințele legale, aplicând, respectiv, permițând aplicarea unor metode de autentificare conforme cu aceste cerințe. Astfel, în spațiul economic european, comercianții online trebuie să solicite autentificarea plăților, iar băncile emitente ale cardurilor trebuie să asigure autentificarea strictă (prin 2 factori, nu doar SMS-ul 3D Secure), iar dacă băncile nu primesc această comandă din partea comercianților, sunt nevoite să le refuze tranzacțiile.
Cum se întâmplă lucrurile azi?
În prezent, pentru autorizarea plăților online, se folosește preponderent SMS-ul 3D Secure -primești un cod prin SMS pe care îl introduci în câmpul dedicat și plata este confirmată. Această metodă nu asigura decât un factor de autentificare (ceva ce clientul deține – cartela SIM aferentă numărului de telefon pe care se primește SMS-ul).
Cum se poate implementa noul protocol SCA?
Exemple de metode de autentificare care respectă cerințele SCA sunt:
- Autentificare și semnare în aplicația de internet banking a băncii (opțiune către care vor merge mai multe bănci din România);
- Cod primit prin SMS + parolă statică (opțiune de back-up în condițiile în care clienții nu au acces la aplicația de internet banking);
- Cod primit prin SMS + amprentă;
- Cod generat într-o aplicație de semnare tranzacții (e-token) + amprentă
Există totuși și câteva excepții de la aplicarea validării SCA (Strong Customer Authentication). Cele mai des întâlnite sunt din următoarele 3 categorii:
- sumele mici, sub 30 de euro, în limita a maximum cinci tranzacții consecutive. Aici banca analizează și decide dacă se impune aplicarea SCA;
- tranzacții recurente, precum abonamentul Netflix/ Spotify;
- tranzacțiile care au fost supuse unei analize de risc în prealabil. În funcție de situație, pot decide fie banca, fie comerciantul dacă se aplică SCA.
Prin utilizarea acestor noi protocoale de securizare a plăților, datele financiare ale consumatorilor vor fi protejate și confidențialitatea acestora va fi respectată de toți operatorii din piață, iar riscul de fraudă se va diminua considerabil.
Toate aceste reglementări sunt menite să sporească încrederea consumatorilor atunci când fac cumpărături online, beneficiind de plăți electronice mai sigure.