fintech,  PSD 2,  usługi płatnicze

Silne Uwierzytelnienie Klienta (SCA, PSD, RTS)

Kilka słów więcej o SCA

Czym jest?

 

(eng. Strong customer authentication), a więc zapewne zasłyszane już Wam silne uwierzytelnienie… klienta.

Polega ono na potwierdzeniu tożsamości klienta przy wykorzystaniu przynajmniej dwóch elementów. Elementy tego dwuskładnikowego procesu muszą pochodzić z kategorii, które umieściłem na schemacie poniżej. Popularne 2FA (two factor authentication) ma zapewniać wiarygodność oraz bezpieczeństwo.

Po co?

Ano w celu bezpieczeństwa rynku finansowego i środków każdego z nas.

Skąd się wzięło?

Z zasłyszanej Wam pewnie jeszcze lepiej dyrektywy PSD2. W dobie funkcjonowania we wspólnocie i wciąż bujnie rozwijającego się gąszczu regulacyjnego — wielu zmian powinniśmy szukać właśnie w Unii. W kontekście SCA naszej uwadze nie może umknąć wykonawcze Rozporządzenie RTS, które ma za zadanie uzupełniać dyrektywę.

Jakie ma cechy

Tutaj machniemy taki schemat (nic odkrywczego, ale który zgrabnie pokaże, jakie rozwiązania będą właściwe w kontekście SCA).

Każdy elementów powyżej ma dotyczyć czegoś, co jest eksluzywne. A skoro celem jest bezpieczeństwo, to chodzi oczywiście o elementy, które [1]zna, [2] posiada, lub [3] są przypisane wyłącznie użytkownikowi.

  1. Jeśli idzie o wiedzę może być to kod PIN;
  2. Jeśli idzie o posiadanie może być to smartfon użytkownika, a w nim aplikacja, do której dostęp zależny jest od założenia konta, a zatem i posiadania hasła, które zna użytkownik;
  3. Jeśli idzie o cechy, mogą być to wszelkie znaki, którymi natura obdarzyła użytkownika (naturalnie idzie o elementy biometryczne, choćby najpowszechniejszy odcisk palca).

Te ostatnie, zdają mi się rozwiązaniami, które w przyszłości stają się zarówno najbardziej popularne, jak i bezpieczne.

Zobacz, że istnieją przypadki, kiedy dwuskładnikowe uwierzytelnienie może nie działać.

#cyberprzestępczość: kiedy trafisz na atak phishingowy i połkniesz haczyk, to przecież na fałszywej stronie wprowadzisz zarówno swoje hasło, jak i kod SMS, który dostaniesz na swój telefon, a który wprowadzi za Ciebie atakujący na prawdziwej witrynie…

Kiedy się stosuje?

SCA winno się stosować w następujących przypadkach:

  1. dostęp do rachunku online (znamy to bardzo dobrze w momencie zatwierdzenia zlecenia przelewu, tak chodzi właśnie o kod w SMS, czy zdrapkę, która gra Wam na nerwach),
  2. inicjacja elektronicznej transakcji

Tutaj wklejam Wam obrazek z wytycznych EBA, który pokazuje, że jednak korzystanie z kodów sms nie jest wystarczającym elementem uwierzytelnienia z kategorii wiedzy.

Nie będą też tym elementem powszechnie używane, jak dotąd, dane znajdujące się na kartach płatniczych.

Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2

Co wynika z wytycznych EBA?

Część stosowanych jak dotąd i bardzo popularnych składników uwierzytelnienia nie będzie zgodna z wymogami SCA. To uzasadnia całkiem spory nakład pracy po stronie dostawców usług płatniczych. A w tym odpowiednią komunikację z klientem, który zostanie poinformowany o nowych standardach. Powyższe uzasadnia zastosowanie elastyczności czasowej we wdrożeniu SCA, o której mowa poniżej.

Co wynika z ostatniego komunikatu KNF w sprawie SCA

Masz dodatkowy czas!

  1. Powtórzono za EBA: niewystarczające przygotowanie rynku na wymogi z rozporządzenia RTS;
  2. Elastyczność czasowa; pod warunkiem:
  3. Realnego i prawidłowo wykonywanego planu migracji;
  4. Współpraca rynku z organem nadzoru finansowego;
  5. Powtórzenie, kiedy powinniśmy stosować SCA.

Co zrobić by być uprawnionym do skorzystania z dodatkowego czasu?

  1. taka potrzebę należy zgłosić do KNF przed 14 września;
  2. przygotować realny plan migracji
  3. uzgodnić plan migracji z KNF;
  4. prawidłowo realizować plan migracji i ewentualnie rozmawiać na bieżąco z organem nadzoru.

Co zyskujecie w zamian?

Obietnicę, że w zakresie SCA – KNF nie będzie podejmował czynności nadzorczych.

Za co wciąż odpowiadacie?

Pamiętajcie, że zgłoszenie do KNF nie wyłącza Waszej odpowiedzialności za nieautoryzowane transakcje. A zatem, jeśli jako dostawca nie zastosowaliście wymaganego SCA, to płatnik — pod warunkiem, że nie działał umyślnie — z odpowiedzialności jest zwolniony.

Regres

Warto w tym miejscu pamiętać o regresie. Jeśli bałagan był po stronie dostawcy, który działa dla odbiorcy płatności, to dostawcy płatnika wciąż odpowiadają za fraudową transakcję. Co więcej, ta odpowiedzialność wymagana jest natychmiast. W takiej sytuacji, dostawcy płatnika przysługuje jednak żądanie zapłaty odpowiadające wysokości nieautoryzowanej transakcji.

Jest to oczywiście rozwiązanie rozsądne, bowiem zapewnia płatnikowi sprawne naprawienie szkody. A dochodzenie roszczeń wynikających z niespełnienia wymogów przepisów, czy uchybień technicznych pozostawia samym dostawcom usług płatniczych.

Co podpowiadają nam praktyka w innych krajach?

Nasz organ nie wskazał, jak długo elastyczność czasowa będzie trwała, ponieważ czeka w tym zakresie na wytyczne EBA. Natomiast można zerknąć na to, co podpowiada nam brytyjski Financial Conduct Authority (FCA), który określił czas dostosowania się do SCA na dodatkowe 18 miesięcy. Za to Bank Francji, który przewiduje, że wdrożenie w większości przypadku nastąpi do końca 2020 roku, a w pozostałych przypadkach do 2022.

 

Stanowisko KNF dostępne tutaj

 

Wizytówka zdjęcie utworzone przez snowing – pl.freepik.com

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *