Spletni nakupi s plačilnimi karticami bodo od 1.1.2021 nekoliko drugačni, saj se bo v evropskem gospodarskem prostoru začela uporabljati direktiva o plačilnih storitvah PSD2. Ta pa prinaša zahtevo po močni avtentikaciji uporabnika (SCA oz. strong customer authentication). Pri plačilih na fizičnih plačilnih mestih težav/sprememb ne bo, saj so pravzaprav vsi POS terminali ustrezno opremljeni. Bodo pa prilagoditve potrebne pri spletnih trgovinah in bankah izdajateljicah plačilnih kartic.
Kaj je močna avtentikacija uporabnika oz. SCA?
Močna avtentikacija uporabnika je postopek, ki za avtentikacijo plačilne transakcije zahteva izpolnitev vsaj dveh od treh neodvisnih elementov:
- nekaj, kar ve samo uporabnik, npr. statično geslo, koda, varnostno vprašanje, vzorec…;
- nekaj, kar je v izključni lasti uporabnika, npr. pametna kartica, pametni mobilni telefon;
- nekaj, kar uporabnik je, npr. biometrična značilnost, kot je prstni odtis.
Potrjevanje transakcije z enkratnim SMS geslom izpolnjuje zgolj en element
Pri plačilnih transakcijah se od leta 2002 uporablja 3DS1 (3D Secure) standard avtentikacije transakcij. Ta sicer zagotavlja visoko stopnjo varnosti transakcije, a ni skladen z direktivo PSD2. Novi standard EMV 3DS, ki ga večina slovenskih bank že podpira, poleg skladnosti zagotavlja tudi prilagodljivost novim načinom plačevanja (npr. mobilno plačevanje v aplikacijah…). Težava namreč je, da plačilna transakcija zdaj poteka tako, da vpišemo BIN / IBAN številko kartice, varnostno kodo CVC, datum poteka kartice ter ime in priimek. Kot potrditev transakcije pa na mobilni telefon prejmemo enkratno SMS geslo, ki ga vpišemo v spletno okno in tako avtoriziramo transakcijo. Na tak način pa žal izpolnimo zgolj en neodvisni element in to je »nekaj, kar ve samo uporabnik«. Z vpisovanjem podatkov kartice ne izpolnimo nobenega izmed elementov, saj te lahko s kartice prebere vsak.
Banke izdajateljice plačilnih kartic se bodo za močno avtentikacijo v večini posluževale biometrije v mobilnih aplikacijah.
Velik del odločitve, kako bo od 1.1.2021 močno overjena kartična plačilna transakcija na spletu, bo odvisen od banke izdajateljice kartice. Ta bo namreč odločala, katere tri elemente bo izbrala in kakšno rešitev bo ponudila svojim komitentom. Slovenske banke so se odločile, da bodo močno avtentikacijo uporabnika izvedle s pomočjo mobilne aplikacije in biometrije. Bo pa od same banke odvisno, kam bo ta rešitev implementirana. Lahko bo šlo za obstoječo mobilno denarnico, mobilno banko ali pa drugo/namensko mobilno aplikacijo. Banka NLB je tako npr. potrjevanje plačilnih transakcij ponudila v sklopu svoje digitalne mobilne denarnice NLB Pay. Trenutno je poleg NLB na PSD2 pripravljena tudi Banka Intesa Sanpaolo, ki je rešitev prav tako ponudila v sklopu svoje mobilne denarnice. Do 1.1.2021 pa morajo banke na tak ali drugačen način svojim komitentom ponuditi možnost močne overitve uporabnika.
Kako se morajo na spremembe pripraviti spletni trgovci?
Banke so le del verige, da bo kupec na koncu lahko izvedel močno avtentikacijo transakcije. Na uvedbo SCA se morajo pripraviti tudi spletni trgovci. Nekateri so na to že skoraj pripravljeni in morajo zgolj izbrati možnost, da se transakcije izvajajo po novem EMV 3DS standardu, v drugih primerih pa bo potrebnega nekoliko več prilagajanja. Vsak spletni trgovec mora zato kontaktirati svojega ponudnika plačilnih storitev (payment service provider oz. PSP), v veliki meri so to kar banke, pri katerih ima družba odprt poslovni račun, in ga povprašati o tem, kako urediti podporo za močno avtentikacijo uporabnika. Včasih bo dovolj že nadgradnja vtičnika, v drugih primerih bo potrebne nekoliko več implementacije.
Dobra uporabniška izkušnja je tista, ki dela razlike
Vsekakor pa je to tudi dober trenutek, da se vsak spletni trgovec vpraša, ali mu ponudnik plačilnih storitev nudi najsodobnejše rešitve. Podpiranje plačevanja s karticami mednarodnih kartičnih shem (Mastercard, Maestro in drugi) že dolgo ni več dovolj. Za dobro uporabniško med drugim poskrbi storitev Card on File (COF), ki je v tujini že postala standard spletnih trgovin, v Sloveniji pa je še precej redka. Ta namreč omogoča, da se podatki za plačilo shranijo v varnem okolju ponudnika spletnih plačil, kupcu pa ni treba znova in znova vpisovati podatkov o kartici.
Kako bo močna avtentikacija plačila vplivala na uporabniško izkušnjo kupca?
Uvedba močne avtentikacije bo vsaj na začetku leta 2021 povzročala nekaj zmede. Pričakuje se namreč, da bodo kupci na nekaterih spletnih straneh kupovali po starem 3DS1 standardu in prejeli enkratno SMS sporočilo, na drugih pa po EMV 3DS in avtentikacijo izvedli s pomočjo mobilne aplikacije in biometrije. Banke bodo vsekakor morale poskrbeti za ustrezno obveščenost komitentov o spremembah in novostih. A tudi po tem prehodnem obdobju, ko bodo trgovine prešle na močno avtentikacijo skladno z direktivo, se bo lahko zgodilo, da bo kupec prejel enkratno SMS kodo. K spoštovanju direktive o plačilnih storitvah PSD2 so namreč zavezane le izdajatelji kartic in ponudniki plačilnih storitev v evropskem gospodarskem prostoru. Drugi – lokalni regulatorji večinoma niso sledili rokom, ki ga uvaja trg EEA.
Nekaj praktičnih primerov
- V spletni trgovini kot plačilno sredstvo izberemo kartico Mastercard, vpišemo vse potrebne podatke in v zaledju se sproži avtentikacija z enkratnim SMS sporočilom. SMS sporočilo kupec prejme na svoj telefon in ga v zahtevanem času vpiše v komunikacijsko okno za avtorizacijo plačila v spletni trgovini. To je primer, ki ga večina slovenskih kupcev pozna, a žal od 1.1.2021 ne bo skladen z direktivo PSD2, če bo šlo za ponudnika plačilnih storitev iz evropskega gospodarskega prostora.
- Podobno kot prej, kupec vpiše podatke svoje plačilne kartice, s to razliko, da se transakcija avtorizira prek EMV 3DS standarda, banka izdajateljica pa je, kot način močne overitve, izbrala mobilno aplikacijo. Kupec v tem primeru na svoj pametni telefon prejme potisno sporočilo (push notification) o sami transakciji (poleg zneska se v aplikaciji prikaže tudi podatek o prodajalcu), ki jo mora avtorizirati. To pa potem naredi na enega od podprtih načinov. Npr. s prepoznavo prstnega odtisa, obraza, roženice, ali pa vpisom kode, vzorca … Tak način je skladen z zahtevami iz direktive PSD2.
- Podobno kot prej, kupec vpiše podatke svoje plačilne kartice, s to razliko, da se transakcija avtorizira prek EMV 3DS standarda, banka izdajateljica pa je, kot način močne overitve, izbrala mobilno aplikacijo. Kupec v tem primeru na svoj pametni telefon prejme potisno sporočilo (push notification) o sami transakciji (poleg zneska se v aplikaciji prikaže tudi podatek o prodajalcu), ki jo mora avtorizirati. To pa potem naredi na enega od podprtih načinov. Npr. s prepoznavo prstnega odtisa, obraza, roženice, ali pa vpisom kode, vzorca … Tak način je skladen z zahtevami iz direktive PSD2.
- Podobno kot prej, kupec vpiše podatke svoje plačilne kartice, s to razliko, da se transakcija avtorizira prek EMV 3DS standarda, banka izdajateljica pa je, kot način močne overitve, izbrala mobilno aplikacijo. Kupec v tem primeru na svoj pametni telefon prejme potisno sporočilo (push notification) o sami transakciji (poleg zneska se v aplikaciji prikaže tudi podatek o prodajalcu), ki jo mora avtorizirati. To pa potem naredi na enega od podprtih načinov. Npr. s prepoznavo prstnega odtisa, obraza, roženice, ali pa vpisom kode, vzorca … Tak način je skladen z zahtevami iz direktive PSD2.