Griežtas kliento autentiškumo patvirtinimas pagal PSD2: ar galima jo netaikyti
Lapkričio pabaigoje Europos Komisija patvirtino Europos bankininkystės institucijos parengtus techninius reguliavimo standartus dėl griežto klientų autentiškumo patvirtinimo* (angl. Strong Customer Authentication arba SCA). Šie standartai sukėlė daug aistrų tarp skirtingų tikslų turinčių mokėjimo rinkos dalyvių, o kartu virto nebylia kova tarp Europos Komisijos ir Europos bankininkystės institucijos, kurios atmetinėjo viena kitos siūlymus.
Taigi, direktyvoje numatyta mokėjimo paslaugų teikėjų pareiga taikyti SCA, kai mokėtojas internetu prisijungia prie savo mokėjimo sąskaitos, inicijuoja elektroninę mokėjimo operaciją arba nuotolinio ryšio priemone vykdo bet kokį veiksmą, kuris gali būti susijęs su sukčiavimu atliekant mokėjimą ar kita piktnaudžiavimo rizika.
Tiesa, jau prieš kelerius metus Europos centrinis bankas ir Europos bankininkystės institucija yra paskelbusios rekomendacinio pobūdžio dokumentus dėl internetu atliekamų mokėjimų saugumo – ES valstybės narės galėjo pasirinkti, ar reikalauti, kad mokėjimo paslaugų teikėjai taikytų SCA. Pavyzdžiui, Lietuvoje, 2016 m. įsigaliojus Lietuvos banko priimtiems Minimaliems saugumo reikalavimams, mokėjimo paslaugų teikėjai privalo taikyti SCA procedūras internetu atliekamoms mokėjimo kortelių operacijoms: jau įprasta, kad internetu atsiskaitant mokėjimo kortele (turėjimo elementas pagal SCA) reikalaujama suvesti kodą, kurį gaunate SMS žinute (žinojimo elementas pagal SCA) ir kuris galioja tik tai konkrečiai operacijai. Nauja yra tai, kad mokėjimo paslaugų teikėjų pareiga taikyti SCA yra perkelta į ES direktyvų lygmenį (PSD2).
Tvirtinant standartus daugiausia diskusijų kėlė SCA taikymo išimtys. Be kitų SCA taikymo išimčių, standartuose galiausiai numatyta, kad SCA procedūra galės būti netaikoma, kai elektroninės mokėjimo operacijos suma neviršija 30 Eur (pirminiame variante – 10 Eur), o bendra paskutinių elektroninių mokėjimo operacijų suma, atliktų netaikant SCA, neviršija 100 Eur, arba ne daugiau nei 5 paskutinės elektroninės mokėjimo operacijos buvo iš eilės atliktos netaikant SCA.
Standartuose taip pat numatyta, kad mokėjimo paslaugų teikėjai, remdamiesi savo sukurtu rizikos vertinimo metodu, galės netaikyti SCA mažos rizikos elektroninėms mokėjimo operacijoms. Mažos rizikos elektroninė mokėjimo operacija neturės viršyti standartuose nustatyto rizikos lygmens elektroniniams mokėjimams kortele arba kredito pervedimams, o bendra mokėjimo operacijos suma negalės viršyti 500 Eur. Be to, atliekant konkrečią operaciją neturi būti nustatyta elementų, būdingų sukčiavimui (pavyzdžiui, atliekama mokėjimo operacija nėra būdinga tam mokėtojui, mokėjimo operacija yra atliekama didelės rizikos mokėjimo gavėjui ir kt.).
Paminėtina, kad mokėjimo paslaugų teikėjų sukurti taikomi rizikos vertinimo metodai ir jais remiantis nustatyti rizikos lygiai turės būti periodiškai audituojami nepriklausomo IT auditoriaus (tai, žinoma, lems didesnes mokėjimo paslaugų teikėjų išlaidas), o visa ši informacija turės būti pateikiama nacionalinei priežiūros institucijai ir Europos bankininkystės institucijai.
Iš tiesų bus galvosūkis mokėjimo paslaugų vartotojams sukurti vartotojui patogius SCA metodus, nes tais atvejais, kai mokėjimo paslaugų teikėjas, remdamasis išimtimi, nereikalaus SCA, atsakomybė už finansinius nuostolius teks mokėtojui tik tuo atveju, jeigu pastarasis veiks nesąžiningai.
Jeigu nebus sulaukta prieštaravimų, paskelbus standartus oficialiai, iki 2019 m. pabaigos mokėjimo paslaugų teikėjai turės būti įdiegę atitinkamas saugumo ir ryšio priemones.
Primintina, kad ne vėliau kaip 2018 m. sausio 13 d. PSD2 turi būti perkelta į ES valstybių narių nacionalinę teisę. Atsakingos Lietuvos institucijos yra parengusios įstatymų projektus ir jų svarstymas buvo numatytas šioje Seimo sesijoje.
