Este vorba despre directiva PSD 2, care transformă modul în care se va efectua plata cumpărăturilor online. Transpusă în legislația națională prin Legea nr. 209/2019 privind serviciile de plată, care a fost promulgată recent, directiva instituie măsuri mult mai stricte de securitate pentru efectuarea plăților online.

De-a lungul timpului s-au exprimat îngrijorări cu privire la potențialele efecte negative ale PSD 2 asupra comerțului electronic, vehiculându-se inclusiv pierderi de miliarde de euro la nivelul UE și riscul de refuz al plăților pentru aproximativ 30% din tranzacțiile din sfera cumpărăturilor online. Întrebarea care apare în mod natural este cum a reușit o directivă care are drept scopuri declarate inovarea, simplificarea și securitatea, să genereze astfel de îngrijorări?

Un material realizat de Reff & Asociaţii vine cu o serie de clarificări cu privire la modul în care a fost aplicată directiva PSD 2 și care sunt urmările.

Ce dificultăți au apărut?

Se pare că prestatorii de servicii de inițiere a plății nu sunt încă pregătiți să preia o mare parte din volumul de plăți online, iar cerințele noi de securitate sunt dificil de implementat. PSD 2 modifică modul în care se efectuează plățile online prin reglementarea unui standard de securitate care presupune utilizarea împreună a cel puțin două dintre elementele clasificate drept cunoștințe (parolă, PIN), posesie (diverse dispozitive de tip token) și inerență (citirea amprentei, scanarea irisului sau retinei).

SCA s-a dovedit greu de implementat în întreaga Uniune Europeană în comerțul electronic, din cauza nivelului de complexitate tehnică și a multiplelor sisteme care trebuie integrate.

În timp ce acest mod de efectuare a tranzacțiilor devine regula, excepțiile de la aplicarea sa sunt limitate și pot presupune investiții semnificative din partea prestatorilor de servicii de plată pentru detectarea riscului de fraudă. Mai mult, întârzie să fie implementate sisteme tehnice care să se prevaleze de aceste excepții, în continuare existând discuții privind modul de aplicare a acestora.

Ce rezolvare au găsit autoritățile europene?

Autoritatea Bancară Europeană nu ia în calcul, momentan, schimbarea standardelor de securitate prevăzute de PSD 2 și de normele sale tehnice de reglementare. Ca soluție de compromis, însă, autoritatea le-a acordat timp prestatorilor de servicii de plată până la sfârșitul anului 2020 pentru implementarea unor planuri de migrare către noile soluții tehnice de aplicare a autentificării stricte a clienților pentru tranzacțiile cu cardul în comerțul electronic.

Până la expirarea acestui termen, autoritatea europeană recomandă Băncii Naționale a României să evite sancționarea prestatorilor de servicii de plată pentru neaplicarea SCA pentru tranzacțiile cu cardul în comerțul online, însă numai în măsura în care aceștia vor respecta calendarul și cerințele stabilite la nivel individual de către BNR.

Jucătorii din piață nu sunt însă feriți de răspundere

Chiar și înainte de finalul anului 2020, prestatorii de servicii de plată pot fi sancționați de autoritățile competente naționale de supraveghere, în cazul în care nu vor respecta regulile impuse de acestea cu privire la planurile de migrare către noile soluții tehnice de aplicare a SCA pentru tranzacțiile cu cardul în comerțul electronic.

Mai mult, prestatorii de servicii de plată ar trebui să realizeze cât mai repede migrarea către soluții tehnice care să respecte cerințele SCA, din moment ce măsura luată de Autoritatea Bancară Europeană nu îi scutește de răspundere față de clienții lor, reglementată de Legea nr. 209/2019. Astfel, în cazul tranzacțiilor neautorizate, prestatorii de servicii de plată ai plătitorilor pot fi nevoiți să ramburseze propriilor clienți suma aferentă operațiunilor neautorizate, imediat sau cel târziu la sfârșitul următoarei zile lucrătoare după ce au constatat sau au fost notificați cu privire la aceste operațiuni.

În noul cadru legislativ, nu doar prestatorii de servicii de plată, ci și comercianții trebuie să dea mai multă atenție mecanismelor de alocare a răspunderii pentru tranzacții neautorizate.

Pentru a asigura un proces de cumpărare a produselor cât mai prietenos pentru clienții lor, comercianții ar putea fi interesați să se prevaleze de excepțiile de la aplicarea noului standard de securitate tehnică în procesul de autentificare. Această abordare ar putea atrage anumite riscuri, a căror distribuire recomandăm să fie reglementată contractual între partenerii implicați în procesul de plată – comercianți, prestatorul de servicii de inițiere a plății, bănci, procesatori. Modul în care aceste excepții vor opera și distribuirea răspunderii între comerciant, banca sa, banca plătitorului și alți intermediari rămâne însă o discuție deschisă, iar prevederile contractelor aferente procesării tranzacțiilor de plată vor fi extrem de importante.

Ce ne rezervă viitorul?

„Răbdare” rămâne cuvântul de bază cu privire la PSD 2 și efectele sale asupra comerțului electronic. Este de așteptat ca efectele PSD 2 să se cristalizeze în decursul următorilor ani, pe măsură ce apar mai mulți prestatori de servicii de inițiere a plății și industria se ajustează la noul mod de lucru, urmând ca, în cele din urmă, concurența și inovația avansată să aducă beneficii consumatorului prin creșterea simultană a securității și a calității experienței în materie de plăți online.

Ce cred fintech-urile locale despre PSD 2

Trebuie remarcat faptul că actorii din industria bancară privesc cu ochi buni noile schimbări aduse de directiva PSD 2. Astfel, un studiu publicat recent arată că 96% dintre top managerii chestionați (la nivel de CEO), consideră ca directiva PSD 2 este un instrument benefic, prin care activitatea lor devine mult mai eficientă, iar 56% considera ca PSD 2 contribuie la atragerea de noi clienți pe care nu îi puteau viza anterior.

Ce este directiva PSD 2

În 25 noiembrie 2015, Parlamentul European și Consiliul European au emis directiva 2015/2366 cu privire la serviciile de plată de pe teritoriul Uniunii Europene, care modifică numeroase alte directive anterioare. În spațiul public, directiva este cunoscută sub numele Revised Directive on Payment Services (Directiva Revizuită pentru Servicii de Plăți), iar aceasta este a doua directivă care afectează direct serviciile de plată, de unde și acronimul PSD 2.

Uniunea Europeană a permis furnizorilor de servicii să se alinieze la standardele directivei PSD 2 într-un termen lung de timp. Astfel, PSD 2 a avut ca termen final de adopție data de 14 septembrie 2019.

Din toate articolele directivei, doar câteva sunt cu adevărat importante pentru utilizatorii de carduri.

Astfel, trebuie știut faptul că furnizorii de plăți sunt obligați să folosească un sistem de autenficare puternic (Strong Customer Authentication – SCA) atunci când clientul își accesează online contul bancar, inițiază o plată electronică sau efectuează o acțiune printr-un canal al unui alt furnizor de servicii. Sistemul cuprinde trei categorii de elemente de siguranță.

SCA-ul drept o metodă de autentificare bazată pe două sau mai multe elemente de siguranță care au fost catalogate astfel:

  1. ceva ce numai utilizatorul știe (exemple: cod PIN, parolă)
  2. ceva ce numai utilizatorul are în posesie (exemple: cardul, laptopul, telefonul, ceasul cu care face tranzacția)
  3.  ceva ce confirmă identitatea utilizatorului (exemplu: CNP, recunoașterea amprentei sau funcția de recunoaștere facială)