Płatności zbiorcze i listy zaufanych odbiorców, czyli wyłączenie z obowiązku stosowania silnego uwierzytelnienia klienta w świetle RTS i praktyki.

Nie mniejsze emocje niż samo stosowanie silnego uwierzytelnienia (SCA) (pisałem o tym tutaj) budzi kwestia wyłączenia z tego obowiązku. Taką możliwość przewiduje Rozporządzenie delegowane Komisji 2018/389 (RTS), które wskazuje na kilka opcji do wykorzystania przy tworzeniu lub modyfikowania produktów. Decyzja o zastosowaniu (lub wystąpieniu do KNF) określonego wyłączenia może być podyktowana względami praktycznymi, jak również technologicznymi ograniczeniami niektórych produktów (lub kosztami wdrożenia stosownych zmian). Same przepisy niekiedy są dość nieprecyzyjne, a poza tym brak jasnych wytycznych co do zakresu stosowania wyłączeń. Niektóre problemy rozwiązuje EBA, która sukcesywnie publikuje swoje odpowiedzi w QnA.

Kwestię wyłączeń z obowiązku stosowania SCA reguluje RTS w art. 10-21, przy czym należy również patrzeć na pozostałe przepisy odnoszące się do kwestii bezpieczeństwa (szczególnie w kontekście wyłączenia „korporacyjnego”, o czym dalej). Nie bez znaczenia pozostaje również Opinia EBA w sprawie implementacji RTS oraz wspomniany QnA EBA. Teoretycznie możemy również mówić o Komunikacie KNF w sprawie wyłączenia niektórych usług płatniczych opartych na instrumentach płatniczych z reżimu ustawy o usługach płatniczych, jednakże w typowej działalności bankowej i fintechowej trudno będzie o konkretne przykłady tego typu działalności.

Co z płatnościami z użyciem zegarka?

Potencjalne problemy mogą się pojawić tam gdzie mamy do czynienia z najbardziej innowacyjnymi produktami (prawda, że zaskakujące?). Przykładowo trudności z wykorzystaniem silnego uwierzytelnienia mogą pojawić się w kontekście płatności przez smartwatch lub opaskę. Tego typu rozwiązania oferuje chociażby Garmin Pay (sam nie korzystałem z rozwiązania). Chodzi tutaj przede wszystkim o tzw. reset limitu przy transakcjach niskokwotowych.

W przypadku zdalnych elektronicznych transakcji płatniczych dostawca nie musi stosować SCA, jeżeli kwota jednorazowej transakcji wynosi mniej niż 30 euro oraz (i) łączną kwota transakcji wynosi 150 euro lub (ii) użytkownik dokonał pięciu lub mniej transakcji. Jeżeli jakikolwiek z tych elementów zostaje przekroczony, to aby dokonać kolejnych transakcji użytkownik musi uwierzytelnić się z użyciem silnego uwierzytelnienia.

EBA stoi na stanowisku, że zniesieniu limitu może nastąpić wyłącznie przy użyciu SCA na tym konkretnym urządzeniu. W takim przypadku, płatność mogłaby być dokonana wyłącznie po zastosowaniu silnego uwierzytelnienia użytkownika na tym urządzeniu. Jeżeli więc zegarek nie umożliwia zastosowania dwuelementowej autoryzacji (autoryzacja na smartfonie sparowanym z zegarkiem nie będzie „pokrywał” tego warunku), to wymóg nie będzie spełniony.

What You See Is What You Sign, czyli dynamiczne łączenie – co najbardziej boli?

Innym problemem z którym mogą spotkać się dostawcy w związku z PSD2 jest problem zastosowania SCA w połączeniu z dynamicznym łączeniem (art. 5 RTS). RTS wymaga, aby w przypadku inicjowania elektronicznych płatności płatniczych, poza SCA, dostawca informował klienta (płatnika) o kwocie transakcji oraz odbiorcy. Dodatkowo, po wygenerowaniu kodu autoryzacyjnego musi on być przypisany do tej kwoty i odbiorcy oraz odpowiadał pierwotnej kwocie transakcji i danemu odbiorcy (zgodnie z dyspozycją użytkownika). Jeżeli użytkownik (płatnik) zadecyduje o zmianie kwoty, to taki kod uwierzytelniający powinien podlegać unieważnieniu.

Rozporządzenie 2018/389 wymaga także stosowania wzmożonych środków bezpieczeństwa, m.in. poprzez zapewnienie, że użytkownikowi przedstawia się informacje odnośnie transakcji, które są poufne, autentyczne i niepodlegające nieuprawnionym zmianom.

Problem pojawia się w przypadku serii płatności, bowiem taki kod powinien zawierać całkowitą kwotę transakcji oraz wszystkich odbiorców tych przelewów. Co zrobić w przypadku kilkuset odbiorców płatności? Wymienienie wszystkich np. w powiadomieniu push aplikacji? Takie rozwiązanie wydaje się całkowicie nieefektywne i byłoby nieczytelne dla płatnika. Można również wskazać wybranych odbiorców ze względu na wielkość transakcji lub wygenerować losowych odbiorców.

Pewnym rozwiązaniem mogłoby być generowanie informacji, która odsyłałaby do zbioru danych (zakładając, że byłyby one zabezpieczone zgodnie z wymogami RTS) wymaganych dla danego kodu uwierzytelniającego. Pytanie tylko, czy byłby w takiej sytuacji spełniony wymóg dynamicznego łączenia oraz zasad bezpieczeństwa. Prawdopodobnie nie.

Innym rozwiązaniem mogłoby być stosowanie white lists, czyli listy zaufanych odbiorców wobec których można skorzystać z wyłączenia obowiązku SCA zgodnie z art. 13 RTS (co może być uciążliwe, jeżeli lista zmieniałaby się „dynamicznie”, np. wobec duże rotacji pracowników).

Warto jeszcze nadmienić, że wysyłanie danych transakcyjnych na potrzeby dynamic linking poprzez sms może zostać uznane za niespełniające wymogu poufności, integralności i autentyczności.

Zgoda nadzorcy czy decyzja dostawcy?

Oba przypadki. RTS przewiduje sytuacje, w której to od dostawcy danego produktu zależy czy zastosuje wyłączenie z obowiązku stosowania silnego uwierzytelniania (przy spełnieniu określonych warunków). Będą to jednak produkty o dość ograniczonym zasięgu. Zgoda nadzorcy będzie z kolei potrzebna w przypadku art. 17, który odnosi się do płatności korporacyjnych. Interakcja z KNF (w tym raportowanie statystyk) wystąpi również w przypadku korzystania z wyłączenia SCA na podstawie niskiego poziomu ryzyka transakcji.

Kiedy możemy wyłączyć SCA?

Opcji rezygnacji z SCA jest kilka, ale tak naprawdę największe wątpliwości pojawiają się przy dwóch rodzajach usług, tj. tych świadczonych na rzecz klienta korporacyjnego oraz transakcji o niskim poziomie ryzyka. Poza tymi dwoma przypadkami mamy do czynienia z wyłączeniem wobec:

1.      Usługi AIS (chyba, że użytkownik loguje się po raz pierwszy lub był nieaktywny co najmniej 90 dni).

2.      Płatności zbliżeniowych w punktach sprzedaży (przy spełnieniu limitów kwotowych).

3.      Terminali samoobsługowych wykorzystywanych do zapłaty za przejazd i opłat za postój (np. viaToll na autostradach).

4.      Zaufanych odbiorców.

5.      Transakcji cyklicznych (za wyjątkiem pierwszej transakcji inicjującej).

6.      Przelewów wewnętrznych (ta sama osoba).

7.      Transakcji niskokwotowych (opisane powyżej).

Bankowość korporacyjna a wyłączenie SCA

Jak już wspomniałem, RTS przewiduje możliwość rezygnacji ze stosowania silnego uwierzytelniania w przypadku klientów korporacyjnych (wyłącznie osób prawnych). Czytając przepis wprost nie ma możliwości zastosowania tego wyłączenia do osób fizycznych prowadzących działalność gospodarczą.

Możliwość skorzystania z wyłączenia obarczona jest obowiązkiem spełnienia dodatkowych wymogów. Dostawca musi bowiem zapewnić, że taki klient korporacyjny korzysta z rozwiązań (niedostępnych dla konsumentów) płatniczych (elektronicznych), które są bezpieczne patrząc przez pryzmat PSD2. Oznacza to, że muszą one spełniać wymogi m.in. art. 95 PSD2, który obliguje do nieustannego monitorowania poziomu bezpieczeństwa i wdrożenia rozwiązań, które pozwolą na zminimalizowanie ryzyka wystąpienia potencjalnych fraudów (równoważnych tym dla SCA). Będzie to więc wymagało przykładowo tworzenia mechanizmów informatycznych uniemożliwiających dokonywanie nieuprawnionych zmian kwoty transakcji czy odbiorców.

W przypadku tego typu wyłączeń mamy udział Komisji Nadzoru Finansowego, która jest zobowiązana do oceny, czy dane rozwiązanie spełnia wymogi w zakresie bezpieczeństwa. Konieczne jest więc złożenie stosownego pisma, w którym dostawca „przekona” nadzorcę, że stosowanie SCA nie jest niezbędne. Choć nie wynika to wprost z przepisu, to można założyć, że pewną argumentacją wspierającą może być koszt wdrożenia SCA, jak również analiza korzyści i strat dla klientów korporacyjnych tego dostawcy (i rynku). Przydałyby się tutaj wytyczne regulatora, które pozwoliłby na wewnętrzną ocenę stosowanych rozwiązań i analizę konieczności (lub nie) wdrożenia SCA dla płatności korporacyjnych.

A co z transakcjami o niskim poziomie ryzyka?

Jest to temat dość rozbudowany. Z tego względu poświęcę mu więcej czasu w kolejnym artykule.

Konkluzje?

Tak jak wspomniałem stosowanie SCA to wyzwanie dla dostawców usług płatniczych, głównie banków. Podmioty te muszą podjąć decyzję w dwóch aspektach, tj. czy konkretny instrument „łapie się” pod dane wyłączenie oraz czy ewentualne środki zastępcze spełniają wymogi w zakresie bezpieczeństwa (niezależnie czy jest to konsument, czy klient korporacyjny).

Otoczenie innowacji finansowych podlega również nieustannym zmianom. Zmieniają się oczekiwania klientów i produkty, które te oczekiwania mają spełnić. Banki muszą więc dokonywać oceny czy dany produkt będzie spełniał wymogi w zakresie SCA oraz dynamicznego łączenia i ocenić ryzyko ewentualnego niedostosowania.  

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *