Dwa faktory z tej samej kategorii oraz wyzwania dla płatności eCommerce, czyli opinia Europejskiego Urzędu Nadzoru Bankowego w sprawie stosowania silnego uwierzytelniania klienta.

Opinia Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie stosowania silnego uwierzytelniania została wydana w ostatni piątek. Od tego czasu jest ona szeroko komentowana przez środowisko usług płatniczych. W niektórych elementach jest ona nieco kontrowersyjna (lub mało satysfakcjonująca z punktu widzenia rynku oraz jego klientów), lecz w większości potwierdza wcześniejsze ustalenia unijnego nadzorcy i nie stanowi wielkiego zaskoczenia. W ostatnim artykule omówiłem jak EBA podchodzi do „cechy” (inherence) jako elementu silnego uwierzytelniania klienta (Strong Customer Authentication – SCA). Dzisiaj zajmę się bardziej ogólnymi wytycznymi EBA (np. dwa faktory z tego samego katalogu), a w kolejnej części omówię dwa pozostałe elementy SCA, tj. „posiadanie” oraz „wiedzę”.

Chyba najbardziej istotną i wyczekiwaną przez rynek informacją była ta odnośnie możliwości „odroczenia” terminu na stosowanie silnego uwierzytelnienia klienta po 14 września (termin wynikający z Rozporządzenia 2018/389). EBA w swojej opinii zachęca krajowe organy nadzoru do współpracy z dostawcami usług płatniczych, a także sprzedawcami (merchantami), nad zmianą tego terminu (o ile jest to oczywiście konieczne). Wymaga to jednak opracowania przez zainteresowany podmiot szczegółowego planu dostosowania, a ze strony organu nadzoru – monitorowania jego wdrażania. Nie mniej istotna jest kwestia komunikacji do użytkowników końcowych, którzy ostatecznie będą „beneficjentami” silnego uwierzytelniania klientów. W tym zakresie czekamy na wytyczne KNF.

Płatności e-commerce pewnym wyzwaniem

EBA po raz pierwszy wprost wyraziła swoje zdanie na temat stosowania silnego uwierzytelniania w odniesieniu do płatności internetowych. Jednocześnie jednak unijny nadzorca podkreślił, że oczekuje od wszystkich zainteresowanych stron, w tym systemów płatniczych i sprzedawców, że podejmą stosowne kroki do zapewnienia stosowania SCA dla tego typu płatności, aby nie były one odrzucane, blokowane czy w jakikolwiek inny sposób zakłócone. To ważna wskazówka dla całego sektora.

Jednocześnie jednak, dostrzegając trudności jakie może stanowić „stworzenie” rozwiązania zgodnego z SCA w przypadku tego typu płatności kartą, EBA zachęca organy nadzoru do współpracy z wydawcami kart oraz acquirerami do wypracowywania efektywnych rozwiązań, w tym poprzez stosowanie ww. planów migracji i komunikacji do klienta.

Dwa faktory z tej samej kategorii?

Już w opinii z 2018 r. EBA podkreślała, że SCA zgodne z Rozporządzeniem 2018/389, to takie, które składa się z co najmniej dwóch różnych elementów (np. wiedza + posiadanie). W podobnym kierunku wypowiedział się również UKNF. Pojawiały się próby obrony stanowiska, że Rozporządzenie 2018/389 nie przesądza o konieczności stosowania dwóch różnych elementów (dwa takie same elementy mogłyby być równie bezpieczne), jednakże faktem jest, że EBA przyjęła bardziej restrykcyjne stanowisko. Moim zdaniem uzasadnione.

Wyobraźmy sobie bowiem, że chcemy zastosować dwa elementy wiedzy, np. odpowiedź na sekretne pytanie (tzw. knowledge-based challenge question) oraz hasło do bankowości elektronicznej. Najczęściej tego typu elementy jako „trudne” do zapamiętania zapisujemy na jednej kartce. Jeżeli więc ktoś wejdzie w jej posiadanie, to ryzyko oszustwa istotnie wzrośnie. W przypadku kodu PIN i zastosowania biometrii takie ryzyko jest jednak znacznie mniejsze.

Dynamiczne łącznie – największe wyzwanie dla płatności korporacyjnych

Europejski Urząd Nadzoru zbyt ogólnie potraktował kwestię tzw. dynamic linking, o którym pisałem m.in. tutaj. W swojej opinii EBA podkreśliła dwie istotne kwestie związane z zapewnieniem tego wymogu wynikającego z art. 5 Rozporządzenia 2018/389. Po pierwsze przelew środków z użyciem bankomatu jest zwolniony z obowiązku zastosowania dynamic linking (chyba, że mamy do czynienia ze zdalną transakcją).

Po drugie, EBA podkreśliła, że dostrzega wyzwania stojące przed dostawcami w kontekście zapewnienia dynamicznego łączenia dla wielu rodzajów płatności (tutaj EBA dodała także, że najczęściej takie dynamiczne łącznie jest efektem zastosowania „possession” na potrzeby SCA). Jednocześnie zachęca organy nadzoru do podejmowania inicjatywy w zakresie rozwiązywania tego typu problemów. Największym wyzwaniem są obecnie płatności zbiorcze i trudności związane z „efektywnym” przekazywaniem informacji odnośnie tych płatności (odbiorcy i kwota). Szkoda, że EBA nie pokusiła się o jakieś sugestie.

Inne kwestie

Spośród innych istotnych kwestii warto wskazać na:

  1. Konieczność zapewnienia niezależności elementów stosowanych na potrzeby SCA;
  2. Zaakceptowanie rozwiązania polegającego na użyciu karty z chipem (EMV) oraz PINu w terminalu płatniczym i wygenerowaniu One-Time Password jako spełniającego wymóg SCA;
  3. Wykorzystanie jednego elementu wygenerowanego w ramach tej samej sesji, ale dla innej czynności, na potrzeby innej czynności, np. zastosowanie wiedzy użytej przy logowaniu do aplikacji do płatności elektronicznej;
  4. Obowiązek maskowania (w tym zakaz pokazywania całego hasła) i szyfrowania indywidualnych danych uwierzytelniających (w tym temacie EBA już wypowiadała się w ramach swoich QnA).

Co w następnym artykule?

Zajmę się posiadaniem oraz wiedzą jako elementami SCA. To bardzo ciekawe, szczególnie w kontekście kwalifikacji danych kart na potrzeby płatności eCommerce.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *