В Европейской Экономической зоне (ЕЭЗ) с 14 сентября 2019 года действуют новые правила аутентификации онлайн-транзакций и проверки владельцев банковских карт. Установленные требования распространяются на страны, входящие в ЕЭЗ и регламентируются второй директивой о платежных услугах (PSD2), а также нормативами Strong Customer Authentication (SCA). Основная концепция представленных ЕС норм – борьба с мошенничеством в интернет-пространстве при совершении онлайн-платежей.
Усиленная защита в рамках PSD2
Ввиду нестабильности экономики во всем мире, регулирующие органы стремятся минимизировать риск мошенничества в различных финансовых секторах – от налоговой и крипто валютных бирж до раскрытия реестров бенефициаров и глубокой проверки владельцев банковских карт. Именно последнее, по мнению ЕС, позволит снизить кражу денег с карточных счетов, что повсеместно наблюдается в различных государствах, независимо от связи с Европейской экономической зоной.
Недостатки существующей системы
Слабые места действующей системы аутентификации клиента банка (3D Secure 1.0), совершающего онлайн платежи:
- При отсутствии строгих требований коммерческим банком, продавцы имели возможность отключить 3D Secure в настройках платежного шлюза, что практически полностью снимало ограничения по переводу. Один из примеров таких бескомпромиссных транзакций – Алиэкспресс для российских потребителей.
- Подтверждение личности происходило одним из способов – пароль, кодовой слово, отпечаток пальца через мобильное приложение или СМС код.
- Процесс аутентификации (при необходимости) осуществлялся сторонним ресурсом, что исключало прямой контроль над финансовой сделкой веб-сайтом продавца.
Именно такие недостатки создают благоприятные условия для мошеннических схем и использования карточных счетов третьими лицами. Также данный вариант проверки клиентов позволит установить личность без дополнительных мер и запросов. Это может быть полезно в случае уклонения от налогов, когда доходы несоразмерны с расходами владельца. Один из примеров подобных схем – случай с госпожой Гаджиевой, где в деле фигурируют кредитные карты и 76 млн евро.
Как считает ЕС, раскрытие информации по владельцам карточных счетов путем верификации каждого клиента в момент совершения сделки позволит сделать процедуру онлайн-платежей максимально прозрачной. 3D Secure 2.0. обеспечивает усиленную аутентификацию и прекращение сеанса в случае обнаружения постороннего вмешательства или ввода неверных данных.
3D Secure 2.0. – новая эра проверки личности
Строгая аутентификация клиента в рамках директивы PSD2 будет применяться только в случае нахождения банка-эмитента карты клиента или продавца в пределах Европейской экономической зоны.
Справка: В список стран-членов ЕС в 2019 году входит 28 юрисдикций – Австрия, Бельгия, Болгария, Венгрия, Германия, Греция, Дания, Ирландия, Испания, Италия, Кипр, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Хорватия, Чешская Республика, Швеция и Эстония. В ЕЭП входят все вышеупомянутые государства и Исландия, Лихтенштейн, Норвегия, как часть рынка ЕС.
Новая версия протокола аутентификации, 3D Secure 2, разработана в соответствии с требованиями SCA. Строгая проверка клиента подразумевает подтверждение личности путем предоставления минимум двух элементов контроля:
- Конфиденциальная информация – одноразовый пароль, PIN-код, пароль к онлайн-сервису, секретный вопрос.
- Физический носитель информации – кредитная/дебетовая карта, мобильный телефон с ПО для кредитных карт, гаджет для считывания данных с карт или брелок.
- Биометрические данные клиента – распознавание по лицу или голосу, сканер сетчатки глаз.
Преимущества 3D Secure 2 верификации для клиентов:
- повышенная защита от мошенничества;
- увеличение скорости обработки транзакции;
- широкий выбор вариаций аутентификации.
Преимущества данного способа проверки клиентов для продавцов:
- соблюдение установленных законодательных норм ЕС;
- снижение отсева покупателей (отказ от корзины по причине ошибок аутентификации);
- ответственность за мошеннические операции возлагается на банки-эмитенты.
Когда усиленная проверка подлинности клиента не требуется – исключения
Освобождения от строгой аутентификации, установленные директивой PSD2, относятся к следующим операциям по карте:
- сумма перевода ниже €30;
- сделка с низким риском;
- B2b сделки;
- повторяющаяся серия платежей одному предприятию на фиксированную сумму, что предусматривает последующие сборы и освобождение от SCA;
- транзакции, инициатором которых является коммерческий агент – удобный вариант для бизнес-моделей с отложенным платежом без повторной аутентификации. Суть процедуры сводится к согласию клиента по списанию средств «с опозданием» и к предварительной проверке владельца карты при первом платеже;
- доверенные бенефициары, занесенные в «белый список», также могут избежать проверки подлинности клиента;
- продажи через телефон – сделки, которые выходят за рамки SCA и не требуют усиленной аутентификации;
- корпоративные платежи при помощи “предъявленных” и виртуальных карт.
Несоблюдение правил PSD2
Директива PSD2, представленная ЕС, не устанавливает строгих обязательств и возможных последствий при несоблюдении норм с 14 сентября 2019 года. Однако, вероятность отказа по транзакциям в данном случае увеличится. Как считают финансовые аналитики, банк заставит продавца и клиента подчиниться установленным правилам путем наложения «вето» на операции по картам, что, собственно, и не требует никаких других ограничений.
FCA объявили, что принудительных мер к финансовым институтам при несоблюдении мер с 14 сентября, применяться не будет. Однако, это не означает, что старые правила будут продолжать действовать.
Краткий итог
В заключении хочется отметить, что банкам и интернет-продавцам следует пересмотреть свою внутреннюю политику и быть готовыми к нововведениям от ЕС, что позволит сохранить объем продаж и минимизировать отказ по операциям. Например, финансовые институты, входящие в Греческую ассоциацию банков (НВА) уже приступили к подготовке к новым правилам до их официального введения. На Великобританию, которая в настоящее время инициирует выход из ЕС, установленные правила также распространяются.
Сегодня защита активов клиента становится проблемой международного масштаба, что относится к личным, корпоративным счетам и картам. Выбор платежной системы – задача, с которой сложно справиться без глубоких знаний финансового сектора отдельной юрисдикции.
Бесплатно выбрать иностранный банк для открытия счета можно на нашем международном портале. Консультация специалиста, помощь в подготовке документов и стоимость услуг в зависимости от пожеланий клиента (регистрация компании, получение ВНЖ или инвестиции + банковский счет) можно узнать по контактным данным: info@offshore-pro.info.