Płatności zbliżeniowe – co się zmieni po 14 września

Jak zmienią się zasady dokonywania płatności przy wykorzystaniu kart i innych instrumentów płatniczych po 14 września 2019 roku, pisze Wojciech Pantkowski, dyrektor Zespołu Systemów Płatniczych i Bankowości Elektronicznej w Związku Banków Polskich.

14 września wchodzi w życie Rozporządzenie Delegowane Komisji Europejskiej w zakresie regulacyjnych standardów technicznych  (tzw. RTS) dotyczące między innymi silnego uwierzytelnienia klienta. Główną przesłanką wdrażanych rozwiązań jest zwiększenie bezpieczeństwa korzystania z usług płatniczych oferowanych drogą elektroniczną i tym samym ograniczenie możliwości wystąpienia oszust związanych z tymi usługami.

Silne uwierzytelnianie

W tym celu wprowadzona zostanie konieczność stosowania procedur silnego uwierzytelnienia czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do 3 kategorii: „wiedza”, „posiadanie” lub „cecha klienta”. Co oznaczają te kategorie?

Otóż „wiedza” to kod (np. PIN), hasło lub inny element, który jest i powinien być znany tylko klientowi – posiadaczowi danego instrumentu płatniczego lub bankowości  internetowej i którego nie wolno udostępniać osobom trzecim.

Z kolei  „posiadanie” to element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej.

Ostatnia kategoria czyli „cecha klienta” to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest biometria w postaci np. odcisku palca, tęczówki oka czy układu żył.  I właśnie użycie dwóch elementów spośród opisanych powyżej 3 kategorii określane jest  jako silne uwierzytelnienie.

Ważne jest przy tym aby te elementy były niezależne od siebie to znaczy, że naruszenie jednego elementu nie osłabia wiarygodności innych elementów. Stąd dla przykładu wynika taka troska i apele wydawców kart aby nie ujawniać ani nie zapisywać numeru PIN zwłaszcza na karcie lub w jej pobliżu (np. w portfelu) ponieważ kradzież portfela oznacza utratę niezależnych elementów silnego uwierzytelnia  (w tym przypadku posiadanie i wiedza) wykorzystywanych w trakcie dokonywania płatności.

Gdzie będzie wykorzystywane  silne uwierzytelnienie?

Generalnie przy dokonywaniu płatności w terminalach płatniczych (POS), płatnościach za zakupy w internecie (e-commerce, m-commerce) oraz logowaniu i korzystaniu z bankowości internetowej czy mobilnej.

Czy zatem od 14 września konieczne będzie przy dokonywaniu każdej transakcji stosowanie silnego uwierzytelniania? Otóż nie.

Płatności zbliżeniowe – co się zmieni

Rozporządzenie określa wyjątki, w których dostawcy usług płatniczych w tym wydawcy kart nie muszą stosować silnego uwierzytelnienia klienta w zakresie płatności. Ma to ułatwiać możliwość dokonywania płatności bez istotnego zwiększania ich ryzyka.

Pierwszy wyjątek dotyczący płatności zbliżeniowych, który funkcjonuje już w Polsce od wielu lat  i daje możliwość płacenia w terminalach z funkcją zbliżeniową do 50 PLN (limit w Polsce). Rozporządzenie określa ten górny limit na poziomie 50 EUR) bez konieczności podawania kodu PIN. Kwota tego limitu w Polsce zostanie na razie utrzymana (z możliwością podniesienia do 100 PLN w późniejszym terminie) gdyż zgodnie z RTSami oprócz tego limitu także nowe warunki, po przekroczeniu których silne uwierzytelnienie będzie wymagane.

Te nowe warunki to tzw. liczniki transakcji, które mogą być albo ilościowe albo wartościowe. Licznik ilościowy pilnuje warunku określającego, że po przekroczeniu 5, następujących po sobie transakcji zbliżeniowych (bez względu na kwotę) musi nastąpić silne uwierzytelnienie klienta. Licznik wartościowy z kolei określa, że po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych musi nastąpić silne uwierzytelnienie klienta.

Chociaż Rozporządzenie określa kwotę takiego limitu na 150 EUR to wydawca danego instrumentu może określić ten limit na niższym poziomie. Polscy wydawcy (banki) skorzystają z tej możliwości i będą ustawiać go niżej.

Dodaj komentarz

%d bloggers like this: