Консультанты по защите прав потребителей и многие политики ЕС пытаются сделать покупки и платежи в Интернете более безопасными для покупателей. Помимо банков, важную роль в электронном бизнесе теперь играют и другие поставщики платежных услуг, поскольку такие провайдеры, как PayPal, предлагают операторам магазинов, а также покупателям, практические способы облегчить процесс оплаты. Однако удобство не должно идти в ущерб безопасности.
Европейская комиссия ввела обязательные рекомендации, чтобы потребителям не приходилось иметь дело с ненадежными компаниями. Теперь эти рекомендации были обновлены. К чему теперь должны быть готовы владельцы интернет-магазинов и покупатели?
Регламент PSD2: что это такое?
ЕС принял первую версию регламента в 2007 году. Директива о платежных услугах (PSD) должна регулировать — и продолжает регулировать — платежные операции в масштабах всей Европы компаниями, которые не считаются традиционными банками. Это делается для того, чтобы дать возможность другим компаниям, а также банкам, предлагать платежные услуги через Интернет, тем самым повышая и одновременно регулируя конкуренцию в этой области финансового сектора. Для американских клиентов это также означает, что любые транзакции, совершаемые в Европе, будут более безопасными.
Таким образом, Директива о платежных услугах 1 и Директива 2 служат разным целям:
- Содействовать конкуренции в сфере платежных услуг
- Снижение затрат для потребителей
- контролировать и укреплять стартапы в области финансовых технологий (сокращенно FinTech)
- Обеспечить большую безопасность при оплате через Интернет.
История политики в области платежных услуг: От PSD1 к PSD2
Выпустив первую версию Директивы о платежных услугах, Европейская комиссия сделала важный шаг на пути к регулированию международных платежей. PSD создала правовую основу для поставщиков услуг в этом секторе и была направлена на гармонизацию европейского платежного трафика. Тогда, как и сейчас, это явно относилось к провайдерам, не принадлежащим к банковскому сектору. Таким образом, PSD разрушило монополию кредитных учреждений на платежные операции.
Однако не каждая компания может выступать в качестве платежного учреждения. Директива о платежных услугах устанавливает обязательные правила, которым должны соответствовать эти провайдеры. Однако, несмотря на множество четких правил, все еще оставались некоторые неопределенности — Директива даже сама создала некоторые проблемы.
С помощью PSD2 ЕС пытается устранить эти неопределенности и укрепить безопасность потребителей. Это достигается, например, путем выдачи обязательных сертификатов и печатей, которые можно получить только у признанных организаций. Кроме того, компаниям требуется одобрение национального органа финансового надзора.
В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.
Директива о платежных услугах 2 в деталях
Вторая версия Директивы о платежных услугах была принята еще в 2017 году, но обязательной к исполнению она станет только с 14 сентября 2019 года, после истечения переходного периода. Одно из самых важных нововведений, которое некоторые считают революцией, заключается в том, что банки теперь должны предоставлять другим компаниям доступ к информации своих клиентов. Но только в том случае, если пользователь дал на это свое согласие.
Вскоре банки должны будут предоставить авторизованным провайдерам интерфейс, позволяющий им напрямую инициировать переводы, а также получать информацию об остатках на счетах пользователей и другие финансовые данные. Но почему это так важно? И почему это должно стать возможным для компаний?
В прошлом многие потребители уже пользовались подобными услугами, не нуждаясь в этих обязательных правилах. В частности, в секторе FinTech есть компании, предоставляющие программное обеспечение, которое пользователи могут использовать для управления своими финансами. Приложения для сбережений, страхования или получения информации о фондовой бирже нуждаются в банковской информации. В результате PSD2 банки обязаны предоставить компаниям, обладающим соответствующими сертификатами, интерфейс, который поставщики услуг могут использовать для получения необходимой информации и осуществления платежей или переводов.
Даже с PSD2 компании не могут произвольно получить доступ к вашим конфиденциальным финансовым данным. Помимо официального разрешения, поставщикам услуг необходимо ваше явное согласие на получение данных от вашего банка.
Хотя поставщики услуг и раньше могли получать доступ к информации с банковских счетов, у них не было стандартизированного доступа. За прошедшее время некоторые страны создали стандартизированный интерфейс, но в те времена компании на международном уровне зависели от технологии, называемой скрейпингом экрана. Для этой процедуры поставщик услуг извлекает всю информацию с веб-сайта поставщика услуг онлайн-банкинга. Это не очень эффективно и к тому же чревато ошибками. Начиная с PSD2, банки обязаны создать систему доступа к счету (XS2A), которую поставщики услуг могут использовать для получения доступа.
PSD2 также предлагает решения, гарантирующие, что передача конфиденциальных данных через интерфейсы будет осуществляться без каких-либо рисков для потребителя в будущем. Безопасность данных гарантируется двумя различными средствами:
- QWAC: этот сертификат используется провайдером и банком для идентификации друг друга. QWAC также шифрует передачу данных.
- QSEAL: Печать прикрепляется к данным и закрепляет их за компанией. Это позволяет впоследствии отследить, какие компании имели доступ к банковскому счету и передавали данные через интерфейс. Кроме того, печать гарантирует, что данные не могут быть тайно изменены.
Для получения таких сертификатов или печатей поставщикам необходимо получить разрешение национального надзорного органа. В настоящее время национальные надзорные органы очень тщательно проверяют сторонних поставщиков, прежде чем разрешить им получать информацию о пользователях, чего не было в прошлом. Надзорный орган изучает всю структуру компании, обращает внимание на то, какой существует внутренний контроль, как решаются кризисные ситуации и как защищена компания. В основном это препятствие для небольших начинающих компаний, но оно благоприятно сказывается на защите прав потребителей.
Что изменится для клиентов и владельцев интернет-магазинов?
Новая Директива о платежных услугах в основном касается банков и других поставщиков финансовых услуг. Пользователи не заметят многих изменений, происходящих в фоновом режиме. И даже для интернет-магазинов изменений очень мало.
PSD2 с точки зрения пользователя
Вторая версия PSD обещает онлайн-покупателям большую безопасность при оплате. Как выдача лицензий на технические решения, так и проверка со стороны надзорных органов обеспечивают более надежную защиту конфиденциальных данных. Однако пользователи сразу же заметят обязательную двухфакторную аутентификацию. В будущем клиенты должны будут подтверждать платеж вторым способом и таким образом идентифицировать себя на сайте. Это работает, например, через SMS с TAN. Затем клиент должен ввести код, полученный в процессе оплаты, чтобы завершить процесс. Теоретически возможна также идентификация по отпечаткам пальцев.
Введение двухфакторной аутентификации также заменит списки iTAN для онлайн-банкинга, которые за прошедшее время устарели. В будущем банки будут полагаться на SMS, приложения или специальные устройства TAN и здесь.
Клиенты также могут рассчитывать на снижение цен, поскольку интернет-магазинам больше не разрешается взимать дополнительные расходы за определенные варианты оплаты (например, кредитные карты).
Ожидается, что благодаря PSD2 в будущем гораздо больше предприятий будут вовлечены в финансовый сектор. Уже существуют предположения о том, войдут ли в этот сектор такие крупные корпорации, как Amazon или eBay. Эти онлайновые торговые площадки смогут списывать расходы непосредственно со счета, размещая заказ, вместо того, чтобы идти длинным путем прямого дебета.
Интернет-магазины и PSD2: на что им следует обратить внимание?
Многие аспекты Директивы о платежных услугах 2 связаны с технической реализацией, и поэтому многие интернет-магазины задаются вопросом, какие изменения им необходимо внести в свою систему. Платежи, осуществляемые через интернет-магазин, теперь должны быть защищены двухфакторной аутентификацией.
Это ограничение является следствием строгой аутентификации клиентов (SCA), требуемой в PSD2. Клиенты должны авторизовать перевод денег с помощью как минимум двух факторов: знания (например, пароля или PIN-кода), владения (например, картой или смартфоном) или инертности (например, голоса или отпечатка пальца). Это относится ко всем суммам свыше 30 евро ($34). Если в течение одного дня общая стоимость нескольких покупок превышает 100 евро ($113), двухфакторная аутентификация необходима, даже если стоимость отдельных товаров ниже порога в 30 евро ($34).
Для осуществления платежей операторы интернет-магазинов обычно сотрудничают с партнером, который должен внедрить в систему требования PSD2. Тем временем компании, выпускающие кредитные карты, разработали новую версию 3D Secure. Владельцам магазинов электронной коммерции в таком случае остается только убедиться, что процедура безопасности правильно установлена в их магазине.
Требования SCA не распространяются в явном виде на прямое дебетование. Это «тянущий» платеж — продавец запрашивает деньги у банка. Однако безопасная процедура предназначена только для push-платежей, т.е. когда клиент инициирует платеж напрямую.
Двухфакторная аутентификация должна быть внедрена в интернет-магазинах до 14 сентября 2019 года.
Еще одно важное нововведение для интернет-магазинов: теперь запрещено взимать дополнительную плату. Ранее для розничных торговцев было обычным делом взимать дополнительную плату сверх стоимости покупки, например, при оплате кредитной картой, поскольку это влекло дополнительные расходы для розничного торговца. Владельцам магазинов также не разрешается взимать дополнительную плату за платежи через PayPal. Процессор платежей запрещает это в своих общих положениях и условиях.
Нажмите здесь для ознакомления с важными юридическими оговорками.