Guest post by Cristian Barbu
În primul episod al podcastului Smart Open Banking l-am avut ca invitat pe Cristian Barbu -Managing Partner ITSS. L-am invitat pe Cristian să ne și scrie despre cele discutate în podcast, în calitate de expert în materie. Vă invităm, așadar, să citiți mai jos un articol comprehensiv și lămuritor cu privire la ce este Strong Customer Authentication și ce schimbări aduce în întregul ecosistem al tranzacțiilor și plăților online din România, și nu numai.
Anul 2021 a venit cu o mare schimbare în ceea ce privește plățile cu cardul în mediul online și anume intrarea în vigoare în tot spațiul european a SCA – Strong Customer Authentication.
Probabil multi dintre voi ați observat că, de la începutul anului, felul în care se desfășoară o plată online cu cardul s-a schimbat. Am dori să lămurim aici unele aspecte privind noile reglementări, începând cu faptul că noi considerăm că această schimbare s-a produs pentru că era absolut necesară pentru întărirea condițiilor de siguranță în care se desfășoară plățile online cu cardul.
Nivelul fraudelor și evoluția plăților online cu cardul
Plățile de tip Card-Not-Present (plăți CNP), care de fapt înseamnă plăți online plus alte câteva tipuri de plăți (cum ar fi cele aferente comenzilor prin email sau telefon, însă nesemnificative ca volum) au cea mai mare pondere și creștere când vine vorba despre fraudele comise cu cardul bancar in Europa.
Dacă ne raportăm la cifrele puse la dispoziție de Banca Central Europenă pentru anul 2020, aflăm că astfel de fraude au reprezentat 79% din totalul fraudelor cu cardul, și s-au aflat în creștere cu 17.7% față de anul precedent, până la valoarea de 1.43 miliarde de euro.
Astfel, dată fiind dimensiunea fraudelor, dar și creșterea continuă și accelerată din ultimii ani a plăților online cu cardul, este evident că se impuneau măsuri care să crească nivelul de securitate al acestui domeniu.
Cu toate acestea, privind retrospectiv, putem admite că gradul de securitate al plăților online cu cardul a crescut constant de la apariția acestui tip de plată. Să ne amintim că primele plăți se făceau furnizând doar numărul cardului, numele posesorului și data expirării, așadar oricine punea mâna pe un card putea face exact același lucru, fără niciun fel de restricție.
În timp au fost adăugate însă, rând pe rând, noi elemente de siguranța: mai întâi codul de securitate de pe spatele cardului (CVC), iar apoi protocolul 3D Secure lansat de Visa, cu propria sa evoluție de la o parolă statică, asociată cardului, la One Time Password (OTP) cu dynamic linking (adică trimiterea unui SMS care conține un cod de autorizare împreună cu detalii despre plata pentru care a fost generat).
Se poate spune, deci, că plata online cu cardul ajunsese să fie destul de sigură, dovadă că în 2018 doar 0.037% din totalul tranzacțiilor cu cardul au fost frauduloase.
Totuși, rapoartele din ultimii ani arată că valoarea absolută a fraudelor cu cardul online este mai mult decât semnificativă, este în creștere și, nu în ultimul rând, poate fi combătuta mai bine.
Noi măsuri de siguranță a plăților
La nivelul Uniunii Europene a fost adoptată Directiva Serviciilor de Plăți Revizuită sau, pe scurt, PSD2 (de la Payment Service Directive 2) care impune, printre altele, o mai mare strictețe în procesul de identificare a clienților, Utilizatori ai Serviciilor de Plată.
Astfel, dacă până anul trecut puteam autoriza o plată online cu cardul doar cu ajutorul unui simplu SMS, de acum este nevoie de o autentificare strictă a clientului sau, pe scurt, de SCA (de la Strong Customer Authentication). SCA presupune confirmarea identității clientului pe baza a cel puțin 2 elemente distincte dintre următoarele trei:
o Ceva ce știe doar el, cum ar fi parola sau cod PIN,
o Ceva ce deține doar el, cum ar fi card sau telefon mobil și
o Ceva ce îl caracterizează doar pe el, cum ar fi amprenta, recunoașterea facială sau alte elemente biometrice.
Conform PSD2, banca emitentă a cardului cu care se face plata are obligația aplicării SCA pentru orice tip de plată electronică (inclusiv cele online cu cardul), cu anumite excepții, pe care le vom atinge imediat.
Răspunsul participanților din sistemul de plăți
Întâi vom analiza cum au răspuns participanții din sistemul de plăți online cu cardul la aceste măsuri și ce soluții au implementat.
Pentru a se conforma cerințelor PSD2, băncile impun deja SCA pentru plățile online cu cardul. Dat fiind ca această schimbare din partea băncilor reprezintă o restricție care impune schimbări și din partea rețelelor de carduri (ca Visa, Mastercard etc.), a comercianților și a altor intermediari din ecosistem, aceștia au adoptat o nouă versiune a protocolului 3D Secure, așa-numitul 3DS 2.0.
3D Secure 2.0 este noua versiune a protocolului de securitate Three Domain Secure care, pe lângă o serie de îmbunătățiri tehnologice, introduce un grad sporit de securitate pentru plățile online cu cardul (inclusiv SCA impus de PSD2), dar și mecanisme menite să ajute la îmbunătățirea experienței clientului. Sa nu pierdem din vedere faptul că SCA, deși protejează interesul clienților prin creșterea nivelului de securitate a plăților, face procesul de plată mai complicat și crește riscul de abandon al acestuia de către client, ceea ce reprezintă un risc serios pentru procesatorii de plăți cu cardul.
Concret, din perspectiva clientului, impactul este că cele mai multe plăți online vor trebui autorizate de către clienți folosind SCA. Iar acest lucru poate fi relativ comod pentru clienții care utilizează aplicația de mobile banking oferită de banca lor și pe care o pot folosi pentru a furniza cele două elemente de identificare necesare. Mai complicat este, însă, cazul clienților care nu utilizează o astfel de aplicație din diverse motive (telefon incompatibil, o oarecare adversitate fata de tehnologie etc.) și pentru care opțiunile disponibile sunt mult mai puține și mai puțin convenabile; un exemplu în acest sens ar fi soluția oferita de una din băncile din Romania care consta într-o combinație dintre un One Time Password, transmis prin SMS, și o parolă unică, declarată băncii cu ocazia primei plăți online, care însă trebuie schimbată la fiecare 90 de zile. La o prima vedere, există chiar și bănci care nu oferă deloc o astfel de posibilitate clienților lor, în țara noastră cel puțin.
Proces de autorizare greoi și neintuitiv
În primul rând, trebuie făcută distincția între identificarea clientului în aplicația de mobile banking, ceea ce presupune introducerea unui element de identificare (de ex. parola sau amprenta) și autorizarea plății care îi succedă, prin introducerea a două elemente de autorizare, după cum prevăd cerințele de SCA. Cel mai adesea, unul din aceste două elemente folosite pentru autorizare este același cu cel folosit la accesarea aplicației mobile, ceea ce duce la introducerea aceleiași parole de două ori.
Apoi mai intervine și faptul că fiecare bancă emitentă de carduri implementează propriile soluții pentru SCA. Astfel, unele bănci au o aplicație mobilă mai prietenoasă, altele sunt mai puțin intuitive, unele sunt mai avansate din punct de vedere tehnologic, permițând folosirea elementelor biometrice, altele nu.
Nu în ultimul rând, trebuie să avem în vedere complexitatea tehnică extraordinară a implementării protocolului 3D Secure. Deși transparentă pentru client, plata pe care noi o vedem executându-se în câteva secunde ascunde o foarte mare complexitate tehnică, un proces cu mulți actori independenți (comerciantul, banca emitenta a cardului, banca comerciantului, rețeaua de carduri -Visa/Mastercard, diverși intermediari etc.), fiecare cu propriul sistem informatic, fiecare introducând în proces propriile particularități si propriile riscuri de disfuncționalitate.
Dacă ținem seama de toate aceste considerente, ajungem la concluzia că lucrurile puteau merge mult mai rău decât acum.
Excepții de la SCA
Toate acestea, cu siguranță într-o primă fază vor avea un impact negativ asupra plăților online cu cardul, vom fi martorii unui număr mare de „coșuri abandonate”, de procese de check-out nefinalizate. Protocolul 3DS 2.0 prevede posibilitatea transmiterii unui volum destul de mare de informații (peste 100 de atribute ale contextului plății) între comerciant și banca emitentă a cardului, care ar permite o analiză detaliată a riscului tranzacției, având ca rezultat exceptarea de la SCA a unui procent important de plăți. Un studiu publicat de Visa arată că 95% din plățile online ar trebui să fie frictionless, adică să nu necesite din partea clientului nicio informație în plus pe lângă datele cardului. Personal considerăm, însă, că ecosistemul plăților online cu cardul are de parcurs un drum lung până la atingerea unor astfel de cifre, dat fiind ca exploatarea acestei funcționalități presupune sisteme informatice mai sofisticate la comercianți (cu costurile de implementare și operare asociate) și, mai ales, asumarea unor riscuri mai mari de către comercianți și/sau băncile emitente de carduri.
Partea bună este că și în acest moment, nu toate plățile online trebuie autorizate folosind SCA. PSD2 și protocolul 3DS 2.0 prevăd o serie de excepții care pot fi aplicate de băncile emitente de carduri, cum ar fi cazul plăților:
o către beneficiari așa-numiți whitelisted, beneficiari pe care clientul i-a declarat ca fiind de încredere;
o de valoare mica, de sub 30 EUR;
o recurente, de aceeași valoare;
o evaluate ca având un risc scăzut de fraudă.
Până unde se extinde SCA
Aș mai menționa aici că toate măsuri de securitate a plăților online se aplica în mod obligatoriu doar în Spațiul Economic European. Este posibil, deci, ca website-uri sau aplicații mobile din afara acestui spațiu să nu fi adoptat protocolul 3DS 2.0, astfel că este recomandat să verificăm acest lucru atunci când facem o plată online (logo-urile specifice Visa sau Mastercard sunt afișate în pagina de plată) și să decidem în cunoștință de cauza dacă ne asumăm sau nu riscul continuării efectuării plății. În plus, trebuie să fim conștienți că nicio reglementare sau soluție de securitate nu ne poate proteja împotriva propriei noastre neatenții sau neglijențe, astfel că ar trebui să fim permanent conștienți cui și cum oferim elementele noastre de securitate, să ne ferim de tentativele de phishing care stau la baza celor mai multe fraude în cazul plăților de tip Card-Not-Present.
Trending: plățile online fără card
O altă deschidere PSD2 pe care am dori să o menționăm aici este despre posibilitatea unei noi modalități de plată online bazată pe transferul direct cont la cont, între contul clientului și contul beneficiarului, fără niciun fel de intermediar.
Și voi da aici un exemplu aproape de noi, lansat de curând de start-up-ul partener Smart Fintech, și anume SmartPay, primul serviciu de inițiere a plăților acreditat de BNR sub inițiativa PSD2, care este și o premieră pentru piața din România.
SmartPay se bazează pe o altă inovație impusă de PSD2 în domeniul plăților, anume obligativitatea din partea băncilor de a expune API-uri, interfețe programabile care să permită unor terți autorizați inițierea de plăți cont la cont în numele clienților, evident cu consimțământul acestora. În acest fel SmartPay inițiază transferul direct al fondurilor din contul plătitorului în cel al beneficiarului, fără nevoia de a fi în posesia unui card, fără implicarea rețelelor globale de carduri și a ecosistemului.
Mai putem vorbi aici și de securitatea serviciului, deoarece plata prin SmartPay nu necesită un card, astfel că dispare riscul ca acesta sau datele de pe acesta să ajungă în mâna altcuiva și să devină mijloc de frauda. Apoi, un circuit al informației mai scurt înseamnă mai puține puncte de vulnerabilitate care ar putea fi speculate de eventuali atacatori.
Sumarizând, în loc de concluzii
În încheiere, am dori să reiteram principalele idei: ca deținători de card, reținem că modificarea introdusă de SCA în procesul de autorizare a plăților ne aduce un plus de securitate și poate fi considerată o evoluție firească a plăților și tranzacțiilor online cu cardul. Aceasta, chiar daca poate ni se pare că experiența de cumpărături online a devenit un pic mai greoaie. Oricum, se promite simplificarea procedurii, o dată cu intensificarea colaborării între actorii implicați și progresul sistemelor informatice.
Totodată, în viitorul apropiat vor exista și alte modalități de plată online, fără card de această dată, care promit un nivel de securitate similar, daca nu chiar mai bun.
Referinte
https://www.rapyd.net/blog/credit-card-payment-processing-101/
https://zooz.com/what-is-3d-secure-2-0-and-how-does-it-benefit-merchants/
https://www.rsa.com/en-us/blog/2018-04/3-d-secure-2-what-the-protocol-means-for-merchants
https://www.safecharge.com/blog/everything-you-need-to-know-about-3ds2-psd2-and-sca/
https://www.ecb.europa.eu/pub/cardfraud/html/ecb.cardfraudreport202008~521edb602b.en.html
Comments