Poradenství 

Stanovisko EBA: povinnosti v oblasti SCA pro online karetní transakce

Dne 16. října 2019 publikoval Evropský orgán pro bankovnictví („EBA“) své očekávané stanovisko EBA-Op-2019-11 týkající se konečného termínu pro přechod na silné ověření klienta („SCA“) v případě provádění e-commerce karetních transakcí, a to za účelem naplnění požadavků stanovených v Regulačních technických normách týkající se silného ověření klienta („RTS“).

Konečný termín pro přechod na SCA byl v posledních několika měsících poměrně diskutovaným tématem, kdy EBA sama zveřejnila dotazník zaměřený na průzkum požadavků jednotlivých subjektů trhu, přičemž velká část respondentů požadovala odklad pro implementaci SCA řešení v délce 18 měsíců.  Nicméně, jak v rámci stanoviska uvedla sama EBA, požadavek na odklad v této délce souvisí zejména s vývojem další verze autentizačního řešení karetních asociací pro on-line karetní transakce EMV 3D Secure  (konkrétně verze EMV 3D Secure 2.2). EBA ale v tomto kontextu zastává názor, že implementace 3D Secure 2.2 není vyžadována z hlediska řádného provádění SCA při provádění online karetních transakcí, ale především za účelem co nejrozsáhlejšího využívání výjimek z povinnosti provádět SCA.

Odklad za účelem implementace 3D Secure 2.2.?

V této souvislosti se i my domníváme, že odklad za účelem implementace 3D Secure 2.2 by nevedl k očekávanému cíli, kterým má být SCA řešení, které je v souladu s RTS. Aktuální verze 3D Secure 2.1 je totiž postavena na tzv. behaviorální biometrii, která má představovat prvek inherence, nicméně ale neodpovídá požadavkům na tento prvek tak, jak jsou požadovány v rámci čl. 8 RTS (jak potvrdila i EBA ve svém stanovisku z června 2019 k faktorům SCA). V případě verze 2.2 nejsou potom očekávány žádné zásadní změny týkající se základního fungování 3DS protokolu, s výjimkou rozsáhlejší možnosti využívání výjimek z povinnosti provádět SCA. V tomto kontextu tedy nelze očekávat, že by verze 2.2 představovala SCA řešení v souladu s RTS, kvůli jehož implementaci by byl nutný odklad v délce 18 měsíců.

Délka daného období byla dále odůvodňována ze strany respondentů komplexností vztahů mezi různými poskytovateli platebních služeb, platebních bran, obchodníky, spotřebiteli, karetními schématy a dalšími. EBA i zde nicméně dovodila, že daný argument není důvodem pro odklad vymáhání povinností souvisejících s SCA, kdy velká část povinných subjektů by na přechod na SCA mohla nebo měla být připravena již koncem roku 2019, případně počátkem roku 2020.

Časové milníky pro plnění stanoveného migračního plánu

Na druhou stranu EBA uznává, že je zde ospravedlnitelná potřeba delší doby pro přípravu na přechod na SCA, a to i s ohledem na cíle stanovené směrnicí PSD2 a připravenost malých a středních obchodníků, kteří potřebují minimálně 3 až 9 měsíců za účelem implementace SCA řešení.

Za výše uvedených okolností bylo tedy vydáno dotčené stanovisko, kdy EBA nakonec rozhodla, že migrační plány, včetně implementace a testování ze strany obchodníků, musí být dokončeny do 31. prosince 2020.

V této souvislosti EBA zároveň zveřejnila jednotlivé kroky očekávané ze strany národních dohledových orgánů („NCA“) a časové milníky pro tyto kroky, které by měly zajistit, že poskytovatelé platebních služeb plní stanovený migrační plán a evidují postup v rámci procesu přechodu na SCA řešení, která jsou v souladu s RTS.

ČNB se předmětným stanoviskem bude řídit a vyžadovat plnění povinností

Jednotlivé kroky jsou přitom v rámci stanoviska rozděleny dle toho, zda se jedná o kroky vůči vydavatelům platebních prostředků („issuerům“) nebo vůči poskytovatelům acquiringu („acquirerům“). Přehled těchto budoucích kroků NCA a odpovídajících povinností issuerů a acquirerů uvádíme níže.

Vzhledem k dosavadní praxi ČNB lze potom očekávat, že se předmětným stanoviskem bude řídit a vyžadovat plnění povinností tak, jak jsou v něm popsány. Issueři i acquireři mají tedy v tuto chvíli poměrně přesnou představu o svých povinnostech v následujících cca 15 měsících, kdy první krok migračního plánu EBA by měl být splněn do 31. prosince 2019 a definitivním termínem, od kdy budou NCA vyžadovat uplatňování SCA u e-commmerce karetních transakcí, je 1. leden 2021.V tuto chvíli není prozatím jasné, jaká konkrétní SCA řešení si jednotliví poskytovatelé platebních služeb zvolí za účelem plnění svých zákonných povinností. S ohledem na skutečnost, že protokol 3D Secure 2 propagovaný karetními schématy není zřejmě v souladu s RTS regulací (a v případě verze 3DS 2.2 nejsou očekávány žádné zásadní změny), očekáváme, že budou využívána zejména různá out-of-band řešení.

Bude nicméně zajímavé sledovat, jakým způsobem se situace na trhu platebních služeb nakonec vyvine.

Časové milníky v případě issuerů

Do 31. prosince 2019

  • Issueři by měli identifikovat prostředky sloužící k ověření totožnosti klienta, které jsou dostupné pro jejich klienty (v rozdělení na prostředky, které naplňují požadavky na SCA podle RTS a požadavků EBA a ty, které nikoliv).
  • NCA mají obdržet informace ohledně autentizačních řešení a výjimek z povinnosti provádět SCA, které chce issuer využívat. NCA budou zároveň požadovat plány přechodu na SCA ověřování, a to včetně enrollmentu do těchto řešení

14. září 2019 – 13. března 2020

  • NCA budou sbírat informace ohledně připravenosti issuerů za účelem přechodu na SCA řešení, a to zejména informace o

– počtu platebních transakcí, při jejichž provádění bylo vyžádáno SCA, a to vůči celkovému počtu iniciovaných transakcí,
– počtu platebních transakcí, při jejichž provádění byla aplikována výjimka z povinnosti provádět SCA, a to vůči celkovému počtu iniciovaných transakcí,
– počtu provedených platebních transakcí, na něž se nevztahovala povinnost provést SCA, a to vůči celkovému počtu iniciovaných transakcí,
– počtu uživatelů platebních služeb vyzvaných k provedení SCA, a to vůči celkovému počtu uživatelů platebních služeb daného issuera.

30. června 2020 – 30. září 2020

  • NCA budou vyžadovat hlášení postupu v oblasti zavádění SCA řešení za období od 14. března do 13. června 2020, a to včetně změn v oblasti míry podvodů, postupu v oblasti zavádění nových verzí 3DS2 protokolu, apod.

Průběžně

  • NCA budou požadovat, aby issueři informovali uživatele platebních služeb o SCA autentizačních přístupech, které jsou v souladu s RTS, a dále výjimkách z povinnosti provádět SCA a transakcích, na něž se nevztahuje povinnost provádět SCA, které mají v úmyslu nabízet.
  • Za účelem výše uvedeného by v případě potřeby měli issueři provádět vzdělávací kampaně pro uživatele platebních služeb.

Od 14. prosince 2019 každé 3 měsíce

  • NCA budou požadovat informace o komunikaci mezi issuery a uživateli platebních služeb týkající se informování uvedených v rámci bodu 4).

Do 31. prosince 2020

  • Dokončení plánů přechodu ze strany issuerů.
  • EBA vyhotoví report o stavu souladu provádění SCA na základě konsolidovaných informací poskytnutých ze strany národních NCA.

Časové milníky v případě acquirerů

Do 31. prosince 2019

  • Acquireři by měli identifikovat technologie, které umožní issuerům vyžadovat autentizaci uživatele, které jsou v tuto chvíli poskytovány obchodníkům (v rozdělení na technologie, které podporují SCA autentizaci a ty, které nikoliv).
  • NCA budou sbírat informace ohledně plánů acquirerů v souvislosti s odloženým přechodem na technologie podporující SCA, včetně plánovaného přechodu obchodníků provozujících e-shopy na řešení, která podporují SCA, výjimky z povinnosti provádět SCA, případně transakce mimo působnost RTS. V rámci stanoviska jsou uvedeny specifické náležitosti, které by měly dané plány obsahovat, a to zejména jasné cíle související s přechodem, včetně pokroku ohledně

– zavedení technologií, které podporují SCA, výjimky z povinnosti provádět SCA a transakce, na něž se nevztahuje povinnost provádět SCA; a
– implementace výše uvedených technologií ze strany obchodníků.

  • Plány přechodu by měly být založeny na rizikově orientovaném přístupu, který bere v potaz druhy transakcí, obchodníků a míry podvodů.

Do 31. března 2020

  • NCA budou sbírat informace za období od 14. září 2019 do 13. března 2020 ohledně připravenosti acquirerů v rámci naplňování požadavků pro SCA dle RTS. V této souvislosti budou NCA požadovat zejména následující informace:

– počet provedených platebních transakcí, kdy bylo provedeno SCA, a to vůči celkovému počtu transakcí;
– počet provedených platebních transakcí, kdy byla aplikována výjimka z povinnosti provádět SCA, a to vůči celkovému počtu transakcí;
– počet provedených platebních transakcí, na něž se nevztahovala povinnost provést SCA, a to vůči celkovému počtu transakcí
– počet obchodníků provozujících e-shop, kteří podporují SCA, vůči celkovému počtu obchodníků provozujících e-shop, kterým acquirer poskytuje své služby,
– počet obchodníků provozujících e-shop, kteří mají možnost aplikace výjimek z povinnosti provádět SCA, a to vůči celkovému počtu obchodníků provozujících e-shop, kterým acquirer poskytuje své služby,
– počet obchodníků provozujících e-shop, kteří mají možnost provádět transakce, na něž se nevztahuje povinnost provést SCA, a to vůči celkovému počtu obchodníků provozujících e-shop, kterým acquirer poskytuje své služby.

30. června 2020 – 20. září 2020

  • NCA budou požadovat hlášení postupu v oblasti zavádění SCA řešení za období od 14. března do 13. června 2020. Dané hlášení by mělo obsahovat informace uvedené výše pod bodem 3), a to včetně změn v oblasti míry podvodů, postupu v oblasti zavádění nové verze 3DS protokolu, apod.

Průběžně

  • Acquireři mají povinnost informovat obchodníky provozující e-shop, se kterými spolupracují, o potřebných změnách za účelem implementace existujících technologií používaných k provádění SCA, výjimek z povinnosti provádět SCA a platebních transakcí, na které se nevztahuje povinnost provádět SCA.

Periodicky každé 3 měsíce počínaje 14. prosincem 2019

  • Hlášení NCA ohledně plnění informační povinnosti uvedené pod bodem 4) výše.

31. 12. 2020

  • Dokončení plánů přechodu ze strany acquirerů.

Q1 2021

  • EBA vyhotoví report o stavu souladu provádění SCA na základě konsolidovaných informací poskytnutých od národních NCA
SCA RTS

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right