Silne uwierzytelnianie klientów (SCA) – mocniejsza ochrona klienta czy zmora dostawców usług płatniczych?
Z końcem lutego 2017 r. Europejski Urząd Nadzoru Bankowego (dalej: „EUNB”) uchwalił ostateczny projekt regulacyjnych standardów technicznych dotyczący silnego uwierzytelniania klientów oraz bezpiecznej komunikacji (dalej: „Standardy”). Początkowo dokument pojawić się miał z końcem stycznia 2017 r., jednakże ze względu na zbyt rygorystyczne regulacje spotkał się on z silnym sprzeciwem środowiska e-płatności. Dla podmiotów działających na rynku e-płatności Standardy stanowić będą jedno z kluczowych uregulowań wprowadzając obowiązek stosowania instytucji silnego uwierzytelniania w ramach obsługi rachunku płatniczego oraz przeprowadzania transakcji płatniczych.
****
Cel regulacji silnego uwierzytelniania
Zgodnie z motywami Standardów instytucja silnego uwierzytelniania stanowić ma podstawową metodę minimalizacji ryzyka oszustw w zakresie płatności elektronicznych. Jej wykorzystanie stanowić będzie zasadę zawsze, gdy dochodzić będzie do ujawnienia wrażliwych danych płatniczych, tj. danych potrzebnych do sprawdzenia salda rachunku lub historii transakcji płatniczych z ostatnich 90 dni. Z tego też względu korzystanie z procedury silnego uwierzytelniania nie będzie kwestią niezbędną jedynie w zakresie dokonania konkretnej płatności. Użytkownicy usług płatniczych będą mieli z nią do czynienia także w sytuacji uzyskania dostępu do swojego rachunku płatniczego.
Sama procedura uwierzytelniania poza wymogami technicznymi polegającymi na tworzeniu stosownych zabezpieczeń polegać ma również na wprowadzeniu funkcjonowania mechanizmu monitoringu transakcji, który pozwoli na wykrycie nieautoryzowanych lub oszukańczych operacji płatniczych. Tak rozbudowana struktura uwierzytelniania klientów ma za zadanie uściślić ochronę w zakresie działalności elektronicznych metod płatności.
Procedura silnego uwierzytelniania
Na gruncie Standardów zabezpieczenie operacji płatniczych przy użyciu silnego uwierzytelniania przybiera trójelementowy charakter. Wykorzystane środki opierają się na prostej koncepcji – coś co wiesz, coś co masz, coś czym jesteś. Wiedza stanowiąca pierwszą i w zasadzie fundamentalną część procedury uwierzytelniania odwoływać się ma np. do znajomości kodu PIN, potrzebnego do autoryzacji płatności. Posiadanie stanowiące kolejny element silnego uwierzytelniania dotyczy np. wykorzystania procedury potwierdzenia płatności przez posiadany smartfon użytkownika. Z kolei ostatnim, trzecim składnikiem, jest odwołanie się do zabezpieczeń biometrycznych polegających np. na wykorzystaniu odcisku palca użytkownika w ramach wykonywanej przez niego operacji płatniczej.
Zgodnie z ogólnymi założeniami każdy z powyższych składników jest w pełni niezależny od pozostałych, a złamanie jednego z nich nie wywiera żadnych negatywnych konsekwencji względem reszty. Procedura silnego uwierzytelniania klienta oparta ma być na wykorzystaniu minimum dwóch powyższych elementów, które następnie umożliwić mają wygenerowanie specyficznego kodu uwierzytelniającego. Kod ten ma zostać zaakceptowany przez dostawcę usług płatniczych tylko jednokrotnie w ramach uzyskiwania dostępu do konta online, rozpoczęcia transakcji płatniczej lub innej czynności związanej z obsługą konta, która mogłaby prowadzić do powstania ryzyka oszustwa albo innego nadużycia. Wygenerowany kod cechować ma się swoistymi wymogami polegającymi m.in. na niemożliwości jego podrobienia, czy też wygenerowania innego, który mógłby opierać się na tym poprzednim.
Standardy przewidują także podstawowe zasady wykorzystania procedury silnego uwierzytelniania klienta w ramach transakcji płatniczych. Z tego też względu liczba nieudanych prób uwierzytelniania ograniczona została do pięciu. Jeżeli użytkownik w sposób nieskuteczny przeprowadzi pięciokrotnie całą procedurę uwierzytelniania dochodzić ma do czasowego lub trwałego zablokowania elektronicznego instrumentu płatności. Z kolei maksymalny czas pozostawania bez jakiekolwiek aktywności ze strony płatnika na jego koncie online ograniczony został do maksymalnie pięciu minut liczonych od momentu skutecznego ukończenia procedury uwierzytelniania.
Warto także zwrócić uwagę, że Standardy narzucają na dostawców usług płatniczych inne wymogi związane z funkcjonowaniem kodów uwierzytelniających. Jednym z nich jest kwestia dynamicznego łączenia wygenerowanego kodu z kwotą transakcji oraz jej odbiorcą. Standardy bezpośrednio odwołują się także do obowiązku wprowadzenia odpowiednich środków umożliwiających zapewnienie poufności, autentyczności i integralności danych związanych z kwotą operacji płatniczej oraz odbiorcą płatności we wszystkich fazach procedury uwierzytelniania.
Wyjątki od stosowania procedury silnego uwierzytelniania
Standardy za ogólną zasadę przyjęły obowiązek korzystania z procedury silnego uwierzytelniania w celu zapewniania lepszej ochrony podmiotów korzystających z usług płatniczych oraz minimalizacji ryzyka oszustw i innych nadużyć z nimi związanych. Niemniej jednak przewidziany został szereg wyjątków, zgodnie z którym obowiązek ten został zniesiony. Warto jednakże wskazać, że możliwość niekorzystania z procedury silnego uwierzytelniania uzależniona została od innych czynników, które powinny zostać spełnione. Większość przewidzianych zwolnień obwarowana została szczegółowymi wymogami, które stanowić mają warunek konieczny skorzystania z opcji pominięcia procedury.
Po pierwsze, przypadkiem, który nie wymaga korzystania z procedury silnego uwierzytelniania jest transfer płatności w przypadku inicjacji całej operacji przez podmiot będący tą samą osobą fizyczną lub prawną zarówno po stronie płatnika jak i po stronie odbiorcy, a konta w ramach których dokonuje się płatności znajdują się u tego samego dostawcy usług płatniczych.
Po drugie, podobne wyłączenie dotyczy także korzystania z samoobsługowych terminali płatniczych w ramach uiszczania opłaty za transport lub opłaty parkingowej. Przedmiotowe wyjątki odwołują się zatem do aspektów słusznościowych, którymi kierował się projektodawca w ramach przygotowywania Standardów – wprowadził on stosowne wyjątki, gdzie ryzyko nadużyć jest faktycznie niewielkie.
Po trzecie, do zwolnienia z obowiązku korzystania z procedury silnego uwierzytelniania dojdzie także wtedy, gdy w ramach dokonywanych operacji nie będą dostępne wrażliwe dane płatnicze, czyli dane dotyczące salda rachunku oraz historii transakcji z ostatnich 90 dni. Niemniej jednak wyjątek ten nie ma charakteru bezwzględnego, bowiem nie dotyczy sytuacji, w których użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku po raz pierwszy lub od ostatniego wykorzystania procedury silnego uwierzytelniania minęło ponad 90 dni. Zgodnie zatem z regulacją zawartą w Standardach obowiązek skorzystania z instytucji silnego uwierzytelniania powracać będzie każdorazowo minimum raz na 90 dni w ramach korzystania ze swojego rachunku płatniczego przez użytkownika.
Po czwarte, w ramach Standardów poruszono także bardzo istotną kwestię zwolnień z obowiązku silnego uwierzytelniania podczas dokonywania tzw. transakcji o niskiej wartości. W tym przypadku zwolnione od obowiązku korzystania z procedury będą wszelkie transakcje opiewające na kwotę niższą niż 30 euro. Warto zauważyć, że limit ten obowiązywać będzie także w przypadku kilku następujących po sobie transakcji płatniczych, jednakże ich łączna wartość nie może przewyższać 100 euro, a suma wszystkich operacji przekraczać 5 transakcji, na dzień. Podobne uregulowanie znalazło swoje odzwierciedlenie w kontekście zbliżeniowych płatności elektronicznych. Maksymalna kwota podczas operacji zwolnionej od obowiązku stosowania procedury silnego uwierzytelniania nie może przekraczać kwoty 50 euro, a kwota łącznych, występujących konsekwentnie po sobie transakcji wynosić ponad 150 euro lub przekraczać 5 operacji.
Analiza ryzyka transakcji a obowiązek silnego uwierzytelniania
Standardy poza obowiązkiem stosowania procedury silnego uwierzytelniania odwołują się także do potrzeby prowadzenia przez dostawców usług płatniczych mechanizmu monitoringu transakcji, którego zadaniem jest zapewnienie wykrywania nieautoryzowanych albo oszukańczych transakcji płatniczych. Mechanizm monitorowania transakcji ze swego założenia powinien być oparty na analizie transakcji płatniczych uwzględniając elementy typowe dla przeciętnego użytkownika usług płatniczych. Powinien on ponadto brać pod uwagę takie czynniki jak np. kwotę transakcji, listę zagrożonych lub ukradzionych składników uwierzytelniania, prawdopodobne scenariusze oszustwa, czy także oznaki infekcji złośliwym oprogramowaniem w ramach procedury uwierzytelniania.
Poza powyższymi wymogami mechanizm monitoringu transakcji obwarowany został dodatkowymi wymogami w przypadku podmiotów zwolnionych z obowiązku stosowania procedury silnego uwierzytelniania, ze względu na uznanie tego podmiotu za stwarzającego niski poziom ryzyka w ramach przeprowadzanych analiz ryzyka transakcji. Standardy określają szczególne warunki w ramach tworzenia analiz ryzyka transakcji wprowadzając m.in. trójstopniowy referencyjny wskaźnik transakcji oszukańczych. Podmioty mieszczące się w ramach konkretnych kategorii uznane za potencjalnie bezpieczne ze względu na niski wskaźnik oszustw mogą uzyskać prawo do zwolnienia z obowiązku silnego uwierzytelniania nawet w przypadku transakcji do kwoty 500 euro. Niemniej jednak zwolnienie z obowiązku stosowania procedury silnego uwierzytelniania w stosunku do podmiotów korzystających z analizy ryzyka transakcji uzależnione zostało od wielu innych czynników odwołujących się np. do analiz nietypowych lokalizacji płatnika lub analizy lokalizacji odbiorcy płatności, która nie wiążę się z dużym ryzykiem.
****
W artykule odwołano się jedynie do najistotniejszych postanowień zawartych w Standardach, które regulują kwestię silnego uwierzytelniania klientów i zwolnień od tego obowiązku. Możliwe jest dostrzeżenie, że nowa regulacja wprowadza istotne zmiany mające na celu zwiększenie ochrony użytkowników usług płatniczych, bez pozbawiania ich wygody i szybkości e-płatności. Ostateczne uchwalenie Standardów wiązać się będzie z obowiązkiem praktycznego dostosowania wielu mechanizmów wykorzystywanych obecnie przez dostawców usług płatniczych.
Pozytywnie należy ocenić chociażby zwolnienie z obowiązku silnego uwierzytelniania w zakresie podmiotów, które posiadają niski wskaźnik ryzyka w ramach prowadzonej przez siebie działalności. Taka regulacja powinna sprzyjać mobilizacji intensyfikacji środków ochrony ze strony dostawców usług płatniczych, którzy chętnie korzystaliby z możliwości odstąpienia od procedury silnego uwierzytelniania w ramach obsługiwanych transakcji.