Obavijest o početku primjene povećanih sigurnosnih zahtjeva pri iniciranju i obradi elektroničkih plaćanja (tzv. pouzdana autentifikacija klijenta)

Objavljeno: 3.1.2020.

Direktiva o platnim uslugama (PSD2) stupila je na snagu početkom 2018. i prenesena je u hrvatsko zakonodavstvo Zakonom o platnom prometu u srpnju 2018. godine. Nekoliko odredbi direktive i pripadajući regulatorni tehnički standardi, sadržani u Delegiranoj uredbi Komisije (EU) 2018/389 od 27. studenoga 2017. o dopuni Direktive (EU) 2015/2366 u pogledu regulatornih tehničkih standarda za pouzdanu autentifikaciju klijenata i zajedničke i sigurne otvorene standarde komunikacije (Uredba RTS), primjenjuju se u državama članicama Europske unije od 14. rujna 2019. Uredbom RTS definiraju se, između ostaloga, povećani sigurnosni zahtjevi za iniciranje i obradu elektroničkih plaćanja (tzv. pouzdana autentifikacija klijenta) za banke i ostale pružatelje platnih usluga (institucije za platni promet i institucije za elektronički novac).

Autentifikacija je postupak kojim se pružatelji platnih usluga koriste kako bi potvrdili identitet korisnika. Namjena je da banka ili drugi pružatelj platnih usluga zna da je osoba koja traži pristup računu ili pokušava inicirati plaćanje doista vlasnik računa ili osoba koju je vlasnik računa ovlastio za te radnje. Novi zahtjevi koje uvodi Uredba RTS obvezuju pružatelje platnih usluga na primjenu još pouzdanijih postupaka autentifikacije klijenta koji inicira elektroničku platnu transakciju ili koji pristupa svojem računu s udaljenosti (korištenjem internetskog ili mobilnog bankarstva, kartičnim plaćanjem u web-trgovini i slično).

S obzirom na to da su pružatelji platnih usluga u Republici Hrvatskoj i prije bili obvezni primjenjivati visoke standarde sigurnosti pri internetskim plaćanjima, za hrvatske korisnike neće doći do većih promjena. Ponekad će to značiti obavljanje nekih dodatnih radnji vezanih uz autorizaciju, pogotovo na inozemnim web-trgovinama koje su do sada primjenjivale različite prakse.

Odredbe Uredbe RTS u cijelosti su usmjerene prema smanjenju prijevarnih radnji, odnosno prema povećanju razine sigurnosti plaćanja koja obavljaju korisnici. Tako navedena Uredba zahtijeva postupak pouzdane autentifikacije klijenta pri svakoj elektroničkoj platnoj transakciji kao što su kartično plaćanje (na fizičkom prodajnom mjestu i u web-trgovini), kreditni transfer i drugo plaćanje koje je inicirano i izvršeno na način koji uključuje korištenje elektroničke platforme ili uređaja. Međutim, pri platnim transakcijama kod kojih je korisničko iskustvo ključno i specifično, a koje su se u praksi pokazale kao niskorizične, pružatelji platnih usluga moći će primjenjivati jednostavnije oblike autentifikacije korisnika bez korištenja PIN-a, primjerice pri plaćanju malih iznosa, beskontaktnom plaćanju manjih iznosa, plaćanju cestarine na samoposlužnom uređaju i slično.

Kod beskontaktnih plaćanja korisnik treba biti pouzdano autentificiran nakon svake pete beskontaktne transakcije ili nakon akumuliranog iznosa malih plaćanja koji pružatelj platnih usluga prethodno odredi, a koji ne može iznositi više od 150,00 eura preračunato u kune, neovisno o tome radi li se o nacionalnom ili prekograničnom plaćanju. Naravno, ako je u međuvremenu izvršena pouzdana autentifikacija klijenta pri nekoj drugoj transakciji, na primjer kod podizanja gotovog novca na bankomatu unosom PIN-a ili autorizacije PIN-om neke veće transakcije na POS terminalu, brojenje beskontaktnih transakcija kreće ponovno od početka. Bez obzira na navedena pravila, korisnik uvijek može izvršiti "kontaktno" plaćanje unosom PIN-a ili drugog ugovorenog načina autorizacije.

Uredba RTS propisuje povećana pravila sigurnosti autorizacije i debitnih i kreditnih platnih kartica s namjerom da se omogući prelazak s fizičkog potpisa na sofisticiranije i sigurnije metode autorizacije kartičnih plaćanja, poput PIN-a i biometrije, bez obzira na vrstu kartice. Radi se o složenijoj migraciji koja zahtijeva fizičku zamjenu platnih kartica, ali i prilagodbu u cijelom lancu sudionika u procesu kartičnog plaćanja od trgovaca do izdavatelja platnih kartica.

Izdavatelji platnih kartica dužni su obavijestiti svoje korisnike o svim karakteristikama i funkcionalnostima platnih kartica, uključujući funkcionalnosti i uvjete korištenja beskontaktne tehnologije. Isto tako, i prihvatitelji platnih kartica dužni su o svim relevantnim informacijama obavijestiti svoje ugovorne partnere trgovce.

Primjena Uredbe RTS na razini EU-a prepoznata je kao izuzetno zahtjevna aktivnost te je i prije 14. rujna 2019. procijenjeno kako postoji mogućnost da unutar bankovne industrije EU-a dio tržišta neće moći na vrijeme zadovoljiti dio odredbi o povećanoj razini sigurnosti, s naglaskom na plaćanja platnim karticama u web-trgovinama. Kako bi se izbjegla situacija nejednakih praksi na području EU-a i eventualni slučajevi odbijanja kartičnih transakcija zbog različitih praksi i stupnja pripremljenosti u državama članicama, s naglaskom na prekogranične transakcije, nadležno europsko regulatorno tijelo (engl. European Banking Authority – EBA) ostavilo je mogućnost za "fleksibilniji pristup" nadležnih tijela u državama članicama kako bi se omogućilo dodatno vrijeme za potpunu migraciju koja može obuhvaćati nadogradnju sustava autentifikacije, prilagodbu POS terminala i slično. U dokumentu Opinion of the European Banking Authority on the deadline for the migration to SCA for e-commerce card-based payment transactions koji je objavljen na internetskoj stranici EBA-e, kao konačan datum za potpunu migraciju na pouzdanu autentifikaciju klijenta određen je 31. prosinca 2020.

Proces migracije na pouzdanu autentifikaciju pod nadzorom je europskih i nacionalnih nadležnih tijela, uključujući i Hrvatsku narodnu banku. Ono čemu europski regulator i sva nacionalna nadležna tijela teže jest zajednički pristup sa što manje neizvjesnosti za sudionike bilo da se radi o plaćanjima karticama na fizičkim prodajnim mjestima (engl. card present) ili plaćanjima karticama s udaljenosti (engl. card not present).

Hrvatska narodna banka postupa u skladu s preporukama nadležnih regulatornih tijela, s osnovnim ciljem eliminiranja rizika da se korisnici platnih usluga nađu u situaciji da im elektronička plaćanja budu odbijena. HNB je obavijestio pružatelje platnih usluga o krajnjim rokovima za prilagodbu, svojim očekivanjima dinamike prilagodbe kao i načinu praćenja provedbe prilagodbi. Pružatelji platnih usluga dužni su tijekom prijelaznog razdoblja prilagodbe, u uskoj međusobnoj suradnji, spriječiti situacije odbijanja transakcija zbog različite dinamike provedenih aktivnosti te omogućiti sigurno i stabilno izvršavanje elektroničkih platnih transakcija.