SCA, czyli Strong Customer Authentication to – tłumacząc z angielskiego – silne uwierzytelnianie klienta. Od połowy września – zgodnie z dyrektywą unijną – będzie obowiązkowe w usługach płatniczych. Co oznacza to dla branży e-commerce, sklepów internetowych i dostaw kurierskich?
SCA wchodzi w życie 14 września 2019 r. Wymóg silnego uwierzytelniania klienta nakłada nowa dyrektywa unijna o usługach płatniczych. PSD2 – tak nazywa się wspomniany wymóg – ma podwyższyć stopień zabezpieczeń transakcji wykonywanych przez internet. Unia Europejska reaguje tą dyrektywą na dynamiczny rozwój branży e-commerce, ale i coraz większe zagrożenia związane z kwestią płatności przez internet. Kluczowym elementem zmienionej dyrektywy jest SCA – wprowadzenie mechanizmów silnego uwierzytelniania klienta. Ma to ograniczyć liczbę oszustw generowanych przy okazji transakcji online poprzedzających przesyłki kurierskie.
Jak SCA zmieni sprzedaż przez internet?
Według założeń unijnych, silniejsze uwierzytelnianie klienta ma być realizowane w oparciu o przynajmniej dwa z trzech fundamentalnych czynników. Co wlicza się do tej swoistej podstawy jakiejkolwiek aktywności e-commerce?
Przede wszystkim to – nazwijmy roboczo – “wiedza tajemna”. Coś, co zna tylko klient – przede wszystkim hasło, ale też np. odpowiedź pomocnicza do weryfikacji w sytuacji, gdy odbiorca go zapomni. Drugim elementem podstawowym jest – tu znów robocza nazwa – “coś własnego”. Pod tym określeniem kryje się element identyfikujący. Może to być skan twarzy – jak np. w modelach smartfonów – ale też chociażby odcisk palca czy inny format identyfikacji “cielesnej”. Ostatni element potwierdzenia i uwierzytelnienia tożsamości w sklepie internetowym stanowić będzie własne urządzenie mobilne. W założeniach jest ono swoistym przedłużeniem każdego z nas i może być używane jako narzędzie do potwierdzenia danej osoby.
Działanie SCA a zakup/ sprzedaż w sklepie internetowym
Według założeń nowej dyrektywy, wszystkie płatności kartą wymagać będą układu 3DS. Wyklucza to w praktyce szybkie transakcje – poprzez jedno kliknięcie, poprzez obciążenie cykliczne czy w inny łatwy sposób.
Tyle teoria; praktyka – na szczęście – nie jest aż tak rygorystyczna. Gdyby bowiem trzymać się bezwzględnie zasady uwierzytelniania, sklepy internetowe miałyby realny problem. Klienci mogliby czuć się zniechęceni do e-zakupów przez nadmiar formalności. To także kwestia świadomości. Nie wszyscy wiedzą, na co zwrócić uwagę kupując w sklepie internetowym.
Stąd wyjątki od reguły. Silne uwierzytelnianie w sklepie internetowym nie będzie potrzebne przy zakupach o relatywnie niskiej wartości. To kwoty poniżej 30 Euro przy pięciu kolejnych e-zakupach. Jeśli jednak wartość transakcji przy użyciu jednej karty przekroczy w ciągu doby 100 Euro, mechanizm uwierzytelniania zostanie uruchomiony.
Wyjątkiem będą też tzw. transakcje niskiego ryzyka. Np. według systemu PayU to należą do nich te, które są weryfikowane przez centrum rozliczeniowe w czasie rzeczywistym oraz zatwierdzane przez wydawcę karty – a więc bank – indywidualnie dla każdego przypadku.
Do wyjątków zalicza się też subskrypcja – płatność cykliczna o tej samej wartości. Kluczowa jest tu pierwsza transakcja. Ona wymaga uwierzytelnienia. Kolejne – już nie.
Kolejny krok ku e-bezpieczeństwu
Wprowadzany system 3D Secure nie jest rozwiązaniem nowym. Podwyższone uwierzytelnianie obowiązuje już od lat. Teraz jego założenia zostają zmodyfikowane – głównie z myślą o korzystaniu z urządzeń mobilnych. Widać również ukierunkowanie, by – wobec coraz wyższych transakcji – zabezpieczyć e-klienta i sklepy internetowe, ale jednocześnie usprawnić procesy weryfikacyjne.