Что такое Strong Customer Authentication: зачем внедряется и что изменится

Новые правила проведения платежей Евросоюза незаметно коснулись всех. Если вы покупали что-то в Европе или пользовались сервисами любой из европейских стран, то при оплате товара или услуги, могли заметить, что платёжная система просит подтвердить ваш платёж: ввести пароль или отсканировать отпечаток пальца. Небольшое нововведение, которого многие пользователи могли даже не заметить. Зато если вы ведёте бизнес в Европе, предоставляете услуги или что-то продаёте, вам явно пришлось столкнуться с проблемой того, как внедрить SCA и как сделать его красивым, удобным и понятным для клиентов.

SCA — Strong Customer Authentication, строгая проверка покупателя — норма директивы Евросоюза о платёжных услугах на внутреннем рынке. Действие норматива направлено на повышение безопасности платежей в целом, и в сфере электронной коммерции в частности. SCA вступил в силу ещё в 2019 году, но на реализацию технологии давалось несколько отсрочек. Теперь же, в 2023 году, планируется, что в Евросоюзе норматив Strong Customer Authentication развернётся вовсю. Как это отразится на покупках, что изменится для клиентов и что нужно знать предпринимателям — всё это мы разобрали.

Основное о директиве и нормативе

PSD2 (Payment Service Directive 2015/2366) — Платёжная директива Евросоюза. Это свод положений, которые регулируют все платёжные услуги в Европе. Главная задача PSD2 — обеспечить безопасность транзакций пользователей и расширить систему банковских услуг на рынке ЕС. Помимо SCA, директива предусматривает внедрение системы Open Banking — технологии, позволяющей пользователям открывать свои банковские данные сторонним сервисам для более удобной и быстрой оплаты; и 3D Secure — двухфакторной аутентификации во время онлайн-оплаты кредитными/дебетовыми/предоплаченными картами.

PSD2 была принята в 2015 году, и её нормативы пошагово набирали силу. Последним этапом было завершение внедрения Strong Customer Authentication в 2019 году, но после нескольких отсрочек полностью норма заработает лишь в 2022 году.

Strong Customer Authentication — вспомогательный уровень аутентификации пользователей, встроенный в процесс оформления заказа у продавца, покупки товара или проведения любой транзакции. Предприниматели, продавцы, бизнес и провайдеры обязуются добавлять в сценарий оплаты дополнительную верификацию клиента.

Применение SCA, верификация и исключения

SCA используется только при проведении онлайн-платежей. Норматив не затрагивает оплату в физических магазинах и прямое дебетование.

Продавцы обязаны добавлять ещё одну ступень проверки личности покупателей, и если раньше для оплаты можно было ввести данные банковской карты и подтвердить запрос платежа одноразовым паролем, то теперь этого недостаточно. Теперь, кроме этого, пользователь должен сделать одно из действий:

  • ввести стандартный пароль, PIN-код или секретное слово,
  • подтвердить личность, отсканировав отпечаток пальца, лицо или сетчатку глаза,
  • подтвердить ID устройства, с помощью которого проводится платёж.

Для пользователей приложить палец к сканеру или ввести пароль — дело нескольких секунд, но для владельцев бизнеса добавление ещё одной ступени проверки — настоящая головная боль, поэтому многие провайдеры и компании до сих тянут с применением SCA. Чтобы ускорить внедрение новых правил, платёжные организации начали отклонять транзакции, которые не отвечают требованиям. Поэтому продавцам важно, чтоб платежи шли через провайдеров, которые поддерживают SCA.

Из общих правил есть исключения. В основном они касаются повторяющихся платежей и некрупных транзакций:

  • платежи до 30 евро. Небольшие покупки не потребуют подтверждения, но для предупреждения мошенничество серия мелких переводов будет регистрироваться,
  • транзакции с низким уровнем риска до 500 евро. Уровень риска оценивается продавцом и сферой торговли,
  • оплата подписок. Подписки на Netflix, YouTube, Apple Music будут оплачиваться автоматически и незаметно, новые правила ЕС не касаются крупного международного бизнеса,
  • платежи, инициированные продавцом. Если клиенты привязывают свои карты к сервисам, например, в приложениях такси, то оплата будет происходить автоматически и подтверждения требовать не будет,
  • одноразовые платежи. Платежи, в которых одна из сторон находится за пределами ЕС, тоже не подтверждаются,
  • транзакции по почте/по телефону,
  • транзакции с анонимными предоплаченными картами.

Использование SCA через оркестровку платежей

Техническую сторону Strong Customer Authentication обеспечивает протокол безопасности 3D Secure 2.0 (3DS2). Не все владельцы бизнеса готовы разбираться с нововведениями и бороться с отклонёнными транзакциями, потому предпринимателям выгодно сотрудничать с партнёрами по оплате. Такие партнёры берут на себя ответственность за проведение платежей и соблюдение требований или перенаправляют транзакции провайдеру, работающего по условиям SCA.

Быстрое переключение на провайдеров, которые поддерживают SCA и 3DS2, использование исключений из правил Strong Customer Authentication — это способ использования оркестровки платежей для беспрепятственного приёма транзакций. Оркестровкой платежей занимается платёжная система Payoneer, поэтому её сервис Payment Orchestration Platform можно использовать как один из вариантов работы. Оркестровая платформа работает с более чем 100 валютами и 200 странами. Payoneer входит в сеть из 100 глобальных и местных провайдеров платежей, а это позволяет системе масштабировать, унифицировать и оптимизировать настройку и проведение платежей вне зависимости от рынка и региона. В общую систему провайдеров, помимо Payoneer, также входят Bank of America, Google Pay, Alipay, AfterPay, Checkout, Credit Agricole, WeChat Pay и многие другие. Работая с партнёрами, предприниматель может заниматься развитием бизнеса и “перепоручать” сервисам внедрение SCA и вопрос проведения оплаты.

Основные соединения SCA

3DS2

Как мы уже говорили, обеспечивает безопасность SCA протокол 3D Secure 2.0 (3DS2). 3DS2 — это улучшенная версия 3DS1, и именно её стараются использовать провайдеры, поэтому, чтоб как можно быстрее внедрить 3DS2 в обиход, некоторые эмитенты повышают плату за использование 3DS1 или полностью запрещают его. Меры могут показаться достаточно жёсткими, но на их применение есть причина: при правильном использовании 3DS2 снижает уровень отклонений транзакций на 70%, если сравнивать с 3DS1. А так как количество soft-отклонений стало стремительно расти, необходимость в 3DS2 стала ещё более очевидной.

Ещё одно важное преимущество 3DS2: этот протокол анализирует риски гораздо глубже с помощью провайдеров и эмитентов, потому его использование повышает уровень предотвращения мошеннических и нелегальных операций. Проводя работу, 3DS2 проверяет риски большего количества точек данных, сверяет пакеты информации с информацией провайдеров, анализирует исключения из двухфакторной аутентификации, ориентируется на клиента и конкретную операцию. Транзакции с мобильных устройств также более безопасны с 3DS2, чем с 3DS1.

Soft-отклонения

За последние несколько лет количество отклонённых эмитентами и эсквайрами операций на территории ЕС сильно выросло. Связано это со вступлением в силу норм PSD2 в целом, и с развитием SCA в частности. Soft-отклонение показывает, что транзакция была инициирована продавцом без учёта норм SCA, поэтому банк не пропускает транзакцию и отправляет подтверждение аутентификации. Платёж можно отправить заново только с условием мгновенного реагирования продавца или его партнёров, которые занимаются проведением оплаты.

Если проводится одноразовый платёж, инициированный клиентом, продавец, провайдер и эмитент учли требования SCA, но платёж всё равно был отклонён, транзакция пройдёт повторно через 3DS, но уже без участия клиента. Если же платёж повторяемый и инициирован продавцом, то при отклонении транзакции деньги временно заблокируются. Так как клиент не присутствует во время проведения повторяемого платежа, позже ему придётся заново ввести данные своей карты, чтоб запустить 3DS, и подтвердить свою личность в соответствии с условиями Strong Customer Authentication.

Будущее электронной коммерции

Сфера торговли всё активнее цифровизуется. Это позволяет клиентам проще и быстрее покупать товары, а предпринимателям — продавать по всему миру, расширять свой бизнес и продвигаться в интернете, не имея физических точек. Однако новые технологии дают простор для действий мошенникам, и банки, клиенты, платежи становятся уязвимы. Чтобы препятствовать незаконным операциям и обману, вводятся новые правила и усиливается защита. Именно поэтому европейская директива PSD2 и технология 3DS2 так нужны сегодня. Их внедрение на территории ЕС немного меняет привычный ход торговли и добавляет дополнительную ступень защиты. Транзакции дополнительно ускоряются за счёт интеллектуальных исключений из норматива Strong Customer Authentication, которые обеспечивают беспрепятственную автоматическую проверку при сохранении высоких стандартов безопасности. Использование исключений стало ещё проще благодаря оркестровке платежей.