Izvrševanje kartičnih plačilnih transakcij v okviru e-trgovine: Prehodno obdobje za zahtevo po dodatnem elementu preverjanja avtentičnosti

Začetek veljave zahtev Delegirane uredbe Komisije (EU) 2018/389 na področju močne avtentikacije strank in zagotavljanja dostopa do plačilnih računov ter prehodno obdobje za implementacijo ukrepov za zagotovitev močne avtentikacije strank pri izvrševanju kartičnih plačil v okviru e-trgovine

S 14. 9. 2019 se je začela uporabljati Delegirana uredba Komisije (EU) 2018/389 z dne 27. novembra 2017 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije (RTS). V skladu z RTS so ponudniki plačilnih storitev (banke, plačilne institucije in družbe za izdajo elektronskega denarja) zavezani (med drugim) zagotavljati uporabo močne avtentikacije stranke v primerih, kadar plačnik dostopa do svojega plačilnega računa prek spleta, odredi elektronsko plačilno transakcijo ali opravi kakršno koli dejavnost prek kanala na daljavo, ki lahko pomeni tveganje plačilne prevare, goljufije ali druge zlorabe. Prav tako so v skladu z RTS ponudniki plačilnih storitev, ki vodijo račune, dostopne prek spleta (npr. transakcijski račun, odprt pri banki, ki je dostopen preko elektronske banke), zavezani zagotavljati vsaj en vmesnik, prek katerega lahko ponudniki plačilnih storitev odreditve plačil in zagotavljanja informacij o računih varno dostopajo do plačilnih računov.

Močna avtentikacija stranke se v skladu z RTS izvede z uporabo dveh ali več elementov, ki spadajo v kategorijo znanja uporabnika (nekaj, kar ve samo uporabnik), lastništva uporabnika (nekaj, kar je v izključni lasti uporabnika) in neločljive povezanosti z uporabnikom (nekaj, kar uporabnik je). Pojasnila o primernosti, kombinaciji in neodvisnosti elementov za zagotovitev močne avtentikacije stranke so podana v Mnenju Evropskega bančnega organa z dne 21. 6. 2019.

Na področju izvrševanja kartičnih plačilnih transakcij v okviru e-trgovine je Banka Slovenije, v skladu z navedenim Mnenjem Evropskega bančnega organa, ponudnikom plačilnih storitev s sedežem v Republiki Sloveniji dopustila dokončanje implementacije potrebnih ukrepov za zagotovitev močne avtentikacije stranke v skladu z RTS po 14. 9. 2019 (torej po datumu začetka uporabe RTS, ki se sicer v nobenem primeru ne spreminja). Pri večini tovrstnih plačil v Republiki Sloveniji je namreč avtentikacija stranke izvedena na podlagi podatkov, natisnjenih na sami plačilni kartici (številka kartice, ime in priimek imetnika, veljavnost, varnostna koda), in enkratnega gesla, prejetega prek kratkega tekstovnega sporočila, ki ga stranka prejme na mobilno napravo. Pri tem pa navedeni način avtentikacije ne izpolnjuje zahtev RTS po dveh elementih, saj podatki s plačilne kartice, kadar so vsi odtisnjeni na plačilni kartici, ne predstavljajo nobenega izmed elementov močne avtentikacije stranke. Evropski bančni organ je v Mnenju z dne 16. 10. 2019 določil skrajni končni rok (31. 12. 2020) za implementacijo potrebnih ukrepov za zagotovitev močne avtentikacije stranke pri kartičnih plačilnih transakcijah v okviru e-trgovine. Zadevni rok je potrdila tudi Banka Slovenije, z namenom zagotoviti enake konkurenčne pogoje za vse ponudnike plačilnih storitev v EU.