Močna avtentikacija strank pri kartičnih plačilih
S 1. 1. 2021 je pri kartičnih plačilih v okviru e-trgovine zahtevana uporaba močne avtentikacije strank. Enotna pravila veljajo za vse ponudnike plačilnih storitev v EU, njihov namen je zmanjševanje goljufij pri plačevanju, cilj pa zagotoviti varnost sredstev uporabnikov in dobro uporabniško izkušnjo pri spletnih plačilih. Prilagoditve so potrebne tako pri imetnikih kartic kot tudi pri spletnih trgovcih, ki morajo omogočati visoko raven varnosti pri uporabi kartičnih plačil.
Nove zahteve za močno avtentikacijo strank pri kartičnih plačilih ureja Delegirana uredba Komisije (EU) 2018/389 z dne 27. novembra 2017 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije (v nadaljevanju: Delegirana uredba). Ta predpisuje zahteve za močno avtentikacijo strank v primerih, kadar plačnik dostopa do svojega plačilnega računa prek spleta, odredi elektronsko plačilno transakcijo ali opravi kakršno koli dejavnost prek kanala na daljavo, ki lahko pomeni tveganje plačilne prevare, goljufije ali druge zlorabe. Ponudniki plačilnih storitev so od 1. 1. 2021 zavezani zagotavljati uporabo močne avtentikacije strank tudi za kartična plačila v okviru e-trgovine. S tem je tudi celovito dosežen namen predmetnih zahtev, na podlagi katerih se zmanjšuje tveganje goljufij pri plačevanju ter zagotavlja varnost sredstev uporabnikov plačilnih storitev.
Ponudniki plačilnih storitev morajo (razen v primeru uporabe z Delegirano uredbo predvidenih izjem) zagotavljati močno avtentikacijo strank z uporabo dveh ali več elementov, ki spadajo v kategorijo znanja uporabnika (nekaj, kar ve samo uporabnik), lastništva uporabnika (nekaj, kar je v izključni lasti uporabnika) in neločljive povezanosti z uporabnikom (nekaj, kar uporabnik je).
Kljub temu, da so nova pravila začela veljati že 14. 9. 2019, so pristojni organi, vključno z Banko Slovenije, zaradi kompleksnosti odnosov med deležniki v predmetni plačilni verigi, ponudnikom plačilnih storitev, ob skrbnem spremljanju izvajanja njihovih načrtov, dovolili dokončanje prehoda na pristope in rešitve močne avtentikacije strank, skladne z Delegirano uredbo, do konca leta 2020 (več o tem).
Ponudniki plačilnih storitev na evropski ravni so v večji meri nova pravila uvedli, vendar pa prehod na dejansko uporabo rešitev močne avtentikacije strank še ni v celoti zaključen. Razlog je tako na strani imetnikov kartic, ki se npr. še niso opremili z ustreznimi aplikacijami ponudnikov plačilnih storitev za zagotovitev močne avtentikacije strank, kot tudi na strani spletnih trgovcev (zlasti tujih), ki spremenjenih varnostnih ukrepov pri odrejanju kartičnih plačil v okviru e-trgovine še niso v celoti privzeli. Banka Slovenije si tudi v tem primeru prizadeva zagotoviti enake pogoje poslovanja (kot veljajo za druge znotraj EU) za slovenske ponudnike plačilnih storitev, ob tem pa jih (še naprej) spodbuja k aktivnemu obveščanju svojih uporabnikov o uvedbi postopkov močne avtentikacije pri izvrševanju kartičnih plačil v okviru e-trgovine.