ΟΔΗΓIΑ ΥΠΗΡΕΣΙΩΝ ΠΛΗΡΩΜΩΝ 2

Η Ευρωπαϊκή Οδηγία (ΕΕ) 2015/2366 αφορά τη ρύθμιση των υπηρεσιών πληρωμών στην Ευρωπαϊκή αγορά, ευρέως γνωστή ως PSD2. Η ημερομηνία συμμόρφωσης των Κρατών-Μελών με την ως άνω Οδηγία είναι η 13η Ιανουαρίου 2018.
Σκοπός της Οδηγίας είναι η παροχή της νομικής βάσης για την περαιτέρω ανάπτυξη μιας ενοποιημένης εσωτερικής αγοράς για τις πληρωμές εντός της Ευρωπαϊκής Ένωσης, καθιστώντας τις εξίσου απλές, αποτελεσματικές, ασφαλείς και διαφανείς.

Το 2015, η ΕΕ υιοθέτησε νέα οδηγία για τις υπηρεσίες πληρωμών η οποία ονομάζεται (PSD 2). Στόχος της οδηγίας αυτής είναι να βελτιώσει τους υφιστάμενους κανόνες ηλεκτρονικών πληρωμών και να συμπεριλάβει στους κανόνες αυτούς τις νέες υπηρεσίες ψηφιακών πληρωμών. Η οδηγία τέθηκε σε ισχύ τον Ιανουάριο του 2018 και περιλαμβάνει τις εξής διατάξεις:

• Να γίνει ευκολότερη και ασφαλέστερη η χρήση του διαδικτύου για υπηρεσίες πληρωμών.
• Περισσότερη προστασία των καταναλωτών σε θέματα απάτης, κατάχρησης και προβλημάτικής πληρωμής.
• Προώθηση καινοτόμων υπηρεσιών πληρωμής μέσω κινητού και διαδικτύου.
• Αύξηση των δικαιωμάτων των καταναλωτών.
• Ενίσχυση του ρόλου της Ευρωπαικής Αρχής Τραπεζών για το συντονισμό των εποτπικών Αρχών στο σχεδιασμό των νέων τεχνικών προτύπων.

Η αναθεωρημένη οδηγία για τις υπηρεσίες πληρωμών εφαρμόζεται σε κάθε πληρωμή στην οποία η εκδότρια τράπεζα της κάρτας και ο επεξεργαστής της συγκεκριμένης συναλλαγής βρίσκονται εντός του Ευρωπαϊκού Οικονομικού Χώρου.

Το PSD2 επηρεάζει ουσιαστικά όλους που ζουν ή εργάζονται σε χώρες της ΕΕ. Εάν συμμετέχετε στην αγορά και πώληση αγαθών και υπηρεσιών στην ΕΕ, το P2D2 σας επηρεάζει. Εάν πραγματοποιήσετε πληρωμή, λάβετε πληρωμή ή συμμετέχετε με οποιονδήποτε τρόπο στις πληρωμές λιανικής, το P2D2 στοχεύει να καταστήσει αυτές τις διαδικασίες διαφανείς και ασφαλείς.
Οι καταναλωτές, τα χρηματοπιστωτικά ιδρύματα και η βιομηχανία πληρωμών που τους δεσμεύει επηρεάζονται από το PSD2. Η νομοθεσία PSD2 καθορίζει τα δικαιώματα και τις ευθύνες των ομάδων που περιλαμβάνουν:

• Πάροχοι υπηρεσιών πληρωμών τρίτων μερών (TPP).
• Παροχείς υπηρεσιών εκκίνησης πληρωμών (PISP).
• Συγκεντρωτές και πάροχοι υπηρεσιών πληροφοριών λογαριασμών (AISP).

Ένα από τα κύρια σημεία του PSD2 είναι ότι θα καταστεί υποχρεωτικό για τους εμπόρους να ταυτοποιούν όλες τις συναλλαγές με τους κατόχους καρτών. Ένας τρόπος για την εκπλήρωση αυτού του κριτηρίου είναι η εφαρμογή του πρωτοκόλλου του EMV 3D Secure.
Το EMV 3D Secure είναι η νεότερη έκδοση του πρωτοκόλλου 3D Secure v1, που δημιουργήθηκε από την EMVco, εταιρεία που ανήκει από κοινού σε Visa, Mastercard, American Express, Discover, JCB και Union Pay.

Το EMV 3D Secure χρησιμοποιεί περισσότερα συμπληρωματικά δεδομένα σε σχέση με τις προηγούμενες εκδόσεις του 3D Secure, γεγονός που οδηγεί στα ακόλουθα πρόσθετα πλεονεκτήματα:

• Είναι σε θέση να ανταλλάξει 10 φορές περισσότερα δεδομένα από το 3DS 1.0 και δημιουργεί πιο ενημερωμένες ταυτοποιήσεις και εξουδιοδοτήσεις συναλλαγών.
• Πολλές συναλλαγές δε χρειάζονται ισχυρή ταυτοποποίηση, λόγω της αυτοματοποιημένης ανάλυσης ρίσκου που γίνεται από το EMV 3D Secure.
• Βελτίωση του χρόνου επεξεργασίας συναλλαγών.
• Ενεργοποίηση προηγμένων μεθόδων ελέγχου ταυτότητας, όπως η χρήση βιομετρικών στοιχείων τουυ κατόχου κάρτας, για ισχυρότερο έλεγχο ταυτόποίησης δύο παραγόντων.
• Υποστήριξη νέων μεθόδων πληρωμής σε οποιαδήποτε συσκευή, όπως πληρωμές εντός εφαρμογής και κινητής τηλεφωνίας.
• Υποστήριξη πρόσθετων μεθόδων πληρωμής όπως τα ηλεκτρονικά πορτοφόλια και τις ηλεκτρονικές πληρωμές χωρίς κάρτα.

Η αυστηρή εξακρίβωση της ταυτότητας του πελάτη (SCA) ορίζεται ως “εξακρίβωση ταυτότητας βασισμένη στη χρήση δύο ή περισσότερων στοιχείων που κατηγοριοποιούνται ως γνώση (κάτι που γνωρίζει μόνο ο χρήστης), κατοχή (κάτι που μόνο ο χρήστης διαθέτει) και εγγενή συμπεριφορά (κάτι που είναι ο χρήστης). Αυτά πρέπει να είναι ανεξάρτητα το ένα από το άλλο, καθώς η παραβίαση ενός δεν διακυβεύει την αξιοπιστία των άλλων και έχει σχεδιαστεί με τέτοιο τρόπο ώστε να προστατεύει την εμπιστευτικότητα των στοιχείων εξακρίβωσης ταυτότητας”.
Με τη γενική στροφή προς τις διαδικτυακές υπηρεσίες, υπάρχει μεγαλύτερη ανάγκη να πιστοποιείται η ταυτότητα των χρηστών κατά τις συναλλαγές και τις τραπεζικές δραστηριότητες, προκειμένου:

• Να μειωθούν τις δυνατότητες ηλεκτρονικής απάτης.
• Να μειωθεί το κόστος επεξεργασίας δόλιων συναλλαγών.
• Να αυξηθεί η εμπιστοσύνη των κατόχων κάρτας στη χρήση των ηλεκτρονικών υπηρεσιών.
• Να τηρούνται οι διεθνείς κανονισμοί όπως το PCI-DSS και φυσικά το PSD2.

Η δυναμική σύνδεση είναι άλλη μια έννοια που αποτελεί μια νέα απαίτηση του PSD2. Αυτό συνεπάγει τη δυναμική σύνδεση διακριτικών ελέγχου ταυτότητας με το συγκεκριμένο ποσό πληρωμής και τον συγκεκριμένο δικαιούχο της συναλλαγής.
Σε περίπτωση αλλαγών στο ποσό πληρωμής ή στον δικαιούχο πληρωμής, το διακριτικό ελέγχου ταυτότητας δεν θα είναι πλέον έγκυρο και πρέπει να δημιουργηθεί και να χρησιμοποιηθεί ένα νέο. Η συμπερίληψη τέτοιων στοιχείων δυναμικής σύνδεσης στο SCA προσθέτει ένα νέο επίπεδο επαλήθευσης πέραν των απαιτούμενων οδηγιών.

Θα απαιτείται ισχυρή ταυτοποίηση συναλλαγών SCA για συναλλαγές με κάρτες στις οποίες η εκδότρια τράπεζα και πάροχος πληρωμής βρίσκονται εντος Ευρωπαϊκού Οικονομικού Χώρου.
Οι χώρες που περιλαμβάνονται στον ΕΟΧ είναι: Αυστρία, Βέλγιο, Βουλγαρία, Κροατία, Κυπριακή Δημοκρατία, Τσεχική Δημοκρατία, Δανία, Εσθονία, Φινλανδία, Γαλλία, Γερμανία, Ελλάδα, Ουγγαρία, Ισλανδία, Ιρλανδία, Ιταλία, Λετονία, Λιχτενστάιν, Λιθουανία, Λουξεμβούργο, Μάλτα, Κάτω Χώρες, Νορβηγία, Πολωνία, Πορτογαλία, Ρουμανία, Σλοβακία, Σλοβενία, Ισπανία, Σουηδία και Ηνωμένο Βασίλειο.

Η ισχυρή ταυτοποίηση πελάτη (SCA) απαιτεί από τους καταναλωτές να χρησιμοποιούν τον έλεγχο ταυτοποίησης δύο παραγόντων για να πραγματοποιήσουν μια ηλεκτρονική πληρωμή. Ωστόσο, δεν χρειάζεται να εφαρμοστεί σε όλες τις συναλλαγές. Συγκεκριμένες συναλλαγές θεωρούνται ότι δεν εμπίπτουν στο πεδίο εφαρμογής Ισχυρής ταυτοποίησης και μπορούν να εξαιρεθούν. Επίσης μπορούν να εξαιρεθούν και συναλλαγές που εμπίμπτουν στο πεδίο εφαρμογής Ισχυρής ταυτοποίησης βάση κάποιων παραμέτρων. Πιο κάτω φαίνονται οι σχετικές εξαιρέσεις.

Συναλλαγές που δεν εμπίπτουν στο πεδίο εφαρμογής Ισχυρής ταυτοποίησης και μπορούν να εξαιρεθούν:

• Συναλλαγές που πραγματοποιούνται από εμπόρους για τους πελάτες τους: Όταν ο κάτοχος κάρτας έχει συμφωνήσει από προηγούμένως με τον έμπορα για μελλοντικές χρεώσεις στη κάρτα του. Η πρώτη συναλλαγή πρέπει πάντα να γίνεται με ισχυρή ταυτοποίηση. (π.χ πληρωμές λογαριασμών κοινής ωφελείας).
• Συναλλαγές μέσω τηλεφώνου ή αλληλογραφίας: οι συναλλαγές πραγματοποιούνται εξ αποστάσεως, από το τηλέφωνο ή με διαφόρους άλλους τύπους αλληλογραφίας.
• Συναλλαγές από κάρτες ή πάροχους πληρωμών εκτός Ευρωπαϊκού Οικονομικού Χώρου.
• Ανώνυμες συναλλαγές: Δε χρειάζεται Ισχυρή ταυτοποίηση για τέτοιου τύπου συναλλαγές αφού οι κάρτες είναι ανώνυμες. (π.χ. δωροκάρτες)

Συναλλαγές που εμπίπτουν στο πεδίο εφαρμογής Ισχυρής ταυτοποίησης και μπορούν να εξαιρεθούν:

• Ανάλυση ρίσκου συναλλαγών: Συναλλαγές μπορούν να εξαιρεθούν εάν βάση της αυτοματοποιημένης αξιολόγησης θεωρηθούν χαμηλού ρίσκου.
• Συναλλαγές μικρής αξίας: Συναλλαγές κάτω από €30 μπορούν να εξαιρεθούν από την Ισχυρή ταυτοποίηση πελάτη.
• Έμπιστοι δικαιούχοι: Οι κάτοχοι καρτών μπορούν να προσθέσουν εμπόρους σε μια λίστα έμπιστων δικαιούχων, και να εξαιρούνται από την Ισχυρή ταυτοποίηση. Η πρώτη συναλλαγή πρέπει πάντα να γίνεται με ισχυρή ταυτοποίηση.
• Εταιρικές πληρωμές: Συναλλαγές που γίνονται με συγκεκριμένες εταιρικές κάρτες και αφορούν εταιρικές συναλλαγές δύναται να εξαιρεθούν από την Ισχυρή Ταυτοποίηση.