Банкеръ Weekly

Иван Станчин, CRISC, старши мениджър "Информационна сигурност" в "УниКредит Булбанк":

Евродирективата PSD2: Нови възможности и нови опасности

Защо се появи PSD2?

Стана много модерно да се говори за евродирективите. Миналата година цялата ни държава се тресе от GDPR 2, а тази ще се тресе от PSD2. Новата директива дава малко повече -  по отношение на клиентските права и на изискванията към банките. Между PSD и PSD2 има малки, но съществени разлики. Едно от нещата е задълбоченото  установяване на идентичност, което дава възможност на трета страна да реализира финансови услуги. Новата директива слага финансовия пазар на нивото на търговски пазар и предоставя възможност за разширяване на чисто финансовите операции на банките. Една от целите е разширяване на обхвата на регулаторната рамка на PSD за покриване на нови услуги и играчи (доставчици на информационни услуги за плащания и сметки), на  допълнителни географски единици и валути. Коригира празнотите в съществуващата правна рамка, за да подобри защитата на клиентите и да подобри прозрачността.

Наред с това насърчава конкуренцията и  иновациите, като намалява бариерите за навлизане на нови доставчици на платежни услуги и доставчици на информационни услуги за онлайн сметки. Това ще даде възможност на доставчиците на платежни услуги да пускат новаторски, сигурни и лесни за използване цифрови платежни услуги и да предоставят на потребителите и търговците на дребно ефективни, удобни и сигурни начини на плащане в Европейския съюз.

PSD2 съдържа 117 статии и обхваща редица платежни услуги. Тези услуги включват:

- разрешаване на депозити и тегления в брой;<!--![endif]--><!--![if-->

<!--[if--><!--[endif]--><!--[if-->- извършване на кредитни преводи, постоянни нареждания, директни дебити;<!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->

- плащания чрез карти или подобни устройства;

<!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->- издаване на платежни инструменти (примери за карти, портфейли) и/или придобиване на платежни операции;<!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->

- парични преводи;<!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->

- услуги за иницииране на плащания; <!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->

- услуги за информация за сметки.<!--![endif]--><!--![if--><!-- --><!--[if--><!--[endif]-->

PSD2 също така предоставя възможности на банките да разширят обхвата си чрез предоставяне на услуги за информация за профили и услуги за иницииране на плащания. Банките могат да предлагат услуги за ПИС на търговците, за да прехвърлят директно средства от клиентските сметки, като дезинтервират картовите схеми. Те имат потенциала да изискват такса за обслужване на тези услуги, което отваря нов поток от приходи. Банките, които вече са въвели модерни банкови решения, а имат и сигурен достъп до API портали и цифрови платформи, ще могат да печелят пари от своите инвестиции, за да предложат допълнителни услуги по PSD2.

За иницииране на плащания или за подписване на покупка се приема, че в приложния програмен интерфейс API винаги трябва да се извършва удостоверяване с първи фактор. Изключенията по строгото потребителско удостоверяване (SCA) по време на процеса на разрешаване са описани по-долу в различните подходи на SCA.

При обработката на строгото (задълбоченото) потребителско удостоверяване (SCA) са предвидени три подхода:

Вграден SCA подход

Свързаните с SCA идентификационни данни се предават от търговец през трети доставчик ТРР чрез специален интерфейс към доставчика на платежна услуга. Този подход на SCA важи само за методите на SCA, при които идентификационните данни на търговец се въвеждат директно и в съответните онлайн канали на доставчика на платежна услуга (ASPSP).

Отделен SCA подход

SCA се обработва на специално приложение за удостоверяване на ASPSP, като се изисква заявка за удостоверяване от ASPSP към това приложение. Този подход на SCA важи само за методите на SCA, при които искането на свързаните заявки за удостоверяване към специалното приложение за удостоверяване се използва и в съответните онлайн канали на ASPSP.

Подход за пренасочване на SCA<!--![endif]--><!--![if--><!--[if--><!--[endif]-->

SCA се обработва директно между потребителя и ASPSP след пренасочване на сесията на Потребител - TPP към ASPSP. Обработката на SCA в този случай се извършва, както в съответните онлайн канали на ASPSP. След обработката на SCA  сесията Потребител - ASPSP отново се пренасочва към интерфейса на Потребител - TPP.

Можем ли и при новата законова рамка да се извършват измами. Твърдо "да" и защитите, които имаме в момента, не могат да ги предотвратят. Можем да защитим клиeнтите, ако имаме рестриктивно законодателство, но тогава излизаме от идеята на PSD2 за свободата на клиента.

За реалните заплахи в търсената функционалност на PSD2 четете в някой от следващите ни броеве.

<!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if--><!--![endif]--><!--![if-->

Facebook logo
Бъдете с нас и във