Что необходимо знать о Директиве PSD2 и соблюдении ее нормативно-правовых требований

Когда речь идет о рынке электронных платежей, у финансовых учреждений и поставщиков платежных услуг есть много общего. В частности, обе стороны обеспечивают новую волну онлайн-транзакций и, в свою очередь, подчиняются строгим нормам. Это особенно верно в Европе, где региональная Директива о платежных услугах поднимает планку для строгой аутентификации, открытого банкинга и соблюдения нормативно-правовых требований.

Читайте далее, чтобы понять основы соблюдения нормативно-правовых требований PSD2, почему это важно и что можно сделать, чтобы гарантировать будущий успех своей организации уже сегодня.

PSD2 означает вторую версию Директивы о платежных услугах. Хотя она применяется конкретно к Европейскому союзу (ЕС), общепризнано, что она является особо важной директивой о платежных услугах, которая потенциально может изменить работу банков, платежных систем и аналогичных фирм по всему миру.

В 2007 г. Европейская комиссия приняла первоначальную Директиву о платежных услугах по двум основным причинам:

1. Создать более интегрированный, конкурентоспособный и эффективный европейский рынок платежей.
2. Сделать платежи более безопасными и надежными в цифровую эпоху.

Другими словами, PSD1 была направлена на создание равных условий для всех финансовых учреждений путем поощрения к участию нетрадиционных учреждений. Она позволила новым фирмам, таким как финансово-технологические компании и сторонние поставщики платежных услуг, легче выйти на рынок. Кроме того, она объединила финансовые учреждения в рамках единой нормативно-правовой базы, установив общие правила для всех.

Благодаря PSD1 общественность также получила более высокий уровень прозрачности и больше информации о сборах, обязательствах и правах потребителей. И, поскольку новым поставщикам платежных услуг было легче выйти на рынок, директива предоставила потребителям больше свободы выбора.

Однако со временем Европейский союз признал необходимость обновления и пересмотра PSD1. В 2013 г., сославшись на технологические изменения и растущие проблемы в области безопасности, ЕС официально решил выполнить эту задачу. Три года спустя государства — члены ЕС проголосовали за принятие PSD2, которая должна была вступить в силу в 2018 г. Тем не менее некоторые элементы обновленной директивы PSD2 вводились постепенно, что предоставило финансовым учреждениям время для адаптации.

Основной целью PSD2 вновь было дальнейшее способствование внедрению инноваций, повышению уровня конкуренции и безопасности во всей европейской отрасли платежных услуг.

Кто должен соблюдать нормативно-правовые требования PSD2?

PSD2 предназначена для защиты потребителей во всех государствах-членах ЕС. Таким образом, основное внимание в ней уделяется финансовым учреждениям ЕС, включая платежные системы, банки, брокерские компании, финансово-технологические компании и многое другое.

Однако организации со штаб-квартирами за пределами Европы все равно могут быть обязаны соблюдать нормативно-правовые требования PSD2, если у них есть клиенты или пользователи в регионе. В этом случае у компаний нет выбора, кроме как соблюдать Директиву PSD2, если они осуществляют деятельность в ЕС в настоящее время или планируют делать это в будущем.

На учреждения, которые не выполняют требования PSD2, могут быть наложены штрафы в размере до 4 % от их годового дохода.

Для того чтобы начать выполнять требования PSD2, сначала необходимо понять, как эта Директива фундаментально изменила банковское дело во всем Европейском союзе, в первую очередь путем внедрения «открытого банкинга».

Что такое открытый банкинг?

Открытый банкинг — это процесс, с помощью которого сторонний поставщик финансовых услуг получает открытый доступ к банковским услугам для физических лиц, транзакциям и прочим данным от банков и других финансовых учреждений через интерфейсы прикладного программирования (API). Иными словами, это безопасный обмен финансовой информацией между двумя сторонами. Хотя эта концепция существует уже давно, PSD2 положила начало ее принятию по всей Европе.

Внедрение открытого банкинга помогло PSD2 достичь своей цели — повысить уровень конкуренции, прозрачности и безопасности на рынке. В свою очередь, это привело к появлению двух новых типов поставщиков платежных услуг, деятельность которых регулируется:

1. Операторы инициирования платежей (PISP) позволяют использовать цифровой банкинг для совершения онлайн-платежей. Иными словами, они позволяют оплачивать товары непосредственно со своего банковского счета, а не с помощью кредитной или дебетовой карты через третью сторону. Термин «инициирование платежа» относится к процессу, используемому операторами инициирования платежей для объединения двух счетов с помощью интерфейса, который облегчает транзакцию.
2. Операторы доступа к информации по счетам пользователей (AISP) способствуют сбору и хранению информации по счетам, получаемой с банковских счетов клиента, в одном месте. Благодаря этому потребитель получает единое представление о своих финансах и может легко анализировать расходы. Под категорию операторов доступа к информации по счетам пользователей могут подпадать, например, приложения для составления бюджета и веб-сайты для сравнения цен, поскольку они размещают эти данные на одной информационной панели.

В соответствии с Директивой PSD2 эти две стороны должны запрашивать согласие потребителя, а их деятельность регулируется центральным банком.

Как PSD2 влияет на традиционные финансовые учреждения?

Теперь банки обязаны открывать сторонним поставщикам (TPP) — операторам AISP и PISP — доступ к счетам клиентов при условии, что клиент предоставил разрешение. В свою очередь, основное технологическое требование для соблюдения PSD2 состоит в создании открытых API, которые необходимы TPP для доступа к информации по счетам.

Кроме того, когда речь идет о платежных услугах, потребители имеют больше выбора. Теперь они могут выбрать лучший вариант, удовлетворяющий их потребностям, а значит, банкам придется вести более жесткую конкурентную борьбу в своей сфере деятельности.

Что такое строгая аутентификация потребителей?

В пересмотренной Директиве о платежных услугах также представлена концепция строгой аутентификации клиентов (SCA). Согласно требованию SCA, потребители должны использовать как минимум два типа многофакторной аутентификации (MFA) для осуществления всех платежей. Эти методы подразделяются на три категории:

1. Знание: что-то, что клиент уже знает, например пароль.
2. Неотъемлемое свойство: что-то, что является частью пользователя, например его отпечаток пальца или распознанное лицо.
3. Владение: что-то, что пользователь имеет или может отправить, например одноразовый код.

Требование SCA предназначено для повышения защиты потребителей. Строгая аутентификация, предусматривающая дополнительные меры защиты для доступа пользователя к конфиденциальной финансовой информации, затрудняет мошенничество для злоумышленников.

Стремясь еще раз обновить Директиву о платежных услугах в целях постоянного совершенствования, Европейская комиссия решила повторно оценить ее в 2022 г. В результате оценки был сделан вывод о том, что PSD2 имела ограниченный успех в достижении своих целей. Хотя внедрение строгой аутентификации потребителей существенно способствовало уменьшению случаев мошенничества, возникли новые проблемы.

Для конкретики приводим точную формулировку, представленную Европейской комиссией:

«Появились новые виды мошенничества, борьбу с которыми PSD2 не предусматривает. Например, PSD3 выйдет за рамки PSD2 и будет бороться с новыми видами мошенничества, такими как „спуфинг” (мошенничество с выдачей себя за другое лицо), который стирает различия между несанкционированными и авторизованными транзакциями, поскольку согласие клиента на авторизацию транзакции подвергается методам манипулирования со стороны мошенника, который, например, использует номер телефона или адрес электронной почты банка. Механизмы предотвращения, такие как SCA, до сих пор были недостаточно эффективными для предотвращения такого мошенничества».

Помимо проблем, связанных с безопасностью, Комиссия также обнаружила, что для поставщиков платежных услуг все еще существуют неравные условия. Таким образом, по рекомендации Европейской службы банковского надзора Комиссия решила предложить поправки, которые:

• укрепят стратегии предотвращения мошенничества;
• позволят небанковским поставщикам платежных услуг осуществлять доступ ко всем платежным системам ЕС;
• улучшат функциональность открытого банкинга;
• будут способствовать еще большему улучшению информации для потребителей и прав потребителей;
• будут способствовать увеличению доступности наличных;
• будут способствовать объединению правовых рамок, применимых к электронным деньгам и платежным услугам.

Пока еще не установлены четкие сроки, когда будут окончательно определены нормативно-правовые требования PSD3. Однако если предположить, что пересмотренная директива будет сформулирована к концу 2024 г., у государств — членов ЕС будет 18-месячный переходный период. Это свидетельствует о том, что PSD3 может вступить в силу к концу 2026 г.

Независимо от того, как Директива о платежных услугах может измениться, ее соблюдение остается неизменным требованием, предъявляемым к финансовым учреждениям и поставщикам платежных услуг. Поэтому важно предпринять необходимые меры, чтобы гарантировать будущий успех своей организации и опередить PSD3, особенно когда речь идет о безопасности.

В чем заключается хорошая новость? Существует множество решений, которые помогут превзойти требование SCA и предложить потребителям максимально возможный уровень надежности. Например, с таким партнером, как Entrust, вы можете использовать следующие возможности:

1. Многофакторная аутентификация, устойчивая к фишингу. Разверните надежный набор стратегий аутентификации, включая аутентификацию на основе рисков, сертификатов, а также адаптивную аутентификацию типа «step-up». В сочетании с единым входом (SSO) пользователи получают беспрепятственный, но безопасный доступ к платежным услугам, не пропуская ни секунды. Кроме того, единый вход предотвращает усталость от паролей и их повторное использование, так что вам (и вашим потребителям) обеспечена безопасность.
2. Цифровые сертификаты. Проверенные сертификаты аутентификации веб-сайтов (QWAC) шифруют конфиденциальные данные и идентифицируют поставщиков платежных услуг и финансовые учреждения в соответствии с PSD2. Сертификаты QWAC от Entrust имеют неограниченное количество перевыпусков и лицензий на серверы, что позволяет перевыпускать и устанавливать сертификаты без дополнительных затрат.
3. Анализ транзакционных рисков. В ходе мониторинга транзакций и анализа рисков для совершения транзакций без платежной карты учитываются репутация устройства, адаптивная аутентификация и соответствие протоколу 3-D Secure.
4. Проверка идентификационных данных. Мгновенно проверяйте личности, чтобы улучшить обслуживание клиентов и снизить процент отказов от использования. Решение для проверки подлинности идентификационных данных от компании Entrust поддерживает тысячи государственных документов и несколько уровней повышенной безопасности.
5. Аппаратные модули безопасности (HSM). Аппаратные модули безопасности nShield® компании Entrust создают и хранят ключи подписи и шифрования и облегчают криптографические операции, осуществляемые на сертифицированном защищенном устройстве, чтобы вы могли выдавать сертификаты и шифровать данные, зная, что надежный корень доверия обеспечил защиту.

Директива PSD2 в одинаковой мера важна и трудна в реализации. Тем не менее благодаря линейке решений Entrust для PSD2 и открытого банкинга можно упростить соблюдение нормативно-правовых требований и удовлетворить свои потребности в необходимом масштабе.

Мы предоставляем решения для многофакторной аутентификации и проверки идентификационных данных, цифровые сертификаты и аппаратные модули безопасности, чтобы вы могли обеспечить клиентам максимальную надежность.