S 14. septembrom 2019 bodo začele veljati spremembe zakonodaje glede plačilnih storitev, ki bodo vplivale na poslovanje številnih ponudnikov storitev, med drugimi hotelirjev in spletnih trgovcev. Če slednji v procesu spletnih plačil ne bodo vzpostavili ustreznih (strožjih) rešitev za preverjanje istovetnosti plačnika, bo banka plačnika lahko zavrnila plačilo.
Z navedenim datumom bodo v Sloveniji (in celotni EU) začele veljati spremembe, ki jih prinašajo Direktiva EU 2015/2366 o plačilnih storitvah na notranjem trgu (PSD2) ter na njeni podlagi sprejeta Delegirana Uredba Komisije EU 2018/389, pa tudi slovenski Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS št. 7/18 in 9/18, ZPlaSSIED). Glavni cilj sprememb je zagotavljanje večje varnosti pred zlorabami pri plačevanju na daljavo na način, da se povečujejo zahteve v zvezi s preverjanjem istovetnosti (avtentikacije) strank.
).
Ukrep SCA zahteva avtentikacijo stranke na način, da se hkrati preveri vsaj dva od naslednjih treh elementov: (i) znanje uporabnika (nekaj, kar ve samo uporabnik; npr. enkratno geslo, poslano na telefon uporabnika), (ii) lastništvo uporabnika (nekaj, kar je v izključni lasti uporabnika, npr. njegov telefon); in (iii) neločljivo povezanost z uporabnikom (nekaj, kar uporabnik je; npr. biometrični podatki, kot so prstni odtis, obraz ipd.).
Ukrep SCA bo treba izvesti v vseh primerih, ko bo šlo za transakcijo, kjer imata tako banka plačnika kot tudi banka prejemnika plačila sedež v eni od držav članic EU, in kadar bo plačnik dostopal do svojega plačilnega računa prek interneta, ali odredil elektronsko plačilno transakcijo, ali opravil kakršno koli dejavnost prek kanala na daljavo, pri katerem obstaja tveganje plačilne prevare ali goljufije. Pri tem pa zakonodaja predvideva tudi določene izjeme, ki ponudnikom plačilnih storitev dovoljujejo odločitev, da ne bodo opravili SCA.
V praksi se bo zahteva po močni avtentikaciji strank odražala predvsem tako,
da ne bo več zadostovalo, da bo spletni trgovec zgolj pridobil podatke o plačilni kartici kupca (in jo naknadno sam bremenil),
ampak bo za izvršitev plačila moral izvesti še ukrep močne avtentikacije stranke. Tak način (vsaj) dvofazne avtentikacije npr. že sedaj poteka prek sistema 3D Secure (npr. s pošiljanjem enkratne SMS-kode na mobilni telefon plačnika).
Ne glede na to, da bodo organi nadzora v prvi fazi preverjali predvsem to, kako so se na spremembe pripravili izvajalci plačilnih storitev, vsem, ki prejemate plačila na daljavo, svetujemo, da se (če se še niste) ustrezno pripravite na omenjene spremembe zakonodaje, kar primarno zahteva implementacijo ustreznih IT rešitev (za kar obstajajo specializirani ponudniki, ki so svoje rešitve prilagodili prav zahtevam glede SCA), uvedenim novostim pa je treba/smiselno prilagoditi tudi splošne pogoje poslovanja.
Z istim datumom v veljavo stopa tudi nova oblika plačilne storitve, imenovana
storitev odreditve plačil (Payment Initiation Service), ki bo omogočala spletno plačevanje prek ponudnikov, ki ne posedujejo sredstev plačnika, in
storitev dostopa do informacij o računih (Account Information Service), ki bo posameznikom omogočala dostop do njihovih podatkov o bančnih računih pri različnih bankah prek enotne aplikacije.
Avtorja: Ana Kastelec, odvetnica Jernej Jeraj, partner