Stark kundautentisering

Stark kundautentisering ( SCA ) är ett krav i EU:s reviderade direktiv om betaltjänster (PSD2) på betaltjänstleverantörer inom Europeiska ekonomiska samarbetsområdet . Kravet säkerställer att elektroniska betalningar utförs med multifaktorautentisering , för att öka säkerheten för elektroniska betalningar. Fysiska korttransaktioner har redan vanligtvis vad som kan kallas stark kundautentisering i EU ( chip och PIN ), men detta har i allmänhet inte gällt för internettransaktioner i hela EU innan kravet infördes, och många kontaktlösa kortbetalningar gör det inte använd en andra autentiseringsfaktor.

SCA-kravet trädde i kraft den 14 september 2019. Men med godkännande av European Banking Authority har flera EES-länder meddelat att implementeringen av dem tillfälligt kommer att försenas eller stegvis, med en slutgiltig deadline till den 31 december 2020.

Krav

Artikel 97.1 i direktivet kräver att betaltjänstleverantörer använder stark kundautentisering när en betalare:

(a) kommer åt sitt betalkonto online; (b) initierar en elektronisk betalningstransaktion; (c) utför alla åtgärder via en fjärrkanal som kan innebära risk för betalningsbedrägerier eller andra missbruk.

Artikel 4.30 definierar "stark kundautentisering" i sig (som multifaktorautentisering):

en autentisering baserad på användningen av två eller flera element kategoriserade som kunskap (något som bara användaren känner till), besittning (något som bara användaren besitter) och inneboende (något användaren är) som är oberoende, i och med att överträdelsen av en inte äventyra tillförlitligheten hos de andra, och är utformad på ett sådant sätt att den skyddar konfidentialiteten för autentiseringsdata

Genomförande

European Banking Authority publicerade ett yttrande om vilka tillvägagångssätt som skulle kunna utgöra olika "element" i SCA.

3-D Secure 2.0 kan (men uppfyller inte alltid) kraven från SCA. 3-D Secure har implementeringar av Mastercard (Mastercard Identity Check) och Visa som marknadsförs för att möjliggöra SCA-efterlevnad.

E-handelshandlare måste uppdatera betalningsflödena på sina webbplatser och appar för att stödja autentisering. Om autentisering inte stöds kommer många betalningar att avvisas när SCA är fullt implementerat.

Historia

Den 31 januari 2013 utfärdade Europeiska centralbanken (ECB) rekommendationer om betalningssäkerhet på Internet, som kräver stark kundautentisering. ECB:s krav är tekniskt neutrala för att främja innovation och konkurrens. Den offentliga inlämningsprocessen till ECB identifierade tre lösningar för stark kundautentisering, varav två är baserade på reliance-autentisering och den andra är den nya varianten av 3-D Secure som innehåller engångslösenord .

Därefter utarbetade EU-kommissionen förslag till ett uppdaterat betaltjänstdirektiv inklusive detta krav, som blev PSD2. PSD2 stark kundautentisering har varit ett lagkrav för elektroniska betalningar och kreditkort sedan 14 september 2019.

Kritik

Under 2016 kritiserade Visa förslaget att göra stark kundautentisering obligatorisk, med motiveringen att det skulle kunna försvåra onlinebetalningar och därmed skada försäljningen hos näthandlare.

Under 2019, konsumentrepresentationsgruppen Which? noterade att många brittiska banker implementerade SCA genom att kräva en telefon som kan ta emot ett textmeddelande eller push-meddelande . När tillfrågad, nästan en av fem Vilka? medlemmarna var oroliga för att de kanske inte skulle kunna göra betalningar om det inte fanns något alternativ, antingen på grund av dålig mottagning eller att de inte äger en telefon.

År 2020 fann en oberoende rapport utförd av konsultföretaget CMSPI att den potentiella störningen orsakad av stark kundautentisering (exklusive Storbritannien) kan vara 108 miljarder euro 2021.

Utanför Europa

Indiens centralbank har beordrat en "ytterligare autentiseringsfaktor" för korttransaktioner.

Ett förslag om att göra 3-D Secure obligatoriskt i Australien blockerades av Australian Competition and Consumer Commission ( ACCC) efter invändningar.

Se även

3D Säker

^ ^a ^b "Betaltjänstdirektivet (PSD2): Regulatory Technical Standards (RTS) som gör det möjligt för konsumenter att dra nytta av säkrare och mer innovativa elektroniska betalningar" . Europeiska kommissionen . 2017-11-27 . Hämtad 2019-04-17 .
^ "EBA ger klarhet till marknadsaktörer för implementeringen av de tekniska standarderna för stark kundautentisering och gemensam och säker kommunikation under PSD2" . Europeiska bankmyndigheten . 2018-06-13 . Hämtad 2019-04-17 .
^ ^a ^b ^c "EBA publicerar en åsikt om inslagen i stark kundautentisering under PSD2" . Europeiska bankmyndigheten . 21 juni 2019. Arkiverad från originalet 2019-12-30 . Hämtad 2019-09-07 .
^ "FCA godkänner planen för en gradvis implementering av Strong Customer Authentication" . Myndigheten för finansiellt uppförande . 2019-08-13 . Hämtad 2019-09-07 .
^ "Strong Customer Authentication (SCA) Enforcement Date" . Stripe . 6 september 2019 . Hämtad 2019-09-07 .
^ "EBA publicerar åsikter om tidsfristen och processen för att slutföra migreringen till stark kundautentisering (SCA) för e-handelskortbaserade betalningstransaktioner" . Europeiska bankmyndigheten . Hämtad 11 juli 2022 .
^ ^a ^b "Direktiv 2015/2366/EU" . 25 november 2015. om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU och förordning (EU) nr 1093/2010 samt om upphävande av direktiv 2007/64/EG
^ "Stark kundautentisering och PSD2: Hur man anpassar sig till nya regler i Europa" (PDF) . Mastercard . 2018-08-17 . Hämtad 2019-04-17 .
^ "Förbereder för PSD2 SCA" (PDF) . Visa . november 2018 . Hämtad 2019-04-17 .
^ ^a ^b "Designa betalningsflöden för SCA" . Stripe . 15 juli 2019 . Hämtad 2019-09-07 .
^ "ECB: ECB släpper slutliga rekommendationer för säkerheten för internetbetalningar och inleder offentligt samråd om tjänster för åtkomst till betalkonton" . Ecb.eu . Hämtad 2014-07-17 .
^ "ECB: Offentligt samråd" . Ecb.europa.eu. 2013-01-31 . Hämtad 2014-07-17 .
^ https://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf ^{[ bar URL PDF ]}
^ Leyden, Josh (2016-11-27). "Visa gråter fult över euroregulatorns starkare autentiseringskrav" . Registret . Hämtad 2019-04-17 .
^ "Nya säkerhetskontroller online utesluter personer utan mobiltelefoner eller anständig signal" . Som? . Hämtad 24 juni 2021 .
^ "Nyheter SCA för PSD2 kan kosta handlare mer än 100 miljarder euro 2021" . Betalarna . Hämtad 24 september 2020 .
^ "Säkerhets- och riskreducerande åtgärder för elektroniska betalningstransaktioner" . Reserve Bank of India . Arkiverad från originalet 2013-03-04.
^ "ACCC släpper utkast till beslut mot obligatorisk användning av 3D [sic] Säkert för onlinebetalningar" . 23 maj 2016 . Hämtad 2019-09-07 .

[pressrelease-1] "Betaltjänstdirektivet (PSD2): Regulatory Technical Standards (RTS) som gör det möjligt för konsumenter att dra nytta av säkrare och mer innovativa elektroniska betalningar" . Europeiska kommissionen . 2017-11-27 . Hämtad 2019-04-17 .

[2] "EBA ger klarhet till marknadsaktörer för implementeringen av de tekniska standarderna för stark kundautentisering och gemensam och säker kommunikation under PSD2" . Europeiska bankmyndigheten . 2018-06-13 . Hämtad 2019-04-17 .

[ebaopinion-3] "EBA publicerar en åsikt om inslagen i stark kundautentisering under PSD2" . Europeiska bankmyndigheten . 21 juni 2019. Arkiverad från originalet 2019-12-30 . Hämtad 2019-09-07 .

[4] "FCA godkänner planen för en gradvis implementering av Strong Customer Authentication" . Myndigheten för finansiellt uppförande . 2019-08-13 . Hämtad 2019-09-07 .

[5] "Strong Customer Authentication (SCA) Enforcement Date" . Stripe . 6 september 2019 . Hämtad 2019-09-07 .

[6] "EBA publicerar åsikter om tidsfristen och processen för att slutföra migreringen till stark kundautentisering (SCA) för e-handelskortbaserade betalningstransaktioner" . Europeiska bankmyndigheten . Hämtad 11 juli 2022 .

[directive-7] "Direktiv 2015/2366/EU" . 25 november 2015. om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU och förordning (EU) nr 1093/2010 samt om upphävande av direktiv 2007/64/EG

[8] "Stark kundautentisering och PSD2: Hur man anpassar sig till nya regler i Europa" (PDF) . Mastercard . 2018-08-17 . Hämtad 2019-04-17 .

[9] "Förbereder för PSD2 SCA" (PDF) . Visa . november 2018 . Hämtad 2019-04-17 .

[stripe-10] "Designa betalningsflöden för SCA" . Stripe . 15 juli 2019 . Hämtad 2019-09-07 .

[11] "ECB: ECB släpper slutliga rekommendationer för säkerheten för internetbetalningar och inleder offentligt samråd om tjänster för åtkomst till betalkonton" . Ecb.eu . Hämtad 2014-07-17 .

[12] "ECB: Offentligt samråd" . Ecb.europa.eu. 2013-01-31 . Hämtad 2014-07-17 .

[13] ttps://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf ^{[ bar URL PDF ]}

[14] Leyden, Josh (2016-11-27). "Visa gråter fult över euroregulatorns starkare autentiseringskrav" . Registret . Hämtad 2019-04-17 .

[15] "Nya säkerhetskontroller online utesluter personer utan mobiltelefoner eller anständig signal" . Som? . Hämtad 24 juni 2021 .

[16] "Nyheter SCA för PSD2 kan kosta handlare mer än 100 miljarder euro 2021" . Betalarna . Hämtad 24 september 2020 .

[17] "Säkerhets- och riskreducerande åtgärder för elektroniska betalningstransaktioner" . Reserve Bank of India . Arkiverad från originalet 2013-03-04.

[18] "ACCC släpper utkast till beslut mot obligatorisk användning av 3D [sic] Säkert för onlinebetalningar" . 23 maj 2016 . Hämtad 2019-09-07 .