Silne uwierzytelnienie w usługach płatniczych - kto musi je stosować i na czym ono polega?

Czym jest silne uwierzytelnianie?

Polski ustawodawca zamieścił definicję silnego uwierzytelniania użytkownika (ang. Strong Customer Authentication, SCA) w art. 2 pkt 26aa ustawy o usługach płatniczych. Zgodnie z tym przepisem jest to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

wiedza o czymś, o czym wie wyłącznie użytkownik; zwykle będzie to PIN lub numer klienta, których nigdy nie należy udostępniać osobom trzecim;
posiadanie czegoś, co posiada wyłącznie użytkownik; może to być karta płatnicza lub smartfon (smartwatch) z wbudowanym modułem NFC pozwalającym na zrealizowanie płatności, numer telefonu, na który przysyłane są wiadomości SMS z tokenem albo kody przesyłane w wiadomości e-mail;
cechy charakterystyczne dla użytkownika, np. odcisk palca, skan rysów twarzy lub inne rozwiązania z zakresu biometrii.

Poszczególne segmenty uwierzytelniania muszą być ze sobą zintegrowane (najczęściej będą występowały jeden po drugim), ale jednocześnie niezależne w taki sposób, że złamanie jednego z zabezpieczeń nie narusza bezpieczeństwa pozostałych.

Kiedy trzeba stosować silne uwierzytelnianie SCA?

Zakres obowiązkowego stosowania SCA określa art. 32i ustawy o usługach płatniczych. Zgodnie z tym przepisem dostawca stosuje silne uwierzytelnianie użytkownika w przypadku, gdy płatnik:

uzyskuje dostęp do swojego rachunku w trybie online (np. logowanie się do banku w przeglądarce internetowej;
inicjuje elektroniczną transakcję płatniczą;
przeprowadza z wykorzystaniem kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

Silne uwierzytelnianie należy zastosować również w sytuacji, kiedy dostawca świadczący usługę dostępu do informacji o rachunku występuje do dostawcy prowadzącego rachunek (banku) o podanie informacji o tym rachunku.

Jednocześnie dostawca prowadzący rachunek udostępnia informacje dostawcy inicjującemu transakcję płatniczą oraz przekazującemu informację o rachunku wyłącznie wtedy, gdy dostawca świadczący usługę inicjowania transakcji sam stosuje silne uwierzytelnianie. Dzięki temu SCA występuje na przynajmniej dwóch etapach całej transakcji. W praktyce uwierzytelnianie ASC będzie musiała stosować w zasadzie każda Krajowa Instytucja Płatnicza świadcząca usługi w zakresie AIS (poza wyłączeniami wskazanymi poniżej).

Jeżeli płatnik (lub dostawca) inicjuje elektroniczną transakcję płatniczą z wykorzystaniem sieci internet lub za pomocą środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji lub określonym odbiorcą. Co to tak naprawdę oznacza?

Kiedy klient robi zakupy w sieci i opłaca je, korzystając np. z dostawcy usług płatniczych PayU, bank ze swojej strony musi uwierzytelnić API (ang. Application Programming Interface), czyli oprogramowanie, które daje dostęp do danych klientów oraz stanu konta w czasie rzeczywistym osobom trzecim, w tym przypadku PayU. Z punktu widzenia użytkownika cała transakcja przebiega płynnie, ale nie ma potrzeby osobnego logowania się do banku, a następnie zlecania przelewu, ponieważ API pozwala na „zaciągnięcie” danych bezpośrednio na potrzeby pośrednika w transakcji, który pobierze środki z konta, a następnie przekaże je sprzedającemu.

Ustawodawca nie precyzje, jakie środki bezpieczeństwa ma zapewnić dostawca usług płatniczych. Zgodnie z art. 32i ust. 3 ustawy o usługach płatniczych o ochronę poufności i integralności danych uwierzytelniających dba dostawca. Przed wdrożeniem konkretnych rozwiązań powinien on rozważyć konsultacje z zespołem specjalistów w zakresie nowych technologii, którzy zadbają o ich zgodność z obowiązującymi przepisami.

Kiedy dostawca usług płatniczych nie musi stosować silnego uwierzytelniania użytkownika?

Wdrożenie SCA to dla dostawców konieczność poniesienia dodatkowych wydatków w związku z implementacją rozwiązań technologicznych. Byłoby to szczególnie kłopotliwe dla dostawców usług o bardzo niskiej wartości, ale także dla użytkowników, którzy z danej usługi korzystają z wysoką częstotliwością.

Dlatego unijny ustawodawca stworzył katalog usług, które nie wymagają stosowania silnego uwierzytelniania. Katalog ten można znaleźć w rozporządzeniu delegowanym Komisji 2018/389 z dnia 27 listopada 2017 roku odnoszące się do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (tzw. rozporządzenie RTS).

Rozporządzenie stanowi uzupełnienie dyrektywy PSD2, implementowanej do polskiego porządku prawnego m.in. ustawą o usługach płatniczych. Jako akt prawny rangi rozporządzenia jest jednak stosowany wprost i obejmuje zakresem swojego działania wszystkie państwa członkowskie. Oznacza to, że takie samo wyłączenie może zastosować dostawca usług płatniczych w Polsce, Niemczech czy Francji. Zgodnie z przepisami rozporządzenia silnego uwierzytelniania nie trzeba stosować w przypadku:

dostępu przez klienta do uproszonych informacji o rachunku (tj. salda i historii) z tym zastrzeżeniem, że zgodnie z art. 10 ust. 2 rozporządzenia RTS SCA jest wymagane podczas pierwszego logowania, a także co kolejne 90 dni;
wykonywania przez klienta płatności kartą zbliżeniową w punktach sprzedaży POS (art. 11 rozporządzenia RTS) z zastrzeżeniem, że:

pojedyncza kwota zbliżeniowej transakcji płatniczej nie przekracza 50 EUR;
łączna kwota transakcji zbliżeniowych zainicjowanych za pomocą instrumentu płatniczego zbliżeniowego od dnia ostatniego zastosowania SCA nie przekracza 150 EUR;
liczba zbliżeniowych transakcji elektronicznych zainicjowanych od czasu ostatniego zastosowania SCA nie przekracza 5 (dlatego też podanie PIN może pojawić się czasami nawet przy niewielkich kwotach);

regulowania opłat za przejazd i postój, np. opłaty za wjazd na płatną autostradę (art. 12 rozporządzenia RTS);
płatności dokonywanych na rzecz zaufanych partnerów zdefiniowanych przez płatnika, choć silnego uwierzytelniania wymaga już samo uznanie podmiotu za zaufany (art. 13 rozporządzenia RTS);
wykonywaniu transakcji cyklicznych do tego samego podmiotu na tę samą kwotę, np. stałe zlecenie w banku, ale SCA będzie wymagane przy definiowaniu samej transakcji (art. 14 rozporządzenia RTS);
kiedy płatnik i odbiorca są tym samym podmiotem, a ich rachunki są prowadzone przez ten sam bank, np. przelewy między działami jednej firmy (art. 15 rozporządzenia RTS);
wykonywania przez płatnika zdalnych transakcji niskokwotowych przy założeniu, że spełnione zostały następujące warunki, wskazane w art. 16 rozporządzenia RTS:

kwota zdalnej transakcji elektronicznej nie przekracza 30 EUR;
łączna kwota transakcji elektronicznych od dnia ostatniego zastosowania SCA nie przekracza 100 EUR;
liczba zdalnych transakcji elektronicznych zainicjowanych od czasu ostatniego zastosowania SCA nie przekracza 5 operacji następujących po sobie;

realizacji bezpiecznych płatności korporacyjnych (art. 17 rozporządzenia RTS) – osoby prawne dokonujące transakcji między sobą mogą zrezygnować ze stosowania SCA pod warunkiem, że uznają zabezpieczenia stosowane przez bank za co najmniej równoważne ze standardem wymaganym przez dyrektywę PSD2;
realizacji transakcji, które przez dostawcę została uznana za operację niskiego ryzyka, czyli zgodnie z art. 18 ust. 2 rozporządzenia RTS:

wskaźnik oszustw dla danego rodzaju transakcji jest odpowiednio niski z odwołaniem się do wartości referencyjnych;
kwota transakcji nie przekracza wartości progowej (między 100 a 500 EUR);
po przeprowadzeniu oceny ryzyka w czasie rzeczywistym dostawca usług płatniczych nie stwierdził występowania żadnego z niestandardowych elementów (np. niestandardowa lokalizacja płatnika, występowanie złośliwego oprogramowania, niestandardowego wzorca zachowań płatnika lub znanego scenariusza oszustwa).

Dopiero znajomość ogólnych zasad dotyczących stosowania SCA oraz wyłączeń w tym zakresie pozwala uchwycić szeroką perspektywę, jaką unijny (a w ślad za nim polski) ustawodawca przewidział dla zabezpieczeń usług płatniczych.

Dlaczego stosowanie SCA jest istotne?

Silne uwierzytelnianie to nie tylko bezpieczeństwo klientów instytucji płatniczych, ale również samych dostawców tych usług. Warto pamiętać, że przepisy ustawy o usługach płatniczych przenoszą na dostawcę usług ciężar wykazania, że transakcji została autoryzowana w sposób prawidłowy (i nie wystarczy do tego wykazanie, że posłużono się zarejestrowanym instrumentem płatniczym, np. kartą do bankomatu). Co więcej, art. 46 ust. 1 ustawy o usługach płatniczych wprowadza odpowiedzialność płatnika za nieautoryzowaną transakcję płatniczą i obowiązek naprawienia szkody (przywrócenie stanu rachunku do stanu sprzed oszustwa).

Im lepiej będzie zaprojektowany system SCA, tym łatwiej będzie dostawcy uniknąć odpowiedzialności w razie sporu sądowego.

Co oznacza silne uwierzytelnianie dla dostawców usług płatniczych?

Konieczność zastosowania regulacji dotyczącej silnego uwierzytelniania użytkownika to dla instytucji płatniczych przede wszystkim dodatkowe koszty. W celu wdrożenia ustawowych rozwiązań dostawcy usług muszą zlecić zaprojektowanie i wdrożenie dedykowanego interfejsu, który zapewni bezpieczeństwo na odpowiednim poziomie.

Z formalnego punktu widzenia SCA dotyczy zarówno MIP, jak i KIP. Wprawdzie wyłącznie krajowe instytucje płatnicze mogą świadczyć usługi w zakresie PIS i AIS, jednak MIP realizuje inne czynności za pomocą kanałów zdalnych, które mogą wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi. Dlatego uwierzytelnianie SCA powinny stosować np. firmy z branży krypto, które starają się o status MIP w celu nawiązania relacji z bankiem. Przed wdrożeniem odpowiednich rozwiązań technologicznych warto upewnić się jednak czy firma nie może skorzystać z wyłączeń, o których mowa w rozporządzeniu RTS, a tym samym przynajmniej częściowo ograniczyć kosztów prowadzenia działalności.

Kamila Wasilewska

Pytania i odpowiedzi

Dostawca usług płatniczych chce wyłączyć z obowiązku stosowania SCA określone transakcji. Jakie kryteria powinien uwzględnić przy sporządzaniu oceny ryzyka?

Stosownie do art. 18 ust. 3 rozporządzenia RTS do tych kryteriów zalicza się przynajmniej poprzednie schematy wydatków użytkownika, jego historię transakcji, lokalizację płatnika i odbiorcy oraz nietypowe wzorce płatności w stosunku do historii transakcji.

Czy wyłączenie obowiązku stosowania SCA oznacza, że dostawca usług płatniczych nie może stosować silnego uwierzytelniania dla każdej transakcji?

Ustawodawca unijny wyraźnie wskazuje przy każdym potencjalnym wyłączeniu, że dostawca usług płatniczych może nie stosować silnego uwierzytelniania klienta. Nadal jednak ma taką możliwość, jeśli uzna SCA za niezbędne do zachowania bezpieczeństwa transakcji.