Как директива PSD 2 меняет рынок платежей

На правах рекламы

В сентябре 2019 года закончился переходной период на новые стандарты второй платежной директивы Евросоюза Payment Services Directive 2 (PSD2). К этому моменту банки и провайдеры платежных услуг (PSP) должны были привести юридическую и техническую часть в соответствие с положениями директивы.

Какие изменения несет директива — рассказывает Назар Малиновский, юрист, СЕО компании Beforis. 

Открытый банкинг и новые игроки 

Директива вводит принципы открытого банкинга (Open Banking), что по сути лишает банки монополии на пользовательские данные. Банки обязывают открыть свои API и, с согласия владельцев счета, делиться данными клиентов с третьими сторонами.

Такие изменения в финансовой экосистеме выводят на рынок новых игроков — AISP и PISP.

Account Information Service Provider (AISP) — провайдеры услуг, у которых есть возможность собирать информацию о финансовой активности пользователей в разных платежных институциях. Например, клиент сможет просматривать в одном приложении информацию о всех счетах, открытых в разных банках. 

Payment Initiation Service Provider (PISP) — провайдеры, которые смогут проводить платежи от лица плательщика. С их помощью клиенты получат возможность напрямую с банковского счета оплатить услугу, купить товар онлайн или перевести деньги.

Сами банки получают в новой модели работы несколько громоздкое название Account Servicing Payment Service Provider (ASPSP) – поставщик платежных услуг, обслуживающий счет. С ASPSP теперь напрямую будут связываться AISP и PISP через новые интерфейсы, которые внешне будут похожими на окно логина в Facebook для авторизации на внешних сайтах. То есть клиенту для оплаты не нужно будет вводить никаких данных, а только авторизоваться в банке для подтверждения той или иной операции.

Конечно же, передача данных, как и платежные операции, будут проходить только с согласия клиента. А ответственность за хранение информации и управление согласиями ложится на банки и платежные институции. 

Строгая аутентификация: дополнительные меры защиты платежей  

Как часть директивы становятся обязательными и новые технические стандарты аутентификации для приема онлайн-платежей – Strong Customer Authentication (SCA, строгая аутентификация).

Strong Customer Authentication – это требования, разработанные европейскими регуляторами, чтобы снизить вероятность мошенничества и сделать оплату в интернете более надежной.

Для того, чтобы система обработки платежей соответствовала SCA нужно добавить еще один шаг в чекаут-процесс – аутентификацию. 

По требованиям SCA аутентификация должна включать хотя бы два из трех компонентов (рекомендовано – три):

• то, что пользователь знает: например, пароль или пин-код;
• то, чем он владеет: телефон, карта, аппаратный токен;
• то, что является уникальным отличием клиента: распознавание отпечатка пальца, лица.

Требования SCA распространяются на онлайн-платежи, инициированные клиентом (customer-initiated) в пределах Европы: когда и банк продавца, и банк плательщика находится в Европейской экономической зоне. 

Некоторые типы платежей могут быть в списке исключений и не подпадать под правила SCA, в частности: 

• Платежи с низким уровнем риска: банковские процессинги и PSP сами оценивают степень рисковости транзакции и решают использовать SCA или нет.
• Платежи на сумму ниже €30. Здесь есть исключения: дополнительно подтверждается каждая 5 транзакция;  или следующая транзакция после покупки свыше €100.
• Регулярные платежи по подписке: например оплата Netflix или Apple Music.
• Платежи, инициированные мерчантами: списание денег с сохраненной карты без участия плательщика в чекаут-процессе. Например, безналичная оплата поездок в Uber.

PSD2 и Украина

Насколько введение PSD2 актуально для жителей Украины?

Положения директивы на Украину не распространяются. Однако в июле 2019 года в НБУ объявили о намерении “гармонизировать с европейским национальное платежное законодательство в соответствии с требованиями Соглашения об ассоциации с ЕС”. 

За последний год мы видим положительные изменения в финансовом секторе —  отмена обязательной продажи валютной выручки, переход на стандарт IBAN. Сюда можно отнести и отмену индивидуальных валютных лицензий, что упростило для украинцев инвестиции за рубеж. 

Да, этого еще недостаточно, чтобы говорить об активном внедрении PSD2. Тем не менее директива задает глобальный вектор развития, и Украина движется в верном направлении.