PSD2 – je tady. Na co se připravit?
Po GDPR nás od 1.1.2021 čeká další legislativní novinka. V platnost vstupuje nová směrnice EU o platebních službách, tzv. PSD2. Ta navazuje na původní směrnici PSD (Payment Services Directive) a dále rozšiřuje její pole působnosti. Pojďme se podívat na detaily této novinky.
Jaké jsou důvody nové regulace?
Počet karetních transakcí se každým rokem zvyšuje. Podobným tempem ale dochází i k nárůstu množství podvodných transakcí např. s kradenými kartami atp. PSD2 je zde primárně jako reakce na tento negativní trend. Zároveň se ale v rámci nové směrnice myslí i na větší ochranu dat vlastníku karet.
Mezi další cíle směrnice můžeme určitě zařadit také snahu o více „user-friendly“ přístup pro ověřování karetních transakcí a rozšíření možností v této oblasti. Do hry vstupují také nové technologické možnosti, jako ověření pomocí jedinečných biometrických údajů.
V rámci internetových plateb se za několik posledních let objevilo poměrně hodně „nebankovních“ subjektů, které umožňují svým zákazníkům provádět okamžité online platby (Paypal, Apple Pay,…). PSD2 se těmito subjekty také více zabývá, reguluje jejich činnost a celkově by měla jejich uživatelům zajistit větší bezpečnost.
SCA (Strong Customer Authentication)
Již zmiňované bezpečnější ověření v PSD2 zajišťuje tzv. SCA, neboli silné ověření zákazníka. To je založeno na dvoufázovém ověření. Tento termín už vám může být povědomý např. z Vašeho Google účtu.
V praxi to funguje tak, že poskytovatel platební služby od uživatele vyžaduje alespoň 2 ze 3 možných ověřovacích informací pro provedení karetní transakce. Ověřovací prvky můžeme rozdělit do tří skupin:
- Něco, co uživatel vlastní – telefon, chytré hodinky, platební karta…
- Něco, co uživatel zná – heslo, pin, bankou zaslaný kód pro potvrzení platby, CVC kód…
- Něco, co je „součástí“ uživatele – otisk prstu, rozpoznání obličeje, hlasové rozpoznání…
Aktuálně běžně funguje jednofázové ověření transakcí. Což je v podstatě zadání čísla karty a CVC kódu např. pro provedení online platby. Už dnes se ale můžete občas setkat s tím, že po zadání karetních údajů je nutné celou transakci ještě ověřit přes kód, který Vám přijde na mobil v SMS zprávě.
PSD2 a hotely
Co se změní pro Vás a klienty při různých způsobech karetních transakcí?
- Platba kartou přímo na hotelu – podmínka SCA je splněna – host použije něco co vlastní (karta) a něco co zná (pin).
- Platba online přes platební bránu – podmínka SCA je splněna – host použije číslo karty a CVC kód
U transakcí bez přítomnosti karty je situace zatím poměrně nejasná a názorů je více. Jedna skupina tvrdí, že řešení této situace je v tom, že klientům bude např. při vytvoření non refundable rezervace nebo při garanci kartou zasláno ještě potvrzení emailem, že jim bude stržena určitá částka z karty bez jejich přítomnosti. Zde by ale mělo dojít ještě k potvrzení ze strany klienta, že s touto „transakcí“ souhlasí.
V praxi by to pak vypadalo tak, že klientovi přijde email: „…pokud na rezervaci nedorazíte bude Vám zaúčtována částka 5 000 Kč. Pokud s tím souhlasíte, potvrďte prosím kliknutím zde.“ Tímto způsobem by ale veškeré non refundable rezervace a rezervace s garancí kartou naprosto ztrácely smysl, protože hosté by ve velkém množství případů svůj souhlas neposkytli.
Na druhou stranu, ze silného ověření jsou vyjmuty telefonické a emailové objednávky (MO/TO – Mail Order / Telephone Order), kde ale stejně potřebujete mít tzv. formulář zmocnění obchodníka, kterým Vám klient v podstatě stvrzuje, že stržení akceptuje. Následně už pak provedete stejné stržení prostředků, tak jako jste to dělali doposud.
Pokud za Vás peníze vybírají OTAs (prepaid rezervace z Booking.com, Expedia Collect, atp.) nemusíte u těchto partnerů nic dalšího řešit, veškeré PSD2 povinnosti jsou tímto přeneseny na zprostředkovatele, který s klientovou kreditní kartou bude pracovat. Vy si pouze „vyberete“ peníze z virtuální karty, kterou Vám OTA poskytne.
Jak postupovat?
Podle mnoha internetových diskuzí a zdrojů to zatím vypadá, že ohledně nové legislativy tápou i někteří větší hráči a nikdo nenabízí přesný „recept“ jak postupovat.
Většina doporučení zatím nabádá k zachování stávajícího postupu při práci s kreditními kartami. Zároveň jsou ale často skloňovány platební brány, které jsou uváděny jako jistota pro nadcházející „PSD2 dobu“.
Jednotliví poskytovatelé platebních brán totiž upraví/upravili postup zpracování transakcí, tak aby splňoval podmínky silného ověření zákazníka. Tzn. platba bude ještě podmíněna zadáním kódu zaslaného zákazníkovi v SMS zprávě (tak jak už to nyní probíhalo u některých platebních bran).
U předplacených rezervací z OTA (Expedia, Booking) jste také v pohodě. S kartou hosta neoperujete a k dispozici máte pouze virtuální kartu poskytnutou zprostředkovatelem ubytování.
Jak to bude u předautorizací bez přítomnosti karty a hosta, ale bohužel zatím zůstává poměrně nejasné. Je ale pravděpodobné, že do budoucna může dojít u tohoto typu transakcí k situaci, kdy dokončení předautorizace bude zamítnuto ze strany banky, která klientovi kartu vydala vzhledem k tomu, že nedošlo k silnému ověření zákazníka.
Podle informací, které máme od naší partnerské ČSOB se ale zatím nic měnit nebude:
……V případě předautorizace bez přítomnosti karty, pokud to budou karty zákazníků (ne firemní/virtuální karty), vydavatelé karet můžou tyto předautorizace zamítat.
Ve výjimkách z SCA (strong customer authentication) jsou firemní platby, tzn. virtuální karty od Booking, Expedie apod. nebudou zamítané.
Jediné, co se může stát je, že vydavatelé karet začnou předautorizace zamítat, ale třeba ČSOB tyto transakce prozatím zamítat nebude a předpokládám, že ani ostatní s tím prozatím nezačnou. Místní regulátor k tomu zatím nevydal žádné prohlášení……
Poslední informace na webu ČNB ohledně PSD2 víceméně potvrzuje vše výše uvedené. Platby přes online platební brány jsou v pořádku a subjektům, které se zatím PSD2 plně nepřizpůsobily je zde dán jistý čas / lhůta na plné přizpůsobení novým bezpečnostním požadavkům.
Pokud využíváte „naše“ platební terminály a platební brány v rámci produktu Previo PAY nemusíte se ničeho obávat. 1. ledna 2020 neskončí svět karetních plateb a vše by mělo fungovat tak jako doposud.
Z dlouhodobějšího hlediska (kdy se bankovní a nebankovní subjekty začnou plně přizpůsobovat PSD2) ale můžete očekávat změny v oblasti karetních plateb. O těch Vás samozřejmě budeme informovat.
