PSD2 – co musi wiedzieć właściciel e-sklepu? Wyjaśniamy i proponujemy rozwiązania

5 Wrz 2019
Piotr Burakowski
Piotr Burakowski
Dziennikarz biznesowo-technologiczny, publikuje od 2006 r. Redaktor prowadzący The Story Journal. Interesuje się wpływem nowych technologii na rynek pracy i kondycję ludzką. Napisz do autora: piotr.burakowski@thestory.pl

PSD2 wpływa nie tylko na banki, ale i m.in. sklepy internetowe. Wyzwaniem jest SCA (Strong Consumer Authentication), czyli obowiązek potwierdzania transakcji przy pomocy co najmniej dwóch różnych elementów, np. hasła i kodu jednorazowego. Konieczne jest zadbanie, by nowe rozwiązanie było dostępne dla naszych klientów. Lecz i tak istnieje uzasadniona obawa, że SCA wpłynie negatywnie na konwersję.

EPSM* apelowała o wydłużenie o 1,5 roku terminu wprowadzenia zasad silnego uwierzytelniania. Europejska organizacja, która zrzesza firmy z branży płatności, zwracała uwagę, że SCA jako konieczność potwierdzania transakcji może spowodować, że klient zrezygnuje z zakupów. EPSM przekonywała także, że sklepy internetowe wciąż nie są gotowe na tak duże zmiany, choć pamiętajmy, że SCA objęte są tylko zakupy na kwotę powyżej 30 euro (ok. 130 zł).

Czy EPSM wyolbrzymiała sprawę? Money 20/20 wykonała na zlecenie firmy technologicznej Stripe badanie, które sugeruje, że w trakcie pierwszego roku obowiązywania PSD2 będzie zagrożonych nawet 57 mld euro ze sprzedaży internetowej. Z badania wynika ponadto, że wiele firm nie jest gotowych na nadchodzące zmiany. Inne dane branżowe wskazują z kolei, że aż 25-30 proc. transakcji e-commerce może zostać odrzuconych na skutek silnego uwierzytelnienia klienta.

*European Association of Payment Service Providers for Merchants.

Opóźnienia we wdrażaniu PSD2

Brytyjski Urząd ds. Postępowania Finansowego (FCA) pochylił się nad apelem EPSM. Urząd zgodził się bowiem na 18-miesięczne opóźnienie wprowadzenia zasad SCA dla transakcji e-commerce, podczas gdy zakładanym terminem był 14 września 2019 r., kiedy to PSD2 wchodzi w życie.

– Chociaż takie środki [SCA – przyp. red.] ograniczą oszustwa, chcemy się upewnić, że nie spowodują istotnych zakłóceń dla samych konsumentów. Dlatego uzgodniliśmy etapowy plan ich wprowadzenia w odpowiednim czasie – uzasadnia decyzję Jonathan Davidson, dyrektor wykonawczy FCA. Urząd ds. Postępowania Finansowego wskazuje na niedostateczne przygotowanie do pełnego wdrożenia zasad SCA przy dokonywaniu płatności, zwłaszcza w odniesieniu do obszaru e-commerce.

SCA ma największy sens w krajach UE, gdzie rynek e-commerce jest wciąż relatywnie mały. Patrząc na dane eMarketer z maja 2019 r., widzimy, że pod kątem internetowej sprzedaży przodują Chiny – 1,934.78 bn dol. Na kolejnych miejscach są USA (586.92 bn dol.), UK (141.93 bn dol.), następnie Japonia (115.40 bn dol.) i Korea Południowa (103.48 bn dol.). Niemcy i Francja pozostają w ogonie – kolejno 81.85 bn dol. i 69.43 bn dol.

Głos w sprawie SCA zabrał nie tylko brytyjski FCA. Komisja Nadzoru Finansowego (KNF) zdecydowała o przedłużeniu instytucjom finansowym terminu wdrożenia PSD2. W tym celu konieczne jest zgłoszenie do KNF potrzeby zastosowania takiego rozwiązania przed 14 września 2019 r. Kolejne kroki to przygotowanie „planu migracji” do pełnej zgodności ze SCA, jego uzgodnienie z KNF, a następnie realizacja. Dodajmy, że Europejski Urząd Nadzoru Bankowego (EUNB) opublikował stanowisko, zgodnie z którym organy nadzorcze państw UE mogą wydłużyć wdrożenie.

Inne dane branżowe wskazują z kolei, że aż 25-30 proc. transakcji e-commerce może zostać odrzuconych na skutek silnego uwierzytelnienia klienta.

„Komisja Nadzoru Finansowego uznaje za dopuszczalne zastosowanie proponowanego przez EUNB rozwiązania w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych” – informuje w komunikacie KNF.

PSD2 wiąże się z ważną zmianą prawną – koniecznością uzyskania przez banki, SKOKi i krajowe instytucje płatnicze zezwolenia KNF na świadczenie usługi PIS (Payment Initiation Service), a więc inicjowania płatności. Nie bez znaczenia. Z jednej strony liczba zarejestrowanych w ubiegłym roku cyberataków dotknęła 68 proc. polskich firm, czyli o 14 proc. mniej w porównaniu do 2017 r. Lecz z drugiej o znacznym wzroście liczby prób cyberprzestępstw przekonuje 25 proc. przedsiębiorstw, podczas gdy o spadku mówi zaledwie 8 proc. – wynika z badania Norstat Polska z lutego 2019 r. na zlecenie firmy doradczej KPMG.

Tymczasem kolejne przedsiębiorstwa już chwalą się wdrożeniem PSD2. Przykładem jest Zalando SE – niemiecki gigant rynku odzieżowego, który prężnie działa w Europie. Klienci mają dostęp do instruktażowego filmu, na którym krok po kroku poznają zmieniony proces zakupowy. Jest to o tyle ważne, że Zalando oferuje obecnie nowe metody weryfikacji, w tym uwierzytelnianie biometryczne.

Gdy klient Zalando zdecyduje się na płatność kartą kredytową, bank powiadomi go o dodatkowym uwierzytelnieniu płatności. Po kliknięciu na wiadomość użytkownik przejdzie do aplikacji bankowej, gdzie zostanie poproszony o potwierdzenie przelewu, np. za pomocą odcisku palca. Pomyślna weryfikacja będzie oznaczać realizację zamówienia, a konsument ponownie trafi na stronę Zalando.


Proces uwierzytelniania klienta będzie możliwy m.in. za pomocą odcisku palca. | Fot. Pixabay.com

Jak będzie przebiegać proces autoryzacji z PSD2?

Wiemy, że proces autoryzacji w trakcie dokonywania płatności kartą będzie przebiegać inaczej niż dotychczas. Pierwszy element weryfikacji to „wiedza” (np. hasło), drugi – „posiadanie” (to, co mamy w posiadaniu – telefon z zainstalowaną aplikacją bankową). Trzeci poziom dotyczy zaś „cechy klienta”, czyli np. odcisku palca. Wystarczy zastosować dwie metody, by dokonać zakupu. O tym, jakie sposoby uwierzytelniania zostaną wybrane, zadecydują banki – wydawcy kart.

W praktyce klient najpierw zostanie poproszony o wprowadzenie danych z karty płatniczej. Kiedy już to zrobi, zatwierdzi operację przyciskiem „Zapłać”. Kolejnym krokiem jest proces silnego uwierzytelniania. Przykładowo, otrzymujemy powiadomienie push z aplikacji bankowej, z czym wiąże się wpisanie osobistego kodu mPIN lub potwierdzenie tożsamości za pomocą odcisku palca lub innych danych biometrycznych. Płatność zostanie zatwierdzona, kiedy mPIN i jednorazowy kod SMS (albo dane biometryczne) okażą się prawidłowe.

Choć założenie jest takie, aby każda transakcja w sieci była autoryzowana z wykorzystaniem dwóch elementów, obowiązują wyjątki. Dotyczy to operacji na kwotę do 50 zł przy co szóstej transakcji, płatności cyklicznych (jak np. opłaty abonamentowej za telewizję), wybranych sklepów, które zdobyły zaufanie klientów, a także transakcji o niskim ryzyku oszustwa czy bezpiecznych płatności korporacyjnych.

Co powinien zrobić właściciel e-sklepu?

Witryny e-commerce muszą zastosować się do dyrektywy PSD2 do marca 2020 r. Podkreślmy jednak, że wdrożenie nowej wersji protokołu 3D Secure 2.0 jest obowiązkiem banku konsumenta, a nie sprzedawcy internetowego. Rola sprzedawcy polega na upewnieniu się, że moduł płatniczy w jego sklepie został dostosowany do nowych wytycznych.

3D Secure 2.0 bazuje na procesie uwierzytelniania, w którym najważniejsza jest ocena ryzyka. Rozwiązanie wykorzystuje dodatkowe dane transakcyjne, które pozwalają ustalić sprzedawcom i wydawcom kart, czy płatność została zainicjowana przez właściciela karty i czy można ją kontynuować. Wspomnijmy jeszcze o „Frictionless Flow”, którego zadanie to identyfikowanie transakcji o niskim poziomie ryzyka, za którym idzie brak konieczności potwierdzania tożsamości.

Co ważne, kiedy łącznik (moduł płatniczy) między sklepem a bankiem działa według tej samej procedury, możliwe będzie przeprowadzenie klienta przez proces uwierzytelniania bez dodatkowych etapów. Nie wpłynie to więc na przebieg zakupu i konwersję.

Rola sprzedawcy polega na upewnieniu się, że moduł płatniczy w jego sklepie został dostosowany do nowych wytycznych.

Wszystkie sklepy internetowe, które prowadzą sprzedaż w UE, powinny wziąć pod uwagę samodzielne wdrożenie dwuetapowej weryfikacji. Na rynku dostępne są gotowe moduły płatności. Jednym z nich jest Stripe Payment Pro (SCA-ready) oferowany przez platformę sklepową PrestaShop. Koszt takiego modułu to 59,99 euro (ok. 260 zł).

Reasumując, internetowym sprzedawcom pozostaje przede wszystkim współpraca z dostawcami usług płatniczych, którzy spełnią wymagania PSD2, choć to oczywiście nie wszystko.

3D Secure 2.0 zostało zaprojektowane z myślą o smartfonach i tabletach, a nie komputerach. | Fot. Tim Reckmann / Flickr.com / Bit.ly/2k2yNRs / CC BY 2.0

PSD2 nie takie straszne. Plan działania

Na koniec przedstawiamy plan działania dla posiadacza sklepu internetowego, który chciałby poradzić sobie ze zmianami, które wprowadza PSD2.

  1. Skontaktuj się ze swoim agentem rozliczeniowym lub dostawcą usług płatniczych. Dowiedz się, czy twój e-sklep będzie przygotowany na zmiany prawne i od kiedy zaoferuje usługę uwierzytelnienia płatności zgodną z unijną dyrektywą.
  2. Nie pozostaw klientów samym sobie. Poinformuj ich o planowanych zmianach, podkreślając korzyści, które przyniosą, jak m.in. zmniejszenie ryzyka oszustwa. Później stwórz np. film, który wprowadzi ich w nowy proces zakupowy.
  3. Jeśli chcesz, zainstaluj gotowy moduł płatniczy, np. Stripe Payment Pro (SCA-ready).
  4. Skorzystaj z takich metod płatności, jak Apple Pay, Google Pay czy PayPal, które mają już wbudowane dwuetapowe uwierzytelnianie.
  5. Porozglądaj się za partnerami z rozległymi relacjami bankowymi.
  6. Użyj monitorowania, które pozwoli ustalić najbardziej wydajne podmioty przetwarzające płatności.
  7. Zadbaj o jak najlepsze rozwiązania mobilne: 3D Secure 2.0 zostało zaprojektowane z myślą o smartfonach i tabletach.

Przypomnijmy, że w poprzednich artykułach omawialiśmy już dostępne na rynku aplikacje korzystające z PSD2 i pisaliśmy o pomysłach na biznes, które stwarza unijna dyrektywa.


W Polsce doświadczenie z Payment Services Directive 2 ma tylko garstka firm. Wśród nich jest również The Story – software house zajmuje się obecnie projektowaniem i specyfikowaniem wymagań aplikacji biznesowej opartej o PSD2 oraz usługi AIS, PIS i CAF. Firma posiada także doświadczenie w pracy przy projektach e-commerce dla takich klientów, jak Marc Lauge A\S, Lemon Fashion, TRE Product.

Zachęcamy do odwiedzania naszego portfolio.

Fotografia tytułowa: Flickr.com