Directiva PSD 2 transforma modul in care se va efectua plata cumparaturilor online. Transpusa in legislatia nationala prin Legea nr. 209/2019 privind serviciile de plata, care a fost promulgata recent, directiva instituie masuri mult mai stricte de securitate pentru efectuarea platilor online, acestea fiind cunoscute in jargonul de specialitate drept „SCA” („Strong Customer Authentication” - Autentificarea Stricta a Clientilor).
De-a lungul timpului s-au exprimat ingrijorari cu privire la potentialele efecte negative ale PSD 2 asupra comertului electronic, vehiculandu-se inclusiv pierderi de miliarde de euro la nivelul UE si riscul de refuz al platilor pentru aproximativ 30% din tranzactiile din sfera cumparaturilor online. Intrebarea care apare in mod natural este cum a reusit o directiva care are drept scopuri declarate inovarea, simplificarea si securitatea, sa genereze astfel de ingrijorari?
Ce dificultati au aparut?
Se pare ca prestatorii de servicii de initiere a platii nu sunt inca pregatiti sa preia o mare parte din volumul de plati online, iar cerintele noi de securitate sunt dificil de implementat. PSD 2 modifica modul in care se efectueaza platile online prin reglementarea unui standard de securitate care presupune utilizarea impreuna a cel putin doua dintre elementele clasificate drept cunostinte (parola, PIN), posesie (diverse dispozitive de tip token) si inerenta (citirea amprentei, scanarea irisului sau retinei). SCA s-a dovedit greu de implementat in intreaga Uniune Europeana in comertul electronic, din cauza nivelului de complexitate tehnica si a multiplelor sisteme care trebuie integrate.
In timp ce acest mod de efectuare a tranzactiilor devine regula, exceptiile de la aplicarea sa sunt limitate si pot presupune investitii semnificative din partea prestatorilor de servicii de plata pentru detectarea riscului de frauda. Mai mult, intarzie sa fie implementate sisteme tehnice care sa se prevaleze de aceste exceptii, in continuare existand discutii privind modul de aplicare a acestora.
Ce rezolvare au gasit autoritatile europene?
Autoritatea Bancara Europeana nu ia in calcul, momentan, schimbarea standardelor de securitate prevazute de PSD 2 si de normele sale tehnice de reglementare. Ca solutie de compromis, insa, autoritatea le-a acordat timp prestatorilor de servicii de plata pana la sfarsitul anului 2020 pentru implementarea unor planuri de migrare catre noile solutii tehnice de aplicare a autentificarii stricte a clientilor pentru tranzactiile cu cardul in comertul electronic.
Pana la expirarea acestui termen, autoritatea europeana recomanda Bancii Nationale a Romaniei sa evite sanctionarea prestatorilor de servicii de plata pentru neaplicarea SCA pentru tranzactiile cu cardul in comertul online, insa numai in masura in care acestia vor respecta calendarul si cerintele stabilite la nivel individual de catre BNR.
Jucatorii din piata nu sunt insa feriti de raspundere
Chiar si inainte de finalul anului 2020, prestatorii de servicii de plata pot fi sanctionati de autoritatile competente nationale de supraveghere, in cazul in care nu vor respecta regulile impuse de acestea cu privire la planurile de migrare catre noile solutii tehnice de aplicare a SCA pentru tranzactiile cu cardul in comertul electronic.
Mai mult, prestatorii de servicii de plata ar trebui sa realizeze cat mai repede migrarea catre solutii tehnice care sa respecte cerintele SCA, din moment ce masura luata de Autoritatea Bancara Europeana nu ii scuteste de raspundere fata de clientii lor, reglementata de Legea nr. 209/2019. Astfel, in cazul tranzactiilor neautorizate, prestatorii de servicii de plata ai platitorilor pot fi nevoiti sa ramburseze propriilor clienti suma aferenta operatiunilor neautorizate, imediat sau cel tarziu la sfarsitul urmatoarei zile lucratoare dupa ce au constatat sau au fost notificati cu privire la aceste operatiuni.
In noul cadru legislativ, nu doar prestatorii de servicii de plata, ci si comerciantii trebuie sa dea mai multa atentie mecanismelor de alocare a raspunderii pentru tranzactii neautorizate.
Pentru a asigura un proces de cumparare a produselor cat mai prietenos pentru clientii lor, comerciantii ar putea fi interesati sa se prevaleze de exceptiile de la aplicarea noului standard de securitate tehnica in procesul de autentificare. Aceasta abordare ar putea atrage anumite riscuri, a caror distribuire recomandam sa fie reglementata contractual intre partenerii implicati in procesul de plata - comercianti, prestatorul de servicii de initiere a platii, banci, procesatori. Modul in care aceste exceptii vor opera si distribuirea raspunderii intre comerciant, banca sa, banca platitorului si alti intermediari ramane insa o discutie deschisa, iar prevederile contractelor aferente procesarii tranzactiilor de plata vor fi extrem de importante.
Ce ne rezerva viitorul?
„Rabdare” ramane cuvantul de baza cu privire la PSD 2 si efectele sale asupra comertului electronic. Este de asteptat ca efectele PSD 2 sa se cristalizeze in decursul urmatorilor ani, pe masura ce apar mai multi prestatori de servicii de initiere a platii si industria se ajusteaza la noul mod de lucru, urmand ca, in cele din urma, concurenta si inovatia avansata sa aduca beneficii consumatorului prin cresterea simultana a securitatii si a calitatii experientei in materie de plati online.
Material de opinie de Andreea Serban, Senior Managing Associate, Lorena Rosia, Senior Associate, si Geanina Stingaciu, Associate, Reff & Asociatii
